Cyberangriff: Daten von zehntausenden Uniklinik-Patienten gestohlen

Ein weitreichender Cyberangriff auf den externen Dienstleister unimed hat zum Diebstahl sensibler Patientendaten an mehreren großen deutschen Universitätskliniken geführt. Der Angriff ereignete sich bereits am 14. April 2026. Da unimed für zahlreiche Krankenhäuser die privat- und wahlärztlichen Abrechnungen abwickelt, konnten die Täter zehntausende Datensätze erbeuten.

Das volle Ausmaß des Vorfalls wurde durch offizielle Pressemitteilungen der Kliniken am 21. und 22. Mai 2026 öffentlich.

Daten von zehntausenden Uniklinik-Patienten gestohlen

Welche Kliniken sind betroffen?

Die IT-Systeme und die Patientenversorgung der Kliniken selbst waren zu keinem Zeitpunkt gefährdet, da der Angriff ausschließlich die Server des saarländischen Dienstleisters traf. Bundesweit sind nach aktuellem Kenntnisstand Daten von über 100.000 Patientinnen und Patienten abgeflossen.

Uniklinik	Betroffene Patienten (ca.)	Besonderheiten zum Datenabfluss
Freiburg	54.000	Bei ca. 900 Personen auch Rechnungs- und Diagnosedaten
Köln	30.000	Bei ca. 840 Personen tiefgehende Gesundheitsdaten erbeutet
Heidelberg	11.000	Rund 2.700 Fälle mit entwendeten Rechnungsdaten
Tübingen	5.000	Bei ca. 1.200 Personen konkrete Gesundheits- und Behandlungsdaten
Ulm	1.600	Etwa 300 Fälle mit rechnungsrelevanten Daten

Zudem meldeten das Universitätsklinikum des Saarlandes (1.266 Betroffene) sowie die Uniklinik Düsseldorf ebenfalls Datenabflüsse. Im Fall von Düsseldorf sind auch ältere Daten aus einer bereits beendeten Kooperation betroffen.

Welche Informationen wurden gestohlen?

Bei der überwiegenden Zahl der Betroffenen erbeuteten die Kriminellen reine Stammdaten. Dazu zählen Basisinformationen wie Name, Geburtsdatum und die private Anschrift.

In einem kleineren, aber kritischen Teil der Fälle konnten die Hacker jedoch auch tiefergehende Gesundheits- und Finanzdaten abgreifen. Dies umfasst unter anderem:

Diagnosecodes und konkrete ärztliche Behandlungsverläufe
Inhalte aus Patientenakten sowie die direkte Kommunikation mit dem Dienstleister
Detaillierte Rechnungsdaten, die unmittelbare Rückschlüsse auf spezifische Erkrankungen zulassen
In vereinzelten Fällen auch Kontoverbindungen

Zeitraum der gestohlenen Daten

Stichtag 14. April 2026: Der Cyberangriff fand Mitte April statt. Es können potenziell alle Datensätze betroffen sein, die bis zu diesem Tag auf den kompromittierten Systemen des Dienstleisters gespeichert waren.
Fokus auf laufende Vorgänge: Die Angreifer luden gezielt einen Datenbereich herunter, der die Kommunikation zu Abrechnungswidersprüchen von Privatpatienten und Selbstzahlern enthielt. Dies deutet darauf hin, dass insbesondere Daten aus jüngeren und noch nicht vollständig abgeschlossenen Abrechnungsprozessen vor dem Angriffsdatum abgeflossen sind.

Mögliche Folgen für Betroffene

Je nach Umfang der im Einzelfall gestohlenen Daten ergeben sich für die Patientinnen und Patienten unterschiedliche Risiken:

Phishing und Identitätsdiebstahl: Da massenhaft Basisdaten wie Name, Adresse und Geburtsdatum abgeflossen sind, können Kriminelle hochgradig personalisierte, echt wirkende Betrugs-E-Mails oder -Anrufe (Phishing) erstellen. Zudem ist Bestellbetrug unter fremdem Namen möglich.
Finanzieller Betrug: In einigen wenigen bestätigten Fällen (beispielsweise bei fünf Personen der Uniklinik Köln) wurden auch Kontoverbindungen erbeutet. Hier besteht die direkte Gefahr unberechtigter Abbuchungen.
Erpressung mit Gesundheitsdaten: Bei einem Teil der Betroffenen wurden Rechnungsdaten und direkte Arzt-Patienten-Kommunikation gestohlen, die Rückschlüsse auf Diagnosen zulassen. Cyberkriminelle könnten versuchen, Betroffene mit der drohenden Veröffentlichung dieser intimen Details zu erpressen.
Verkauf im Darknet: Der Dienstleister stuft eine Veröffentlichung der Daten derzeit als „nicht wahrscheinlich“ ein. Dennoch besteht bei Ransomware-Angriffen generell das hohe Risiko, dass die gestohlenen Datensätze in kriminellen Foren im Darknet zum Kauf angeboten werden.

Reaktionen und nächste Schritte

Die betroffenen Universitätskliniken haben sofort nach Bekanntwerden des Vorfalls die Datenübertragung an den Dienstleister vollständig gestoppt. Die Datenschutzbehörden sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind eingeschaltet, zudem wurden Strafanzeigen erstattet.

Für Betroffene gelten nun folgende Punkte:

Posteingang prüfen: Die Kliniken informieren aktuell alle betroffenen Patienten individuell auf dem Postweg über den Vorfall und das genaue Ausmaß der entwendeten persönlichen Daten.
Erhöhte Vorsicht: Da massenhaft Adressdaten erbeutet wurden, besteht ein erhöhtes Risiko für zielgerichtete Phishing-Versuche oder Identitätsdiebstahl.
Monitoring: Experten überwachen das Internet und das Darknet engmaschig, um sofort reagieren zu können, falls die gestohlenen Datensätze dort zum Verkauf angeboten werden. Bislang stufen die Behörden eine direkte Veröffentlichung als eher unwahrscheinlich ein.

Quellenangaben

Offizielle Mitteilungen der Kliniken

Mehrere große Universitätskliniken haben am 21. und 22. Mai 2026 offizielle Pressemitteilungen herausgegeben, die den Vorfall bestätigen:

Uniklinik Köln: Bestätigte am 21.05. den Abfluss von knapp 30.000 Patientendatensätzen. Darunter befanden sich 843 Fälle mit Gesundheitsdaten und fünf mit Finanzdaten.
Universitätsklinikum Freiburg: Informierte am 21.05. über rund 54.000 betroffene Personen, bei 900 davon sind sensible Rechnungsdaten abgeflossen.
Uniklinik Düsseldorf (UKD): Veröffentlichte am 22.05., dass über 3.000 Fälle betroffen sind. Besonders brisant hierbei: Die Zusammenarbeit des UKD mit unimed endete bereits im Jahr 2024.
Weitere offizielle Statements gab es von den Kliniken in Heidelberg (ca. 11.000 Betroffene), Tübingen, Ulm sowie vom Universitätsklinikum des Saarlandes (1.266 Betroffene).

Medienberichte

Der Vorfall wurde ab dem 21. Mai bundesweit durch die dpa (Deutsche Presse-Agentur) verbreitet und breit aufgegriffen:

Kölner Stadt-Anzeiger (22.05.2026): Berichtete detailliert unter dem Titel „Cyberangriff: Zehntausende Daten von Patienten der Uniklinik Köln gehackt“.
Radio Regenbogen / dpa (22.05.2026): Der Artikel „Datenklau bei Unikliniken – Risiken für Betroffene?“ zitiert das Cybercrime-Zentrum Baden-Württemberg und liefert Details zum Angriff.
IT-Fachportale (z.B. BornCity, 22.05.2026): Analysierten die technischen Hintergründe unter der Überschrift „Gesundheitsdienstleister Unimed im April 2026 durch Cyberangriff getroffen“.