Die IT-Systeme und die Patientenversorgung der Kliniken selbst waren zu keinem Zeitpunkt gefährdet, da der Angriff ausschließlich die Server des saarländischen Dienstleisters traf. Bundesweit sind nach aktuellem Kenntnisstand Daten von über 100.000 Patientinnen und Patienten abgeflossen.

Zudem meldeten das Universitätsklinikum des Saarlandes (1.266 Betroffene) sowie die Uniklinik Düsseldorf ebenfalls Datenabflüsse. Im Fall von Düsseldorf sind auch ältere Daten aus einer bereits beendeten Kooperation betroffen.

Bei der überwiegenden Zahl der Betroffenen erbeuteten die Kriminellen reine Stammdaten. Dazu zählen Basisinformationen wie Name, Geburtsdatum und die private Anschrift.

In einem kleineren, aber kritischen Teil der Fälle konnten die Hacker jedoch auch tiefergehende Gesundheits- und Finanzdaten abgreifen. Dies umfasst unter anderem:

Zeitraum der gestohlenen Daten

Mögliche Folgen für Betroffene

Je nach Umfang der im Einzelfall gestohlenen Daten ergeben sich für die Patientinnen und Patienten unterschiedliche Risiken:

Die betroffenen Universitätskliniken haben sofort nach Bekanntwerden des Vorfalls die Datenübertragung an den Dienstleister vollständig gestoppt. Die Datenschutzbehörden sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind eingeschaltet, zudem wurden Strafanzeigen erstattet.

Für Betroffene gelten nun folgende Punkte:

Quellenangaben

Offizielle Mitteilungen der Kliniken

Mehrere große Universitätskliniken haben am 21. und 22. Mai 2026 offizielle Pressemitteilungen herausgegeben, die den Vorfall bestätigen:

• Uniklinik Köln: Bestätigte am 21.05. den Abfluss von knapp 30.000 Patientendatensätzen. Darunter befanden sich 843 Fälle mit Gesundheitsdaten und fünf mit Finanzdaten.
• Universitätsklinikum Freiburg: Informierte am 21.05. über rund 54.000 betroffene Personen, bei 900 davon sind sensible Rechnungsdaten abgeflossen.
• Uniklinik Düsseldorf (UKD): Veröffentlichte am 22.05., dass über 3.000 Fälle betroffen sind. Besonders brisant hierbei: Die Zusammenarbeit des UKD mit unimed endete bereits im Jahr 2024.
• Weitere offizielle Statements gab es von den Kliniken in Heidelberg (ca. 11.000 Betroffene), Tübingen, Ulm sowie vom Universitätsklinikum des Saarlandes (1.266 Betroffene).

Medienberichte

Der Vorfall wurde ab dem 21. Mai bundesweit durch die dpa (Deutsche Presse-Agentur) verbreitet und breit aufgegriffen:

• Kölner Stadt-Anzeiger (22.05.2026): Berichtete detailliert unter dem Titel „Cyberangriff: Zehntausende Daten von Patienten der Uniklinik Köln gehackt“.
• Radio Regenbogen / dpa (22.05.2026): Der Artikel „Datenklau bei Unikliniken – Risiken für Betroffene?“ zitiert das Cybercrime-Zentrum Baden-Württemberg und liefert Details zum Angriff.
• IT-Fachportale (z.B. BornCity, 22.05.2026): Analysierten die technischen Hintergründe unter der Überschrift „Gesundheitsdienstleister Unimed im April 2026 durch Cyberangriff getroffen“.