„Wenn Gesundheitsdaten und andere sensible Daten wie Zahlungsdaten in die Hände von Kriminellen gelangen, dann gehen wir von einem hohen Risiko aus“, erklärte ein Sprecher grundsätzlich. Die vier Universitätskliniken in Baden-Württemberg hatten Mitte Mai über den Fall informiert. Seither meldeten sich weitere Kliniken, auch Lokalmedien recherchierten dazu vor Ort. Demnach steigt die Zahl der Patienten, die nun um ihre Daten bangen, auf mindestens 80.000 allein im Südwesten.

Der Dienstleister Unimed erklärte: „Bei der weit überwiegenden Mehrheit der abgeflossenen Daten handelt es sich nicht um besonders sensible Finanz- und Gesundheitsdaten von Patienten.“ Nach aktueller Einschätzung beauftragter Spezialisten sei eine Veröffentlichung der entwendeten Daten nicht mehr wahrscheinlich, teilte das Unternehmen im saarländischen Wadern mit. Auch lägen derzeit weder Hinweise vor, dass abgeflossene Daten veröffentlicht worden sind, noch Anhaltspunkte für einen konkreten Missbrauch der Daten.

Ermittlungen im Saarland

Nach bisherigen Erkenntnissen hatten sich unbekannte Täter unberechtigt Zugriff auf Teile der IT-Infrastruktur des Unternehmens verschafft, wie die Landespolizeidirektion mitgeteilt hatte. Das Fachdezernat „Qualifizierte Cybercrime“ beim saarländischen Landeskriminalamt ermittelt.

Ein Sprecher des Cybercrime-Zentrums (CCZ) Baden-Württemberg bei der Generalstaatsanwaltschaft Karlsruher verwies darauf, dass zwar Daten von Patienten von Kliniken im Südwesten abgezogen worden sein sollen. „Der Angriff soll jedoch nicht bei den Kliniken direkt, sondern bei einem externen Dienstleister stattgefunden haben.“ Da dieser seinen Sitz im Saarland habe, seien die dortigen Behörden zuständig.

Auch aus Sicht des Datenschutzes spielt die Musik zunächst dort. Der betroffene Dienstleister unterliege der Aufsicht des Unabhängigen Datenschutzzentrums Saarland, teilte der Landesdatenschutzbeauftragte für Baden-Württemberg in Stuttgart mit. Die Behörde sei im Austausch mit Kolleginnen und Kollegen aus anderen Bundesländern.

Sie bearbeitet aber die Meldungen der Kliniken aus dem Südwesten. Auch von ersten Beschwerden in dem Zusammenhang berichtete der Sprecher. Das Uniklinikum Tübingen teilte unterdessen mit, den Zugang zu Unimed nach einer Sicherheitsprüfung wieder geöffnet zu haben.

Das Landesgesundheitsministerium hat nach Auskunft einer Sprecherin weder die Fach- noch die Rechtsaufsicht über die Krankenhäuser im Land, daher gebe es gegenüber dem Haus keine Meldepflicht. Diese bestehe gegenüber dem Bundesamt für Sicherheit in der Informationstechnik, das sich auf Nachfrage aber nicht äußern wollte, sondern an Unimed verwies. Auch ein Verweis an die Baden-Württembergische Krankenhausgesellschaft führte ins Leere.

Dienstleister entwarnt

Unimed betonte, nach Erkennen des Cyberangriffs Mitte April umgehend und umfassend gehandelt zu haben, um potenzielle Risiken für Kunden und deren Patienten möglichst zu minimieren. Die Angreifer hätten laut der abgeschlossenen forensischen Untersuchungen den Zugriff auf das IT-System von Unimed schon während ihres Angriffs verloren. „Es befinden sich keine unbefugten Dritten mehr in unseren Systemen und diese werden zudem engmaschig durch ein externes Security Operations Center überwacht.“

Nachdem das Unternehmen Kenntnis von dem Vorfall erlangt hatte, habe es die Datenschnittstellen zu seinen Kunden vorsorglich selbst getrennt und diese über den Vorfall informiert. Erst nach der forensischen Untersuchung und Freigabe der Systeme sowie zusätzlicher IT-Sicherheitsmaßnahmen habe Unimed seine Datenschnittstellen zu Kunden wieder in Betrieb genommen.

Welche Rechte haben Patientinnen und Patienten?

Grundsätzlich haben Betroffene gemäß Datenschutz-Grundverordnung (DSGVO) zahlreiche Rechte, es kommt letztendlich aber auf den konkreten Fall an. Sie können zum Beispiel erfragen, ob und welche ihrer Daten konkret von dem Vorfall betroffen seien, wie der Landesdatenschutzbeauftragte erklärte. Auf zivilrechtlichem Weg könne man Schadenersatz für entstandenen materiellen oder immateriellen Schaden vom Verantwortlichen oder Dienstleister verlangen, wenn ein DSGVO-Verstoß wie mangelhafte Sicherheit Ursache des Vorfalls gewesen sei und der Vorfall zu einem tatsächlichen, spürbaren Nachteil geführt habe.

Was muss ich als Betroffener jetzt beachten?

Die Verbraucherzentrale rät, jetzt besonders aufzupassen, zum Beispiel auf verdächtige Mails zu achten und die Kontoauszüge genau zu kontrollieren. Mögliche Ansprüche könnten die Betroffenen auf der Internetseite der Verbraucherzentrale einsehen. Der Landesdatenschutzbeauftragte mahnt auch zu Vorsicht, wenn bislang unbekannte Anbieter jemanden kontaktieren und Bezug auf die möglicherweise abhanden gekommenen Informationen nehmen. „Ebenso sollten sie bei der Bezahlung von Rechnungen die Empfänger genau prüfen, da möglicherweise manipulierte Rechnungen verschickt werden.“

Wie empfehlen die Kliniken?

Die Universitätsklinik in Tübingen beispielsweise hat alle 902 Menschen angeschrieben, die vom Leck bei Unimed betroffen sind. Wenn Gesundheitsdaten entwendet wurden, sei es wichtig, keine sensiblen Gesundheitsinformationen bei einer unerwarteten Kontaktaufnahme herauszugeben, steht in dem Schreiben. Betroffene sollten die Identität der Menschen prüfen, die sich möglicherweise in diesem Zusammenhang melden. Unerwartete Anrufe, Mails oder Nachrichten, in denen auf medizinische Behandlungen, Versicherungen oder Gesundheitsleistungen Bezug genommen wird, sollten zudem kritisch geprüft werden.

Wurden Finanzdaten entwendet, sollten Patienten genau auf Konten und Zahlungsdienste achten, Kontoauszüge und Kreditkartenumsätze regelmäßig kontrollieren. Bei Auffälligkeiten sollte man sofort die Bank informieren. Sorgfältige Prüfung sei auch geboten bei Abfragen von Zugangsdaten oder Sicherheitsinformationen in unerwarteten Nachrichten, Anrufen oder Mails.

Auch die Unikliniken Freiburg und Ulm haben Menschen, bei denen es Hinweise darauf gibt, dass Gesundheitsdaten gestohlen worden sein könnten, persönlich kontaktiert. Für Fragen sei eine E-Mail-Adresse eingerichtet worden. „Es haben sich rund 100 Menschen gemeldet und gefragt, ob ihre Daten betroffen sind“, sagte ein Sprecher in Freiburg.

Können sich Patienten auch an Unimed wenden?

Eine Hotline oder Ähnliches gibt es nicht. Betroffene werden in der Regel von den behandelnden Kliniken persönlich informiert, wie das Unternehmen mitteilte. In Ausnahmefällen könne in Absprache mit Kunden auch eine Information von Patienten durch Unimed im Auftrag von Kliniken erfolgen.

Der Anbieter betonte, bei dem Vorfall seine Informationspflichten eingehalten zu haben. Zugleich sei Unimed bewusst, dass der Vorfall Kunden vor Herausforderungen stelle. „Wir arbeiten entschlossen daran, dies partnerschaftlich zu lösen und das Vertrauen von Kunden und deren Patienten zu wahren.“ Gefragt nach Kompensationen und Haftungsregelungen machte ein Sprecher mit Verweis auf die Vertraulichkeit keine Angaben zu Vertragsverhältnissen oder deren Inhalten.