Patientendaten als Beute: Der Angriff auf Unikliniken legt Systemversagen in der Lieferkette offen

Laut Medienberichten wurden bei einem Abrechnungsdienstleister Zehntausende sensible Patientendaten gestohlen – darunter Namen, Adressen, Gesundheitsdaten und teils sogar Kontoverbindungen

[datensicherheit.de, 29.05.2026] Gerald Eid, „Regional Managing Director DACH“ bei Getronics, widmet sich in seiner aktuellen Stellungnahme der Entwendung Zehntausender Patientendatensätze, welche Universitätskliniken in ganz Deutschland betroffen habe – die eigentliche Schwachstelle habe aber nicht bei den Kliniken selbst gelegen, sondern bei einem externen Abrechnungsdienstleister. Eid kommentiert: „Dieser Vorfall ist kein Einzelfall! Er ist das jüngste Beispiel eines Musters, das sich durch die deutsche Wirtschaft zieht: Der Angriff kommt nicht durch die Vordertür. Er kommt über die Lieferkette.“

Foto: Getronics

Gerald Eid verweist auf ein strukturelles Problem: Warum hat ein externer Dienstleister Zugriff auf Gesundheitsdaten von Zehntausenden Patienten über einen Zeitraum von bis zu zehn Jahren?

Angriffsfläche einer Organisation umfasst jeden Partner, jeden Dienstleister und jede Schnittstelle, über die sensible Daten fließen

„Was diesen Fall besonders heikel macht, ist die Natur der erbeuteten Daten“, berichtet Eid: Stammdaten, Rechnungsinformationen und in Teilen auch Diagnosen, Behandlungsverläufe und Gesundheitsdaten seien betroffen – „Informationen, die sich nicht wie ein Passwort zurücksetzen lassen“. Für die Betroffenen sei der Schaden dauerhaft.

• Für die Angreifer seien solche Datensätze auf dem Schwarzmarkt um ein Vielfaches wertvoller als gewöhnliche Zugangsdaten. Im Gesundheitswesen stehe mit dem Vertrauen der Patienten das höchste Gut auf dem Spiel – und genau dieses Vertrauen sei hier verletzt worden.

„Die Tatsache, dass die klinischen Systeme durchgehend funktionsfähig blieben, ist kein Grund zur Entwarnung. Im Gegenteil: Sie verdeckt die eigentliche Schwachstelle!“ Die Angriffsfläche einer Organisation ende eben nicht an den eigenen Systemgrenzen. Sie umfasse jeden Partner, jeden Dienstleister, jede Schnittstelle, über die sensible Daten fließen.

Datensparsamkeit hilft, die Angriffsfläche zu verringern

„Ein einzelner Abrechnungsdienstleister, der für zahlreiche Kliniken in Deutschland arbeitet, wird so zum ,Single Point of Failure’ für eine gesamte Branche. Der ,Dominoeffekt’, den wir bei Angriffen auf die Fertigungsindustrie längst kennen, ist jetzt auch im Gesundheitswesen angekommen.“

• Besonders alarmierend sei, dass Regulierung diesen Angriff nicht verhindert habe. „Universitätskliniken gehören zu den am strengsten regulierten Einrichtungen in Deutschland. DSGVO, NIS-2, BSI-Vorgaben – das Regelwerk ist umfassend.“ Doch „Compliance“ an den eigenen Systemgrenzen reiche nicht aus, „wenn der Dienstleister dahinter zur offenen Flanke wird“. Regulierung schaffe zwar Mindeststandards – Sicherheit entstehe aber erst, „wenn diese Standards auf die gesamte Wertschöpfungskette angewendet werden“.

Dieser Vorfall offenbare darüber hinaus ein strukturelles Problem: „Warum hat ein externer Dienstleister Zugriff auf Gesundheitsdaten von Zehntausenden Patienten über einen Zeitraum von bis zu zehn Jahren?“ Datensparsamkeit sei kein Hindernis für effiziente Prozesse, sondern ein Architekturprinzip, welches den potenziellen Schaden im Ernstfall massiv begrenzen könne. „Je weniger sensible Daten an Dritte fließen, desto kleiner ist die Angriffsfläche!“

Echte Resilienz im Gesundheitswesen erfordert Umdenken auf mehreren Ebenen:

• Lieferantenrisiko als Chefsache
  Jeder externe Partner mit Zugriff auf Patienten- oder Unternehmensdaten müsse in das eigene Risikomanagement einbezogen werden. Sicherheitsaudits, vertragliche Mindeststandards und regelmäßige Überprüfungen dürften keine Ausnahme sein.
• „Zero Trust“ über die eigenen Grenzen hinaus
  In einem vernetzten System dürfe keinem Akteur pauschal vertraut werden – auch nicht langjährigen Partnern. Strikte Zugriffskontrollen, Mikrosegmentierung und kontinuierliches Monitoring müssten die gesamte Datenverarbeitungskette abdecken, nicht nur die eigene Infrastruktur.
• Datensparsamkeit konsequent umsetzen
  Organisationen müssten hinterfragen, welche Daten sie an Dritte weitergeben und ob der Umfang tatsächlich notwendig ist. Minimaler Datentransfer bedeute minimalen Schaden im Ernstfall.
• Notfallpläne für Drittanbieter-Vorfälle
  Krisenpläne müssten explizit das Szenario abbilden, dass nicht das eigene System, sondern ein externer Dienstleister kompromittiert wird. Der aktuelle Fall zeige, dass zwischen Angriff und belastbarer Information Wochen vergehen könnten. „Wer in dieser Zeit keinen Fahrplan hat, verliert die Kontrolle über die Kommunikation und das Vertrauen der Betroffenen!“

Die Digitalisierung des Gesundheitswesens sei richtig und notwendig. Aber sie dürfe nicht schneller voranschreiten als die Absicherung der Strukturen, die sie tragen. Eid gibt abschließend zu bedenken: „Der Angriff auf die Unikliniken zeigt: Wer seine eigenen Mauern hochzieht, aber die Hintertür beim Dienstleister offenlässt, schützt am Ende niemanden. Cybersicherheit im Gesundheitswesen beginnt nicht beim eigenen Rechenzentrum. Sie beginnt bei der Frage, wem man seine sensibelsten Daten anvertraut und ob man deren Schutz auch tatsächlich überprüft.“

Weitere Informationen zum Thema:

getronics
A proud history / Empowering your business since 1887

getronics
Regionalmanager / Gerald Eid, Managing Director, DACH

mdr AKTUELL, 24.05.2026
Hackerangriff auf Abrechnungsdienstleister / Warum auch Patienten aus Mitteldeutschland betroffen sein könnten

datensicherheit.de, 04.02.2025
Geknackte IoMT-Geräte mit hohem Schadenspotenzial: Datenschutzverletzung, Geräteausfall und Unterbrechung der Patientenversorgung / Krankenhäuser müssen IoMT-Geräte abzusichern, um Patientendaten zu schützen und unterbrechungsfreien medizinischen Betrieb zu gewährleisten

datensicherheit.de, 21.08.2020
Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz / Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

datensicherheit.de, 18.09.2019
Patientendaten: Sicherheitsexperte fordert Ende-zu-Ende-Verschlüsselung / Detlef Schmuck stellt hochsicheren Ausweg angesichts des jüngsten Vorfalls vor