In Eppendorf, einem der pulsierenden Stadtteile Hamburgs, kam es zu einem alarmierenden Vorfall: Das Universitätsklinikum Hamburg-Eppendorf (UKE) wurde Opfer eines Cyberangriffs, der viele Menschen betrifft. Die Attacke hatte es auf einen externen Dienstleister abgesehen – ein Unternehmen, das für über die Hälfte der größeren Krankenhäuser und fast alle Universitätskliniken in Deutschland Abrechnungen übernimmt. Und das hat es in sich! Das UKE betont, dass die klinischen Systeme und die Versorgung der Patient:innen nicht betroffen waren. Dennoch ist die Situation alles andere als erfreulich.
Die Liste der gestohlenen Daten ist lang und besorgniserregend. Dazu gehören Namen, Adressen und hochsensible Patientendaten. Besonders alarmierend: 5244 Betroffene müssen nun mit dem Verlust von Rechnungssummen rechnen. In rund 1500 Fällen wurden sogar sensible Inhalte aus Patientenakten entwendet, darunter Diagnosen und Gesundheitsverläufe. Das sind Informationen, die man nicht einfach so in die falschen Hände geraten lassen sollte. In vier Fällen wurden zudem Finanzdaten wie IBAN und Kontonummern gestohlen. Und das ist nur die Spitze des Eisbergs, denn nahezu alle Universitätskliniken und großen Krankenhäuser in Deutschland sind betroffen – darunter auch das UKSH in Kiel, wo 9000 Namen und Adressen entwendet wurden.
Direkte Kommunikation mit den Betroffenen
Das UKE hat bereits Pläne in die Wege geleitet, um alle betroffenen Patienten direkt zu informieren. Wer keinen Brief erhält, ist nicht betroffen. Das klingt erst einmal beruhigend, doch die Unsicherheit bleibt. Die Datenübertragung an den Dienstleister wurde bis auf Weiteres gestoppt, was ein Schritt in die richtige Richtung ist. Der Dienstleister selbst, Unimed, gab an, dass der Cyberangriff bereits Mitte April stattfand und bedauerte die Vorfälle. Die Frage ist jedoch, wie es so weit kommen konnte und was jetzt mit den gestohlenen Daten passiert. Oft landen solche Informationen im Darknet – und wer weiß schon, welche skrupellosen Pläne damit verfolgt werden?
Ein Blick auf die Hintergründe
Professor Sebastian Schinzel von der FH Münster hat ebenfalls einige spannende Einsichten zu bieten. Er äußert, dass es unklar ist, ob es sich um einen zielgerichteten Angriff handelt. Die Angreifer scheinen zunächst nach angreifbaren Servern und IT-Infrastrukturen zu suchen. Das wirft ein Licht auf ein größeres Problem, das viele Kliniken betrifft. Häufig wird die IT-Infrastruktur an Dienstleister ausgelagert, um Kosten zu sparen und Know-how zu nutzen. Doch diese Auslagerung bringt auch Risiken mit sich, denn je mehr Beteiligte Zugriff auf sensible Daten haben, desto höher ist die Gefahr eines Angriffs. Kein Unternehmen kann sich zu 100 Prozent vor Hackerangriffen schützen – das ist eine bittere Realität.
Zu den strukturellen Problemen im Gesundheitssektor zählt auch das mangelnde Bewusstsein für Datenschutz. Da warten viele Herausforderungen auf ein Umdenken, und die Diskussion über zentrale Datenhaltung als mögliche Lösung ist notwendig. Die Rechte der Betroffenen sind klar: Auskunfts-, Informations- und Beschwerderechte stehen jedem zu. Kliniken müssen bei gravierenden Datenschutzverletzungen informieren. Betroffene können Berichtigungen verlangen, Beschwerden bei Datenschutzbehörden einreichen und Schadensersatzansprüche geltend machen. Das klingt nach viel Bürokratie, aber das sollte den Betroffenen immerhin ein Stück Sicherheit geben.
In einer Zeit, in der digitale Kommunikation und Datenverarbeitung an der Tagesordnung sind, ist es wichtiger denn je, bewusst mit Gesundheitsdaten umzugehen und nach externen Dienstleistern zu fragen. Auch wenn es nicht einfach ist, sich in dieser komplexen Materie zurechtzufinden, sollten Betroffene wachsam bleiben und auf jede Form von betrügerischer Kommunikation achten. Manchmal fühlt man sich in solchen Situationen wie im falschen Film – und das kann niemand wirklich wollen.