Sensible Daten bei Cyberangriffen auf Abrechnungsdienstleister für Kliniken gestohlen

Es ist ja so: Solange nichts passiert, machen wir uns nicht so viele Gedanken und vertrauen darauf, dass beispielsweise unsere Gesundheitsdaten sicher verarbeitet werden. Immerhin handelt es sich dabei um besonders sensible Daten, die nach Art. 9 DSGVO einen besonderen Schutzstatus genießen.

Mittlerweile schreiben Kliniken ihre Rechnungen nicht mehr selbst, sondern lassen dies einen Abrechnungsdienstleister machen. Zum Beispiel den Abrechnungsservice Unimed, der v.a. die Abrechnung für Privatpatienten macht. Wir vertrauen also darauf, dass schon nichts passieren wird, wenn sich ein Profi darum kümmert.

Aber nun wurde deutlich, dass es im April einen Cyberangriff auf Unimed gab, in dessen Rahmen die Daten von Zehntausenden von Patientinnen und Patienten abgegriffen wurden. Neben Stammdaten wie Name, Anschrift und Geburtsdatum auch Informationen zu Erkrankungen und Behandlungsmaßnahmen. Betroffen sind Privatpatienten und gesetzlich Versicherte, die Zusatzleistungen, die nicht über die GKV abgerechnet werden können, in Anspruch genommen haben.

Es wurden Daten von Patienten aus dem gesamten Bundesgebiet abgegriffen. Allein Universitätskliniken wie Köln, Freiburg, Heidelberg, Tübingen und Hamburg meldeten tausende Fälle. Besonders problematisch ist, dass viele Betroffene erst Wochen später vom tatsächlichen Ausmaß des Vorfalls erfahren haben. Dies wirft wieder einmal die Frage auf, wie schnell Unternehmen und Behörden im Falle eines Datenlecks die Betroffenen informieren müssen. Zudem ist fraglich, ob bestehende Meldewege im Ernstfall wirklich funktionieren.    

Unternehmen, die Gesundheitsdaten verarbeiten, müssen technisch und organisatorisch höchste Sicherheitsstandards gewährleiten. Der Vorfall im April zeigt allerdings, dass auch spezialisierte Dienstleister nicht automatisch auch ausreichend Schutz gewährleisten. Die Digitalisierung des Gesundheitsweisens schreitet rasch vor, aber die Cybersicherheit hält oft nicht Schritt.

Betroffenen wird nach dem Angriff vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geraten, besonders auf gezielte Phishing-Mails zu achten, die auch Erpressungsversuche enthalten können. Misstrauen ist in diesem Fall also kein Zeichen von Paranoia, sondern ein Teil einer digitalen Selbstverteidigung. E-Mails, Anrufe oder Rechnungen sollten also stets sorgfältig geprüft werden. Und im Zweifel sollte immer eine direkte Rückfrage bei der jeweiligen Klinik erfolgen.

Dieser aktuelle Fall zeigt wieder einmal, dass Datenschutz kein reines Verwaltungsthema, sondern in Zeiten einer digitalen Gesellschaft unabdingbar ist. Es geht um Vertrauen und um das grundsätzliche Gefühl der Sicherheit.