Cyberangriff auf Dienstleister: Sensible Patientendaten des Uniklinikums Tübingen gestohlen
Von einem externen Dienstleiter wurden bei einem Cyberangriff sensible Daten von rund 5000 Patienten des Uniklinikums Tübingen gestohlen.
Carolin Albers/Archiv- Cyberangriff auf externen Abrechnungsdienst: Daten von rund 5000 UKT-Patienten gestohlen.
- 1200 Betroffene mit privaten Leistungen: Gesundheitsdaten wie Diagnosen und Akteninhalte entwendet.
- Finanzdaten betroffen: bei sechs Personen sensible Bankdaten, bei 3800 allgemeine Abrechnungsdaten.
- Kliniken selbst nicht betroffen – Versorgung und Systeme liefen weiter, Datenfluss sofort gestoppt.
- Briefe informieren individuell: Passwörter ändern und Kontobewegungen prüfen; Veröffentlichung gilt als unwahrscheinlich.
Die Zusammenfassung wurde durch künstliche Intelligenz erstellt.
Bei einem Cyberangriff auf einen externen Dienstleister, der für das Universitätsklinikum Tübingen die privat- und wahlärztliche Abrechnung übernimmt, wurden Daten von rund 5000 Patientinnen und Patienten gestohlen. Die Betroffenen sollen jetzt per Brief individuell informiert werden. Die Patientenversorgung am Klinikum oder klinische Systeme seien zu keinem Zeitpunkt betroffen gewesen, so die Pressestelle des Uniklinikums.
Betroffen sind die vier Universitätsklinika in Baden-Württemberg – neben Tübingen die in Freiburg, Heidelberg und Ulm. Der von dem Cyberangriff betroffene Dienstleister übernimmt für alle vier Uniklinika und für diverse weitere Kliniken in Deutschland die Abrechnungen von Patienten mit privater oder wahlärztlicher Leistung. Der Angriff habe ausschließlich den externen Dienstleister und nicht die Kliniken selbst betroffen.
Betroffene bekommen einen Brief mit Tipps
Von 1200 Patienten und Patientinnen des Universitätsklinikums Tübingen mit privater (Zusatz-) Versicherung wurden Gesundheitsdaten gestohlen: Inhalte aus Patientenakten, Diagnosen, Diagnosecodes sowie sonstige konkrete Angaben zu Erkrankungen, Behandlungen oder Gesundheitsverläufen, die eine unmittelbare inhaltliche Aussage über den Gesundheitszustand der betroffenen Person ermöglichen, so das Uniklinikum.
Tübinger Expertin für CyberkriminalitätSensible Finanzdaten, also etwa IBAN, Kontonummern oder sonstige Bank- und Zahlungsdaten wurden demnach von sechs Betroffenen gestohlen. Und allgemeine Finanzdaten – also Auszüge aus Rechnungen oder Zahlungsaufstellungen – wurden von 3800 Betroffenen kompromittiert.
Die betroffenen Patientinnen und Patienten werden, so das Uniklinikum, in diesen Tagen persönlich über den Vorfall informiert. Auch eine Kontaktstelle für Anfragen zu dem Fall wurde eingerichtet. Patientinnen und Patienten, die kein Schreiben vom Universitätsklinikum Tübingen erhalten, sind nicht betroffen. In dem Brief bekommen die Betroffenen auch Handlungsempfehlungen. Sie sollen ihre Passwörter ändern und auf Unregelmäßigkeiten bei Abbuchungen achten.
Experten halten Veröffentlichung der Daten für unwahrscheinlich
„Kaum andere Daten sind so sensibel wie Gesundheitsdaten. Ihr Missbrauch oder Diebstahl kann für Betroffene schwerwiegende Folgen haben“, wird Prof. Jens Maschmann, Leitender Ärztlicher Direktor des Universitätsklinikums Tübingen, in der Pressemitteilung zitiert. „Wir bedauern den Datendiebstahl und die daraus entstandene Verunsicherung zutiefst.“
Der Cyberangriff auf den externen Dienstleister erfolgte nach bisherigen Erkenntnissen bereits Mitte April. Das Universitätsklinikum Tübingen stoppte unmittelbar nach Bekanntwerden des Vorfalls die Datenübertragung an den Dienstleister. Seit Bekanntwerden hat das Universitätsklinikum weitere Informationen vom Dienstleister eingefordert. Das konkrete Ausmaß und die Art der abgeflossenen Daten seien erst diese Woche belastbar mitgeteilt worden. Entsprechend informiert das Universitätsklinikum Tübingen nun die Öffentlichkeit.
Der Vorfall sei inzwischen vom externen Dienstleister des Klinikums unter Hinzuziehung externer Sicherheitsexperten umfassend analysiert worden. Eine Veröffentlichung der entwendeten Daten sei nach Einschätzung der eingebundenen Experten des Dienstleisters nicht wahrscheinlich. Für den Fall einer solchen Veröffentlichung wurden ein engmaschiges Monitoring (unter anderem im Internet einschließlich Darknet) sowie rechtliche Eskalationsoptionen vorbereitet.
Die zuständige Datenschutzbehörde und das Bundesamt für Sicherheit in der Informationstechnologie wurden am 16. April informiert. Das Universitätsklinikum Tübingen will über weitere gesicherte Erkenntnisse informieren.
Mehr als 500.000 Patienten im Jahr
Am Uniklinikum Tübingen wurden im vergangenen Jahr rund 440.000 Patientinnen und Patienten ambulant versorgt, weitere rund 75.300 auf Stationen behandelt. Durchschnittlich bleibt ein Patient 6,4 Tage in der Klinik. Das Einzugsgebiet reicht vom Ballungsraum Mittlerer Neckar bis an den Bodensee.
