Datenpannen und Datenlecks im Gesundheitswesen in Deutschland – eine (unvollständige) Übersicht

In der nachfolgenden Übersicht – die bereits mehrmals ergänzt wurde – sind mehr als 40 Fälle von Datenpannen, Datenlecks und Mal- bzw. Ransomware-Angriffen aufgelistet, die Krankenhäuser, Arztpraxen und andere Einrichtungen des Gesundheitswesens in Deutschland in den Jahren seit 2015 betrafen. Vermutlich ist diese Auflistung unvollständig. Hinweise auf weitere Vorfälle nimmt die Redaktion dieser Homepage gern entgegen. Nachricht bitte per Mail an kontakt [at] patientenrechte-datenschutz.de oder durch Nutzung der Kommentarfunktion.

  1. Berufsgenossenschaftliches Klinikum Boberg in Hamburg: BILD meldet am 06.03.2021: „Am 22. Januar informierte ein Mitarbeiter das Krankenhaus, dass ihm vier Tage zuvor sein Rucksack gestohlen worden sei. Darin befand sich ein dienstlicher USB-Stick. Darauf eine Excel-Tabelle mit Namen von Behandelten, der Fallnummer, der Station, dem Entlassungsdatum, der Diagnose oder Art der Versorgung.“ Wie in nahezu allen Fällen von Datenlecks und Datenpannen im Gesundheitswesen in Deutschland: Auf der Homepage der BG Klinikum Hamburg gGmbH sind Antworten auf notwendige Fragen nicht zu finden.
  2. Die Süddeutsche Zeitung berichtet am 15.02.2021: Die Urologische Klinik München Planegg (UKMP) und ihre Patienten sind vor Kurzem Opfer eines Hackerangriffs geworden. Das geht aus einem Informationsschreiben hervor, das die Klinik Anfang Februar an Patientinnen und Patienten verschickte… Auf eine Anfrage… reagierte die Klinikleitung bis zum Wochenende nicht. Die Generalstaatsanwaltschaft Bamberg bestätigte jedoch den Angriff… Nach allem, was bisher bekannt ist, haben Erpresser die Klinik angegriffen, möglicherweise auch weitere Institutionen…“
  3. Das Universitätsklinikum Ulm  hat dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg am 19.01.2021 den Verlust und das Wiederauffinden eines unverschlüsselten USB-Sticks mit Patientendaten gemeldet. Der USB-Stick wurde an einer Klinik im Stuttgarter Raum entdeckt und an das UKU zurückgegeben. Bei dem darauf gespeicherten Material handelt es sich um Daten von bis zu 7.000 Parodontitis-Patient*innen der Klinik für Zahnerhaltungskunde und Parodontologie sowie niedergelassener ZahnarztpraxenDer verantwortliche Mitarbeiter hatte die Daten nach eigener Aussage sichten wollen, um zu klären, ob diese eventuell für eine Studie nutzbar sein könnten.” Das ist einer Pressemitteilung der Uniklinik Ulm vom 05.02.2021 zu entnehmen.
  4. Auf seinem Streifzug durch sogenannte “Lost Places” (Vergessene Orte) hat ein Youtuber im heruntergekommenen St. Nikolaus-Hospital in Büren tausende Krankenakten und Röntgenbilder gefunden. Alle Personendaten lagen dort offen und ganze Krankengeschichten waren nachzulesen. Das berichtet die Neue Westfälische am 30.05.2020. Das ehemalige Krankenhaus im Kreis Paderborn sei seit zehn Jahren geschlossen, habe mehrfach den Besitzer gewechselt und gammele langsam vor sich hin. Obwohl eigentlich ein Sicherheitsdienst für die Immobilie zuständig sei, seien die Türen nicht verschlossen und der Zutritt problemlos möglich. Mittlerweile sei das Gebäude nach Angaben der Stadt abgesperrt und ein Ermittlungsverfahren wurde eingeleitet.
  5. Das baden-württembergische Innenministerium und die Polizei nutzen nach eigenen Angaben Listen mit persönlichen Daten von Corona-Patienten, die ihnen von Gesundheitsämtern übermittelt werden. In einem Bericht des SWR wird ein Vertreter des Innenministeriums zitiert mit der Aussage, dass die Informationsweitergabe der Gesundheitsämter erfolge “indem das einzelne Gesundheitsamt dem Polizeipräsidium, das für den Stadt- oder Landkreis zuständig ist, Daten über die Infizierten regelmäßig übermittelt.” Und weiter: “Wenn die Polizei beispielsweise zu einem Verkehrsunfall gerufen wird, kann sie so überprüfen, ob der Betroffene infiziert ist.” So könne sie vorab konkrete Schutzmaßnahmen ergreifen.
  6. Daten zu mehr als hunderttausend Einsatzfahrten des DRK in Brandenburg sind jahrelang leicht zugänglich gewesen, darunter auch sensible Gesundheitsinformationen von Patienten. In zwei Pressemitteilungen des DRK Landesverbands Brandenburg vom 04.02.2020 und vom 05.02.2020 wird das große Ausmaß dieses Datenlecks deutlich.
  7. Die Süddeutsche Zeitung meldet am 13.12.2019: „Wegen einer Hacker-Attacke auf das IT-System des Klinikums in Fürth ist der Betrieb stark eingeschränkt worden. Seit Freitagvormittag seien vorerst keine Patienten mehr aufgenommen worden, teilte das Krankenhaus mit… Das Computervirus ist nach erster Einschätzung der Klinik per E-Mail in die Computersysteme eingedrungen. Die Internetverbindung des Klinikums sei vorsorglich gekappt worden…“
  8. Aus dem Auguste-Viktoria-Klinikum in Berlin-Schönebergist bei einem Einbruch am 19./20. November 2019 aus einem verschlossenen Dienstraum der Klinik für Urologie… eine externe Festplatte gestohlen worden.“ Diese sei nach Mitteilung des Vivantes-Krankenhaus-Konzerns vom am 27.01.2020 „mit einem Passwort gegen unberechtigten Zugriff geschützt…“ Auf der gestohlenen Festplatte befanden sich „Sicherungskopien… die rund 18.000 Datensätze von Patientinnen und Patienten betreffen… Bei den Daten handelt es sich meist um Identitätsdaten (Name, Adresse, Geburtsdatum), zum Teil auch um Informationen zu Diagnose und/oder Krankheitsbild.“
  9. Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, der Herzschrittmacher ist gut erkennbar. Es sind intimste Bilder, die über Jahre hinweg frei verfügbar im Netz zu finden gewesen sind. Diese Datensätze von weltweit mehreren Millionen Patienten liegen auf Servern, die nicht geschützt sind. Auch Tausende Patienten aus Deutschland lassen sich in diesem Datenleck finden.“ Das berichtet der Bayrische Rundfunk am 17.09.2019.
  10. Die Rhein-Zeitung aus dem Kreis Altenkirchen (Rheinland-Pfalz) meldet am 27.08.2019: „Wissen am vergangenen Mittwochmorgen. Ein junger Mann betritt einen Supermarkt und sieht im Eingangsbereich ein Papier liegen. Er bückt sich und traut seinen Augen kaum. In den Händen hält er vertrauliche Patientendaten aus der Psychiatrie in Wissen.“ Passiert ist dies alles im St. Antonius-Krankenhaus in Wissen.
  11. Heise.de meldet am 16.08.2019: „In der Gesundheits-App Vivy ist der Medikationsplan zahlreicher Nutzer durcheinander geraten. Daher sperrte das Unternehmen die betroffenen Accounts. Grund sei eine ‚Aktualisierung des Softwarecodes‘, die dazu führte, ‚dass Dosierungen der Medikamente am Abend für die Dosierung am Mittag übernommen wurden‘. Der Fehler konnte nicht vonseiten des Unternehmens behoben werden.“ Die Accounts der betroffenen Nutzer wurden dann wohl gesperrt, die entsprechenden Medikationspläne auf den Servern gelöscht. Aber: da laut einer Vivy-Sprecherin die Mitarbeiter keinen Zugriff auf die Daten haben, müssten die Benutzer die Daten im eigenen Gerät selbst löschen.
  12. Die Wormser Zeitung meldet am 16.07.2019: Krankenhäuser und andere Einrichtungen der DRK-Trägergesellschaft Süd-West in Rheinland-Pfalz und im Saarland sind von einem Online-Angriff Krimineller betroffen. Schadsoftware habe das komplette Netzwerk des Krankenhausverbunds mit fünf Akutkrankenhäusern und sechs Fachkliniken befallen.
  13. Die Rhein-Neckar-Zeitung meldet am 16.01.2019: “‘Datenklau’ musste das Universitätsklinikum Heidelberg jetzt einigen Patienten melden. Wie der Klinikumsvorstand den Betroffenen mitteilte, waren Mitte November aus einem verschlossenen Büro drei USB-Sticks entwendet worden, also kleine, mobile Datenträger, die an Computer angeschlossen werden können. Darauf befanden sich nach Angaben einer Kliniksprecherin Namen, Geburtsdaten und Informationen zu Infektionserregern, die bei den üblichen Screeninguntersuchungen von Patienten festgestellt worden waren. Betroffen waren insgesamt 287 Erkrankte… Das Universitätsklinikum hat seine Mitarbeiter nun noch einmal darauf eingeschworen, ‘die Nutzung von USB-Sticks auf ein absolutes Mindestmaß zu reduzieren’. Sie werden angehalten, stattdessen für die Weitergabe von Daten das interne Kliniknetz zu verwenden. ‘Wir arbeiten an technischen Lösungen, dass die Sticks, wenn sie unbedingt genutzt werden müssen, nur mit Verschlüsselung funktionieren’, sagte die Kliniksprecherin der RNZ.” Ein Ausbund an Fahrlässigkeit, der an Vorsatz grenzt!
  14. Das Klinikum Buch in Berlin, seit 2001 Helios Klinikum Berlin-Buch, hat in einem stillgelegten Gebäudeteil Patientenakten gefunden, die in die Hände von Unbefugten gelangt sein könnten. Wie ein Sprecher am 15.01.2019 des Klinikums mitteilte, war es einem Hinweis nachgegangen, dass bei einem Umzug vor mehreren Jahren nicht alle Patientenakten mitgenommen wurden und noch immer in dem leerstehenden Gebäudeteil lagern. Als Mitarbeiter den Verdachten prüften, entdeckten sie tatsächlich Dokumente.
  15. Das Klinikum Fürstenfeldbruck war mehr als eine Woche durch einen Computervirus in weiten Bereichen lahmgelegt.
  16. Mit einer kleinen Anfrage an die Hessische Landesregierung wurde im Juli 2018 bekannt: Jede vierte hessische Klinik war seit 1. Januar 2016 Opfer von Schadsoftware (Malware) oder eines Hackerangriffs.
  17. Der Hessische Datenschutzbeauftragte hat in seinem 46. Tätigkeitsbericht für das Jahr 2017 im Abschnitt 7.1 (S. 80 des Berichts) einen erneuten Fall unberechtigter interner Zugriffe von Beschäftigten des Klinikums Frankfurt-Höchst auf Patientenakten dargestellt. Beschäftigte des Klinikums hatten wiederholt auf Patientenakten von anderen Beschäftigten zugegriffen, die wg. einer Erkrankung im Klinikum behandelt wurden. Eine medizinische oder andere Notwendigkeit für diesen Zugriff war nicht gegeben. In seiner Zusammenfassung des Problems stellt der Hessische Datenschutzbeauftragte fest, dass der “Fall unberechtigter interner Zugriffe auf Patientenakten zeigt, dass neben der technischen Umsetzung eines angemessenen Rollen- und Berechtigungskonzepts für die Zugriffe auf das Krankenhausinformationssystem auch organisatorische Maßnahmen erforderlich sind, um ein angemessenes Datenschutzniveau im Krankenhaus zu gewährleisten.” Am Ende seines Berichts steht die Aussage: “Da es in den vergangenen Jahren im Klinikum wiederholt zu unberechtigten Zugriffen auf Patientendaten von Mitarbeitern gekommen ist, lässt dies vermuten, dass es einzelnen Mitarbeitern an der entsprechenden Sensibilität für den Datenschutz mangelt. Es sind daher geeignete Maßnahmen zu ergreifen, um das Datenschutzbewusstsein der Mitarbeiter zu verbessern (z. B. Schulungen, Infos etc.).”
  18. Es sind nur wenige Sätze in einem längeren Beitrag in der Eßlinger Zeitung vom 12.01.2018. Aber sie haben Brisanz. Der Landesdatenschutzbeauftragte von Baden-Württtemberg wird von der Zeitung mit der Aussage zitiert: “…verhängte der Landesbeauftragte für den Datenschutz, Stefan Brink, bislang nur in zwei Fällen Bußgelder. Das betraf ein soziales Netzwerk, das unverschlüsselt Passwörter von Nutzern gespeichert hatte, die nach einem Hackerangriff im Netz auftauchten. Hier wurde eine Strafe von 20.000 Euro fällig. Ein Bußgeld von 80.000 Euro wurde in einem zweiten Fall verhängt, bei dem Gesundheitsdaten versehentlich im Internet landeten. Details dazu nannte Brink nicht.”
  19. Die Schwäbische Zeitung meldete am 21.12.2017: “103 Leitz-Ordner mit Krankenakten von Patienten der Oberschwabenklinik (OSK) sind offenbar ungeschreddert im Altpapiercontainer auf dem Ravensburger Wertstoffhof gelandet… Der Inhalt der Akten ist äußerst brisant. Sie enthalten nicht nur die kompletten Namen und Anschriften der Patienten, ihre Medikation und Behandlung, sondern auch sensible Details wie die Verweisung ins Zentrum für Psychiatrie nach einem Suizidversuch oder Angaben über Drogen- und Medikamentenmissbrauch…”
  20. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet am 21.02.2017 in einer Pressemitteilung über einen schwerwiegenden Verstoß gegen den Schutz von Sozial- und Gesundheitsdaten: “Ein Bürger hatte uns darauf aufmerksam gemacht, dass in einem Mehrfamilienhaus mit einer Zahnarztpraxis und einer Bankfiliale in einem Kellergang herkömmliche unverschlossene Aktenschränke stünden. Dort würden sich Akten und anderes Material mit personenbezogenen Daten aus einer Zahnarztpraxis befinden. Das Gebäude sei durch eine unverschlossene Haustür und eine stets offene Tiefgarage leicht zu betreten… Wir konnten ungehindert in das Gebäude gelangen und die Schränke öffnen… Wir ordneten mündlich an, die Akten und anderen Gegenstände mit personenbezogenen Daten aus den Schränken zu entfernen und eine andere sichere Aufbewahrungsmöglichkeit zu finden…”
  21. Am 10.02.2016 wurde das Lukaskrankenhaus in Neuss durch einen  Cyberangriff lahm gelegt. Unbekannte hatten das IT-System mit Schadsoftware infiziert. Durch das Virus wurden alle Daten verschlüsselt und unbrauchbar.
  22. Stiftung Warentest hat Ende Februar 2016 die Ergebnisse eines Tests in 30 Arztpraxen in Deutschland veröffentlicht. Die Quintessenz des Berichts: „Bei der Hälfte der Praxen stießen wir auf Verstöße gegen Datenschutzregeln, teils leichte, teils sogar drastische. Bei acht von zehn Anrufen gaben Mitarbeiter Vertrauliches über die Testpatienten preis, etwa Laborwerte oder verordnete Arzneien – ohne die Berechtigung der Anrufer zu hinterfragen… Ebenfalls bedenklich: der sorglose Umgang mit Patienten-E-Mails. Bei vier unserer Anfragen schickten Praxismitarbeiter Infos unverschlüsselt an Adressen, die nun wirklich von jedermann stammen könnten, wie sommerwind_x@gmx.de…“
  23. Heise.de meldete am 11.02.2016 einen Vorfall, für den das Klinikum Bad Salzungen verantwortlich war: “Beim Straßenkarneval in Dermbach (Wartburgkreis) sind zerschredderte Patientenakten als Konfetti unters Volk gebracht worden. Auf den nicht fachgerecht zerkleinerten Papierschnipseln seien personenbezogene Daten wie Namen, Adressen und Telefonnummern zu lesen, sagte der Landesdatenschutzbeauftragte Lutz Hasse… “
  24. Im Februar 2015 wurde bekannt, dass im Münchner Stadtteil Neuperlach vier Säcke mit Röntgenbildern von Patienten der Klinik Weilheim gefunden wurden. Die Röntgenbilder enthielten auch Namen und Geburtsdaten der betroffenen Patienten. Dr. Thomas Petri, der Bayrische Landesbeauftragte für den Datenschutz hat in einer Pressemitteilung vom 19.02.2015 zu diesem Vorfall Stellung genommen. Unter der Überschrift „Vorsicht beim Outsourcing – Entsorgung von Patientenakten außerhalb des Krankenhauses ist regelmäßig unzulässig!“ weist Dr. Thomas Petri auf die Rechtslage hin: “Das Bayerische Krankenhausgesetz  sieht besonders strenge Regelungen vor, um das Patientengeheimnis zu schützen. Bei der Verarbeitung von Patientendaten darf sich ein Krankenhaus regelmäßig nicht anderer Stellen außerhalb des Krankenhauses bedienen. Das betrifft auch die Vernichtung bzw. Entsorgung von Patientendaten. Entsorgungsaufträge an Dritte sind damit im Regelfall tabu. Ein solches Outsourcing kann auch gegen die ärztliche Schweigepflicht (§ 203 StGB) verstoßen. Dieser Vorfall zeigt wieder einmal die Brisanz des Einsatzes externer Dienstleister im Krankenhausbereich… “
  25. Die Frankfurter Allgemeine Zeitung (FAZ) informierte in einem Beitrag vom 30.01.2015: „Rechtlich gesehen ist es Ärzten und Pflegern nicht erlaubt, in Akten von Fällen einzusehen, mit denen sie nicht direkt zu tun haben. Im Sana-Klinikum (in Offenbach) ist aber genau dies geschehen im Fall der getöteten Tugce. Dies bestätigte das Krankenhaus am Freitag. Rund 90 Mitarbeiter hätten illegal die Akte gelesen…“

Update 18.03.2021

136.000 Corona-Testergebnisse samt persönlicher Daten frei einsehbar. Das wird in einem Beitrag vom 18.03.2021 auf der Homepage des Chaos Computer Club e. V. mitgeteilt.


Update 02.06.2021

Bayrisches Rotes Kreuz: Datenpanne bei Blutspendedienst – Gesundheitsdaten an Facebook übermittelt


Update 15.07.2021

Durch eine Cyberangriff auf das Städtische Klinikum Wolfenbüttel wurden Teile des IT-Systems der Klinik lahmgelegt.


Update 23.09.2021

Durch eine Cyberangriff auf den Klinik- und Bildungs-Konzern SRH Holding wurden große Teile des IT-Systems lahmgelegt.


Update 20.11.2021

Der erste deutsche Praxisverwaltungs- und Cloudanbieter wurde gehackt. Es geht um niemand geringeren als die Firma Medatixx, deren Praxissoftware von ca. 25 % aller deutschen Arztpraxen genutzt werden soll.


Update 03.12.2021

Die Bayerische Krankenhausgesellschaft (BKG) ist Opfer von Cyber-Kriminellen geworden. Der E-Mail-Server der BKG wurde am 27.11.2021 mit einer Schadsoftware infiziert. Die BKG ist ein Zusammenschluss der Krankenhausträger und von deren Spitzenverbänden in Bayern.


Update 27.12.2021

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) macht in seinem 3. Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2020 (dort Abschnitt 4.11 – ab S. 146) auf einen illegalen Zugriff von Krankenhauspersonal auf Patient*innenakten aufmerksam und informiert, wie solche Zugriffe wirksam und unter Wahrung der Rechte auch der Beschäftigten unterbunden werden können.


Update 13.01.2022

Der Klinikverbund Medizin Campus Bodensee im Bodenseekreis (Baden-Württemberg) ist seit 13.01.2022 von einem Hackerangriff betroffen. In den Kliniken Friedrichshafen und Tettnang fiel die komplette Informationstechnik aus.


Update 25.01.2022

Wie in Kliniken rechtswidrige Zugriffe auf Patient*Innen- und Behandlungsdaten stattfinden, macht ein Urteil des Landgerichts Flensburg 19.11.2021 (Aktenzeichen: 3 O 227/19) beispielhaft deutlich. Kläger war der Chefarzt der Inneren Abteilung eines Krankenhauses. Wegen eines Herzinfarkts wurde er im Jahr 2015 in der kardiologischen Abteilung des gleichen Krankenhauses behandelt. Im Zeitraum seiner Behandlung griffen Mitarbeiter*innen der Krankenhauses etwa 150-mal auf die Patientendaten des Klägers zu. Der Kläger forderte das Krankenhaus auf, ihm Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Bei seinen Recherchen stellte der Kläger u. a. fest, dass es bis Mai 2019 an mehreren Computern des Krankenhauses möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort durch einfache Eingabe eines Patient*innen-Namens den Koronarfilm und die bei diesem Patienten durchgeführte Dilatation der Herzkranzgefäße einzusehen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können.

In den Leitsätzen seines Urteils stellt das Gericht fest: Ein Behandlungsvertrag begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) https://www.gesetze-im-internet.de/bgb/__241.html des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen…“


Update 27.11.2022

Im Klinikum Lippe mit seinen drei Standorten in Bad Salzuflen, Detmold und Lemgo (alle in NRW) ist die gesamte IT-Struktur vor dem 21.11.2022 Opfer eines massiven Cyber-Angriffs geworden. Die zwei Mitteilungen des Klinikums Lippe vom 21. und 25.11.2022 sind hier nachlesbar.


Update 15.12.2022

Persönliche Daten und das Corona-Testergebnis von etwa 1200 Menschen, darunter etwa 700 Häftlinge, 90 JVA-Beschäftigte und 385 Einwohner*innen des Landkreises Straubing-Bogen (Bayern), sind in die Hände eines Gefangenen in der JVA gelangt.


Update 05.06.2023

Der Klinikverbund Gesundheit Nord (Geno) in Bremen ist Opfer einer großangelegten Hackerattacke geworden. Vom 10.-23.05.2023 war das Unternehmen mit 5 Standorten in Bremen deshalb offline. Wie das Regionalmagazin buten un binnen von Radio Bremen am 01.06.2023 berichtet, sollen die Kriminellen dabei an bis zu 100.000 Dateien von Patienten gelangt sein.


Update 28.07.2023 

Schwerwiegende Datenpanne bei der gematik: Über 10 Monate hinweg wurden Dokumente mit personenbezogenen Daten an den falschen Empfänger verschickt: Innerhalb des von der gematik bereitgestellten Programms „Kommunikation im Medizinwesen“ (KIM) sei es zu einer Fehlleitung von Nachrichten gekommen: 116.466 Nachrichten (weit überwiegend eAU-Bescheinigungen) wurden zwischen September 2022 und Juni 2023 nicht an die AOK Niedersachsen, sondern an eine Arztpraxis versandt. In der Gematik fiel der Fehler nicht auf.


Update 30.11.2023

Am 28.11.2023 drangen unbekannte Hacker in die IT-Systeme des städtischen Krankenhauses in Esslingen (Baden-Württemberg) ein – mit spürbaren Folgen. Sie richteten dort gezielt Schaden im Bereich einiger Server an. Hiervon sind in erster Linie die bildverarbeitenden Systeme in der Radiologie betroffen. Auch in Mitleidenschaft gezogen wurde die Bildgebung im Bereich Ultraschall- und Endoskopie. Im Bereich der Verwaltung wurden zudem unternehmensinterne Daten gelöscht. Die Patientendaten im Krankenhausinformationssystem seien nicht betroffen. Der Krankenhausbetrieb laufe daher weiter, auch wenn es durch den anhaltenden Ausfall bei den bildgebenden Systemen zu spürbaren Behinderungen in den Abläufen komme.


Update 29.12.2023

Vor Weihnachten wurden Krankenhäuser in Westfalen sowie in Rheinland-Pfalz / Saarland Opfer von Hackerangriffen.


Update 28.01.2024

Unbekannte haben sich Zugang zu den Systemen der IT-Infrastruktur der Bezirkskliniken Mittelfranken verschafft und gezielt Daten verschlüsselt. Bei dem Angriff wurden auch personenbezogene Daten abgegriffen. Das geht aus einer Mitteilung vom 28.01.2024 auf der Homepage der Kliniken hervor.


Update 02.02.2024

Mit Pressemitteilungen vom 31.01.2024 und 01.02.2024 erklärt die Caritas-Klinik Dominikus in Berlin, dass sie „Opfer eines Hacker-Angriffs auf die IT-Infrastruktur“ wurde.


Update 03.02.2024

Der Soester Anzeiger meldet am 02.02.2023: „Nach Informationen unserer Redaktion soll es am Freitag einen Cyberangriff auf die IT-Infrastruktur des Dreifaltigkeits-Hospital in Lippstadt gegeben haben. Ebenso betroffen seien auch das Marien-Hospital Erwitte und das Hospital zum Heiligen Geist Geseke, die einen Verbund mit dem Lippstädter Dreifaltigkeits-Hospital bilden. Vieles ist über die Cyberattacke noch unklar, jedoch sollen Systemausfälle zu weitreichenden Konsequenzen führen…“ 


Update 18.02.2024

Dubidoc ist eine Software, die das in Essen ansässige Unternehmen Takuta GmbH Ärzt*innen mit eigener Praxis zur Verwaltung von Patient*innen-Terminen anbietet. Der Chaos Computer Club (CCC) hat am 16.02.2024 eine massive Sicherheitslücke aufgedeckt, durch die Daten von 960.000 Menschen offen im Netz einsehbar waren. Zudem waren auch Informationen zu 3,3 Millionen Behandlungs-Terminen abrufbar. Unter den offen zugänglichen Daten waren Namen, Geburtsdaten, Telefonnummern und e-Mailadressen zu finden, aber auch Informationen zu den behandelnden Ärzt*innen und zu Termindetails. Auf der Homepage von Dubicoc sucht man vergeblich nach einem Hinweis auf diese massive Datenpanne.


Update 03.05.2024

Die Katholische Jugendfürsorge der Diözese Augsburg (KJF) , ein führender Anbieter von Gesundheits-, Sozial- und Bildungsdienstleistungen in Bayern, warnt nach einem professionellen Cyberangriff vor möglichen Identitätsdiebstahl und Datenmissbrauch. Ein kürzlich erfolgter Hackerangriff hat die KFJ schwer getroffen. das gehrt aus einer Stellungnahme der KJF hervor. Der Angriff, der Mitte April entdeckt wurde, richtete sich gegen IT-Infrastrukturen in mehr als 80 sozialen Einrichtungen, darunter insgesamt neun Kliniken in mehreren Städten Bayerns.


Update 18.06.2024

Das Krankenhaus Agatharied im Landkreis Miesbach (Bayern) wurde Opfer eines Hackerangriffs. Das meldet die Münchener Zeitung Merkur am 18.06.2024. Der Merkur zitiert in seinem Bericht den CSU-Landrat Olaf von Löwis mit den in solchen Fällen üblichen Sätzen: „‚Das ist ein dickes Brett, wirft uns gehörig um… Wir werden alles tun, um die Folgen schnellstmöglich in den Griff zu bekommen‘, versicherte Löwis. Und betonte auch mit Nachdruck, dass das Krankenhaus immer alles für die Datensicherheit getan habe, was möglich war. ‚Es wurde alles, was notwendig war, umgesetzt‘, sagte Löwis. Dass es dennoch einigen ‚Idioten‘ gelungen sei, in die Systeme einzudringen, verdeutliche die große Gefahr, die in der heutigen Zeit von Cyberkriminellen ausgehe.“


Update 01.07.2024

Laut Pressemitteilung des Netzwerk Datenschutzexpertise vom 26.06.2024 wurde mit einem Gutachten festgestellt, dass der IT-Dienstleister BinDoc aus Tübingen unter Verletzung des Datenschutzes und des Patientengeheimnisses von Krankenhäusern pseudonymisierte Falldaten einsammelt und diese kommerziell weitervermarktet.


Update 02.09.2024

In der Nacht zum 01.09.2024 haben Hacker die IT-Systeme der Wertachkliniken in Bobingen und Schwabmünchen lahmgelegt. Laut ersten Analysen wurden Zugriffe auf das EDV-Hauptsystem blockiert, was den regulären Klinikbetrieb massiv beeinträchtigt. Um den Schaden zu minimieren, wurde der Betrieb auf eine analoge Notfallstruktur umgestellt. Die für den 02.09.2024 in Bobingen geplanten Operationen wurden vorsorglich abgesagt, weitere Absagen könnten folgen.

Quelle: Bericht des Bayrischen Rundfunks vom 02.09.2024.


Update 06.09.2024

Ein Angriff von bislang unbekannten Hackern hat die IT-Systeme der Reha-Klinik am Kurpark im Ortsteil Reinhardshausen der hessischen Kurstadt Bad Wildungen lahmgelegt. Dabei wurden vermutlich auch persönliche Daten von Patienten, Mitarbeitern und Geschäftspartnern ausgespäht.

 

Schreibe einen Kommentar