Pirmasens Cyberangriff: Das sollten Betroffene jetzt tun

Datenklau aus dem Krankenhaus – und jetzt? Verbraucherschützerin Julia Gerhards erklärt, wie sich betroffene Patienten jetzt schützen sollten.

Die schlechte Nachricht vorneweg: Bei Daten gilt, was weg ist, ist weg. „Sind die Daten erst mal bekannt geworden, ist das nicht mehr rückgängig zu machen“, sagt Julia Gerhards von der rheinland-pfälzischen Verbraucherzentrale. Mitte April haben Hacker die Daten von 1488 Patienten des Pirmasenser Krankenhauses erbeutet – Namen, Adressen, Geburtsdaten, Diagnosen, Behandlungsarten. Das Potenzial, Schaden damit anzurichten, ist enorm, sei es durch Erpressung, Veröffentlichung der Daten im Internet oder Betrug.

Sich davor zu schützen, ist schwierig, sagt die Verbraucherschützerin. Wichtig sei das Bewusstsein dafür, dass die eigenen Daten jetzt in den Händen von Fremden sind, erklärt Gerhards. Damit einher müsse große Aufmerksamkeit für ungewöhnliche Telefonanrufe und E-Mails gehen. „Dass jemand Kontakt zu mir aufnimmt, hat keinerlei Aussagekraft darüber, ob mich diese Person wirklich kennt.“ Mit den Daten, die die Kriminellen erbeutet haben, könnten beispielsweise echt aussehende Abrechnungen fabriziert und an die Patienten geschickt werden. Die Verbraucherschützerin rät Betroffenen, grundsätzlich misstrauisch zu sein und jedes Mal zu überlegen, ob die abgerechnete Leistung tatsächlich zum angegebenen Zeitraum erbracht wurde.

Aufsichtsbehörde rät zur Vorsicht

Das eigene Konto sollten die Patienten gut im Auge behalten. Die Verbraucherschützerin denkt dabei an unrechtmäßige Abbuchungen, die die Hacker mithilfe der gestohlenen Daten anstoßen könnten. Betroffene könnten das Geld innerhalb von acht Wochen von ihrer Bank zurückbuchen lassen. Nach Angaben des Dienstleisters Unimed sind keine Bankdaten von Patienten des Pirmasenser Krankenhauses abgeflossen, in Homburg gab es einen solchen Fall.

Auch die Datenschutzzentrale des Saarlandes empfiehlt Betroffenen, bei Kontaktaufnahme durch unbekannte Personen oder Stellen sowie bei Verwendung ungewöhnlicher Kontaktwege bekannter Stellen Vorsicht walten zu lassen. „Es kann nicht ausgeschlossen werden, dass erbeutete Kontaktinformationen für gezielte Phishing-Angriffe mit dem Ziel verwendet werden, an weitere Informationen – beispielsweise Finanzdaten oder aber auch Passwörter – zu gelangen.“ Im Zweifelsfall sei es sinnvoll, selbst die Telefonnummer der betreffenden Stelle herauszusuchen und mit einem Anruf die Angaben zu überprüfen. Zudem sollten sich Opfer aktiv bei den Krankenhäusern über weitere Erkenntnisse informieren. Auch die Datenschutzaufsichtsbehörde selbst stehe bei Fragen und Anliegen zur Verfügung.

Was ist mit Schadensersatz?

Sollte ein Datenschutzverstoß vorliegen, könnten Patienten unter Umständen Schadensersatz fordern. Dafür müssen Betroffene laut Gerhards den entstandenen Schaden konkret benennen. Deshalb rät die Verbraucherschützerin, beispielsweise Werbeanrufe und Phishingversuche, die mutmaßlich auf den Cyberangriff zurückzuführen sind, zu dokumentieren.

Fraglich ist derzeit, wie der Cyberangriff auf Unimed erfolgt ist und ob er auf Fehler des Krankenhausdienstleisters zurückgehen könnte. Die saarländische Datenschutzzentrale verweist darauf, dass die Untersuchung noch läuft. Ob „vorwerfbare Unzulänglichkeiten“ von Unimed die Tat ermöglichten oder begünstigten, lasse sich noch nicht beurteilen.

Das Datenschutzzentrum wurde nach eigenen Angaben durch das Universitätsklinikum des Saarlandes von dem Cyberangriff informiert. Auch der betroffene Dienstleister Unimed, der seinen Sitz im saarländischen Wadern hat, habe sich „zeitnah“ gemeldet und verhalte sich bei der Aufklärung kooperativ.

Die Summe von an die Aufsichtsbehörde gemeldeten Datenschutzverletzungen steige seit Jahren an, heißt es von der Datenschutzzentrale – von 429 im Jahr 2022 zu 913 im vergangenen Jahr. Konkrete Zahlen zu Cyberangriffen könne man nicht nennen, weil die Meldungen nicht differenziert erfasst würden.

Die rheinland-pfälzische Verbraucherschutzzentrale stellt online ein kostenloses Tool zur Verfügung, mit dem Nutzer prüfen können, welche Rechte sie haben, wenn ihre Daten gestohlen wurden.

Haben Sie einen Brief bekommen?

Der Datendiebstahl beim Cyberangriff auf einen Dienstleister von Krankenhäusern beunruhigt viele Patienten. Betroffene sollen in den nächsten Tagen informiert werden. Falls Sie einen Brief bekommen, freuen wir uns, wenn Sie sich an uns wenden: redpir@rheinpfalz.de. Wir möchten wissen: Wie fühlen Sie sich damit, welche Schritte unternehmen sie, was macht Ihnen Sorgen? Derzeit gibt es über 1000 Südwestpfälzer in der gleichen Lage wie Sie. Wir möchten diese Geschichten erzählen, auch damit andere wissen, sie sind nicht allein.

Kennen Sie schon unseren Pirmasens-Newsletter?

Der Name ist Programm: „PS Exklusiv“ versorgt Sie mit ausgewählten Nachrichten und Hintergründen. Sie werden von der Leitung der Pirmasenser Lokalredaktion aus erster Hand informiert. Mal augenzwinkernd, mal ironisch oder knallhart kommentiert, aber immer exklusiv: aus Pirmasens für Pirmasens und die Südwestpfalz.

Jetzt für den Newsletter anmelden

An dieser Stelle finden Sie Umfragen von Opinary.

Um Inhalte von Drittdiensten darzustellen und Ihnen die Interaktion mit diesen zu ermöglichen, benötigen wir Ihre Zustimmung.

Mit Betätigung des Buttons "Fremdinhalte aktivieren" geben Sie Ihre Einwilligung, dass Ihnen Inhalte von Drittanbietern (Soziale Netzwerke, Videos und andere Einbindungen) angezeigt werden. Damit können personenbezogene Daten an die entsprechenden Anbieter übermittelt werden. Dazu ist ggf. die Speicherung von Cookies auf Ihrem Gerät notwendig. Mehr Informationen und eine Widerrufsmöglichkeit finden Sie in unserer Datenschutzerklärung.