Ein Cyberangriff auf den externen Abrechnungsdienstleister Unimed betrifft bundesweit zahlreiche Krankenhäuser — auch die Märkischen Kliniken in Lüdenscheid, die Stadtklinik Werdohl und den ehemaligen Standort Letmathe. Das Unternehmen übernahm dort früher die privat- und wahlärztliche Abrechnung.
Kliniken informieren Behörden
In der vergangenen Woche informierte Unimed über den Vorfall. Die Märkische Gesundheitsholding reagierte unmittelbar nach der Mitteilung: „Wir haben die zuständigen Behörden informiert und stehen seitdem in engem Austausch mit Unimed, um den Sachverhalt aufzuklären“, erklärte Geschäftsführer Dr. Thorsten Kehe. Die Meldung sei sowohl an die Datenschutzaufsichtsbehörde als auch an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegangen, das bei Cybervorfällen unterstützt.
Mehr als 2400 Patienten betroffen
Nach aktuellem Stand betrifft der Angriff personenbezogene Daten von 2463 Patientinnen und Patienten. Der Großteil entfällt dabei auf das Klinikum Lüdenscheid mit 2018 Fällen. Hinzu kommen 92 Betroffene in der Stadtklinik Werdohl sowie 353 am früheren Standort Letmathe. Nach bisherigen Erkenntnissen umfassen die betroffenen Daten Namen, Adressen, behandelnde Ärzte und abrechnungsrelevante Angaben. Hinweise auf einen Missbrauch liegen nach Angaben der Märkischen Gesundheitsholding derzeit nicht vor. Weitere Details, insbesondere Namen, würden in den kommenden Tagen erwartet.
IT-Systeme nicht beeinträchtigt
Die Märkischen Kliniken betonen, dass der Cyberangriff ausschließlich den externen Dienstleister Unimed traf. Die eigenen IT-Systeme sowie die Patientenversorgung funktionierten ohne Einschränkungen. Zudem hätten die Märkischen Kliniken die Zusammenarbeit mit Unimed bereits vor mehr als eineinhalb Jahren beendet.
Anschreiben an Betroffene geplant
Die Märkische Gesundheitsholding kündigt eine direkte Information der Betroffenen an. „Der Schutz sensibler Patientendaten hat für uns höchste Priorität. Wir nehmen den Vorfall sehr ernst“, so Kehe. Weiter erklärt er: „Sobald uns die Namen vorliegen, schreiben wir alle infrage kommenden Patientinnen und Patienten an. Wer kein Schreiben erhält, ist nach jetzigem Stand nicht betroffen.“ Die Benachrichtigung erfolge vorsorglich gemäß den Vorgaben der Datenschutz-Grundverordnung und in Abstimmung mit dem Landesdatenschutzbeauftragten Nordrhein-Westfalen.
