Krankenhaus-GAU: 47.000 Patientenakten im Darknet veröffentlicht
Wie ein Klinikum durch einen einzigen ungeschützten Server 47.000 Patientenakten verlor — und warum der finanzielle Schaden die 4-Millionen-Euro-Grenze überschritt.
Datenleck
€4.2 Mio.
€1.8 Mio. DSGVO-Bußgeld
Der Vorfall
Es war Freitag, der 14. November 2025, 22:47 Uhr. Im St.-Marien-Klinikum Rheintal — einem mittelgroßen Krankenhaus mit 380 Betten und rund 1.200 Mitarbeitern — arbeitete die Nachtschicht routinemäßig ihre Aufgaben ab. Niemand ahnte, dass in genau diesem Moment ein anonymer Nutzer in einem russischsprachigen Darknet-Forum einen Beitrag verfasste, der das Klinikum in den Abgrund reißen würde.
Der Beitrag trug den Titel: „47.231 vollständige Patientenakten — deutsches Krankenhaus — frische Daten". Der Preis: 0,8 Bitcoin, damals rund 68.000 Euro. Im Anhang: eine Vorschau mit 500 anonymisierten Datensätzen als Beweis. Diagnosen, OP-Berichte, Laborbefunde, Medikamentenlisten, vollständige Adressen und Versicherungsnummern. Alles da.
Die IT-Abteilung des Klinikums erfuhr erst am Montagmorgen davon — durch einen anonymen Hinweis per E-Mail. Der IT-Leiter, Martin Dreyer, hielt den Hinweis zunächst für einen Phishing-Versuch. Erst als er den Darknet-Link über einen gesicherten Browser überprüfte und die Vorschaudaten mit der eigenen Datenbank abglich, wurde ihm schlecht. Die Daten waren echt. Jedes einzelne Feld stimmte überein.
Die forensische Untersuchung ergab später: Ein DICOM-Server — das Bildarchivierungssystem für Röntgenbilder, CTs und MRTs — war seit einem Software-Update im August 2025 ohne Authentifizierung über das Internet erreichbar gewesen. Drei Monate lang. Ein automatisierter Scanner hatte den offenen Port gefunden, und die Angreifer hatten systematisch die gesamte Datenbank kopiert. 47.231 Patientenakten. Darunter 3.842 psychiatrische Befunde, 1.203 HIV-Testergebnisse und 8.967 onkologische Behandlungsverläufe.
Die Eskalation
Was nach der Entdeckung folgte, war ein Dominoeffekt, der das Klinikum über Monate hinweg erschütterte.
Tag 1 (Montag, 17. November): IT-Leiter Dreyer informierte die Geschäftsführung. Eine Krisensitzung wurde einberufen. Die externe IT-Forensikfirma CyberSecure GmbH wurde beauftragt. Der offene DICOM-Server wurde sofort vom Netz genommen — drei Monate zu spät.
Tag 2 (Dienstag, 18. November): Die Meldung an die zuständige Datenschutzbehörde erfolgte — gerade noch innerhalb der 72-Stunden-Frist nach Art. 33 DSGVO. Die Behörde reagierte mit sofortiger Einleitung eines Prüfverfahrens. Parallel mussten die Betroffenen nach Art. 34 DSGVO informiert werden. 47.231 Briefe. Die Druckkosten allein: 28.000 Euro.
Tag 4 (Donnerstag, 20. November): Eine Lokalzeitung erfuhr von dem Vorfall. Die Schlagzeile: „Patientendaten im Darknet: Klinikum schweigt." Die Formulierung war unfair — das Klinikum hatte die Betroffenen bereits informiert — aber der Schaden war angerichtet. Innerhalb von 24 Stunden griffen überregionale Medien die Geschichte auf.
Woche 2: Die ersten Patienten meldeten sich mit Beschwerden bei der Datenschutzbehörde. Ein Patient, dessen HIV-Status in den geleakten Daten enthalten war, berichtete in einem Fernsehinterview unter Tränen, dass sein Arbeitgeber von der Diagnose erfahren habe. Er wurde kurz darauf „betriebsbedingt" gekündigt. Ein weiterer Patient — ein Lokalpolitiker — fand seine psychiatrischen Behandlungsdaten in einem anonymen Blog veröffentlicht.
Woche 4: Eine Anwaltskanzlei, die sich auf Datenschutzrecht spezialisiert hatte, startete eine Sammelklage im Namen von 2.300 betroffenen Patienten. Jeder Kläger forderte Schadensersatz zwischen 5.000 und 15.000 Euro nach Art. 82 DSGVO.
Monat 3: Die Datenschutzbehörde schloss ihre Prüfung ab. Das Ergebnis war vernichtend.
Der Schaden im Detail
Finanzieller Schaden
| Kostenposition | Betrag |
|---|---|
| DSGVO-Bußgeld (Art. 83 Abs. 5) | 1.800.000 € |
| Schadensersatz Sammelklage (Vergleich) | 1.150.000 € |
| IT-Forensik und Incident Response | 320.000 € |
| Externe Rechtsberatung | 280.000 € |
| Benachrichtigung der Betroffenen | 62.000 € |
| PR-Krisenmanagement | 95.000 € |
| Neue IT-Sicherheitsinfrastruktur | 410.000 € |
| Schulungen und Zertifizierungen | 85.000 € |
| Gesamtschaden | 4.202.000 € |
Reputationsschaden
Die Patientenzahlen des St.-Marien-Klinikums brachen in den sechs Monaten nach dem Vorfall um 23 % ein. Wahlleistungspatienten — die lukrativste Patientengruppe — gingen um 41 % zurück. Eine interne Umfrage unter Zuweisern ergab, dass 67 % der niedergelassenen Ärzte Bedenken hatten, Patienten weiterhin an das Klinikum zu überweisen.
Der Ruf, der über Jahrzehnte aufgebaut worden war, lag in Trümmern. Auf Google-Bewertungen häuften sich Ein-Stern-Bewertungen mit Kommentaren wie: „Hier sind Ihre intimsten Daten nicht sicher."
Rechtliche Konsequenzen
Das Bußgeld von 1,8 Millionen Euro wurde mit folgender Begründung verhängt:
- Verstoß gegen Art. 32 DSGVO (Sicherheit der Verarbeitung): Der DICOM-Server war ohne Authentifizierung aus dem Internet erreichbar — ein grundlegender Konfigurationsfehler.
- Verstoß gegen Art. 25 DSGVO (Datenschutz durch Technikgestaltung): Nach dem Software-Update wurde keine Sicherheitsprüfung durchgeführt.
- Erschwerend: Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonders geschützten Kategorien personenbezogener Daten.
Zusätzlich ordnete die Behörde ein umfassendes Audit der gesamten IT-Infrastruktur an — auf Kosten des Klinikums.
Auswirkungen auf den Betrieb
Die IT-Abteilung wurde reorganisiert. Der IT-Leiter Martin Dreyer, der seit 14 Jahren im Klinikum arbeitete, wurde freigestellt. Zwei weitere IT-Mitarbeiter kündigten aus eigenem Antrieb. Die Neubesetzung der Stellen dauerte acht Monate — in einer Zeit, in der IT-Fachkräfte im Gesundheitswesen ohnehin kaum zu finden sind.
Die Geschäftsführerin Dr. Sabine Herold trat im Februar 2026 zurück. In ihrer Rücktrittserklärung schrieb sie: „Ich übernehme die Verantwortung dafür, dass die IT-Sicherheit in unserem Haus nicht den Stellenwert hatte, den sie hätte haben müssen."
Was schiefgelaufen ist
Die forensische Analyse identifizierte eine Kette von Versäumnissen, die gemeinsam zur Katastrophe führten:
1. Kein Change-Management-Prozess: Das Software-Update des DICOM-Servers im August 2025 wurde ohne dokumentierten Change-Management-Prozess durchgeführt. Es gab keine Checkliste, keine Sicherheitsprüfung nach dem Update, keine Abnahme durch einen zweiten Mitarbeiter.
2. Fehlende Netzwerksegmentierung: Der DICOM-Server befand sich im selben Netzwerksegment wie die allgemeine IT-Infrastruktur und war direkt aus dem Internet erreichbar. Medizinische Systeme hätten in einem isolierten Netzwerksegment ohne direkten Internetzugang betrieben werden müssen.
3. Kein Vulnerability Scanning: Das Klinikum führte keine regelmäßigen Schwachstellen-Scans durch. Ein einfacher Portscan hätte den offenen DICOM-Server innerhalb von Minuten entdeckt.
4. Unzureichendes Monitoring: Es gab kein System, das den massiven Datenabfluss erkannt hätte. 47.000 Datensätze wurden über mehrere Tage hinweg kopiert, ohne dass ein Alarm ausgelöst wurde.
5. Dokumentenübermittlung per E-Mail: Viele der geleakten Dokumente waren ursprünglich per unverschlüsselter E-Mail zwischen Abteilungen verschickt und dann im DICOM-System archiviert worden. Ein sicheres Dokumententransfersystem hätte die Angriffsfläche deutlich reduziert.
Die Lehren
Dieser Vorfall hätte verhindert werden können. Nicht mit Millionenbudgets, sondern mit grundlegenden Maßnahmen.
Netzwerksegmentierung ist nicht optional. Medizinische Systeme gehören in ein eigenes Netzwerksegment, das vom Internet und vom allgemeinen Verwaltungsnetz getrennt ist. Diese Maßnahme hätte den gesamten Vorfall verhindert.
Change Management rettet Existenzen. Jedes Update, jede Konfigurationsänderung muss einem dokumentierten Prozess folgen — mit Sicherheitsprüfung und Vier-Augen-Prinzip. Die Kosten für einen solchen Prozess: nahezu null. Der Wert: 4,2 Millionen Euro, wie dieser Fall zeigt.
Monitoring ist Pflicht, nicht Kür. Systeme zur Erkennung ungewöhnlicher Datenflüsse (Data Loss Prevention) hätten den Abfluss von 47.000 Datensätzen erkannt und gestoppt.
Sichere Dokumentenübermittlung eliminiert Risiken. Wenn sensible Patientendaten über sichere Upload-Links statt per E-Mail übermittelt werden, verringert sich die Angriffsfläche drastisch. Dokumente werden verschlüsselt übertragen, der Zugriff wird protokolliert, und es gibt einen lückenlosen Audit-Trail.
Vorbereitung auf den Ernstfall. Ein Incident-Response-Plan, der vor dem Vorfall erstellt und geübt wird, spart im Ernstfall kritische Stunden und verhindert Fehler unter Druck.
Schützen Sie sensible Daten, bevor es zu spät ist. Testen Sie SendMeSafe 14 Tage kostenlos — verschlüsselte Dokumentenübertragung mit vollständigem Audit-Trail. Keine Kreditkarte erforderlich.
Häufig gestellte Fragen
Können Patientendaten wirklich im Darknet landen?
Ja — und es passiert häufiger, als die meisten annehmen. Gesundheitsdaten gehören zu den wertvollsten Datensätzen im Darknet, weil sie Informationen enthalten, die sich nicht ändern lassen: Diagnosen, chronische Erkrankungen, genetische Daten. Während eine gestohlene Kreditkarte innerhalb von Stunden gesperrt werden kann, bleiben Gesundheitsdaten dauerhaft kompromittiert. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) war das Gesundheitswesen 2025 unter den drei am häufigsten angegriffenen Sektoren in Deutschland.
Wie hoch fallen DSGVO-Bußgelder im Gesundheitswesen typischerweise aus?
Gesundheitsdaten sind nach Art. 9 DSGVO besonders geschützt. Verstöße in diesem Bereich werden daher besonders streng geahndet. Die Bußgelder in Europa für Krankenhäuser und Gesundheitseinrichtungen lagen in den letzten Jahren zwischen 100.000 Euro und mehreren Millionen Euro. Das Bußgeld in diesem Fall — 1,8 Millionen Euro — liegt im mittleren Bereich. Für ein Klinikum dieser Größe war es dennoch existenzbedrohend.
Was können Krankenhäuser konkret tun, um solche Vorfälle zu verhindern?
Drei Maßnahmen hätten den hier beschriebenen Vorfall vollständig verhindert: Erstens eine konsequente Netzwerksegmentierung, die medizinische Systeme vom Internet trennt. Zweitens ein Change-Management-Prozess mit verpflichtender Sicherheitsprüfung nach jedem Update. Drittens ein sicheres Dokumententransfersystem, das E-Mail als Übertragungsweg für sensible Daten ablöst und gleichzeitig einen vollständigen Audit-Trail bietet.
Haben betroffene Patienten Anspruch auf Schadensersatz?
Ja. Art. 82 DSGVO gibt betroffenen Personen einen Anspruch auf Schadensersatz — sowohl für materielle als auch für immaterielle Schäden. Im Fall des St.-Marien-Klinikums einigten sich die Parteien in der Sammelklage auf durchschnittlich 500 Euro pro betroffenem Patienten. In Einzelfällen — etwa bei der Offenlegung von HIV-Status oder psychiatrischen Diagnosen — lagen die Vergleichssummen deutlich höher, teilweise bei über 5.000 Euro pro Person.
Häufig gestellte Fragen
Lassen Sie es nicht so weit kommen
Schützen Sie Ihre Daten mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen