Anfang Mai entdeckt ein kleiner Verein in Niedersachsen Spuren auf seinem Server. Spuren, die dort nicht sein sollten. Was folgt, ist ein Ablauf, der gerade für Tausende Organisationen in Deutschland zur realen Bedrohung geworden ist: Systeme herunterfahren. LKA informieren. Datenschutzbehörde einschalten. Und abwarten, was die Angreifer mitgenommen haben.
Die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen – kurz Arwini – prüft Rezepte, die Ärzte für gesetzlich Versicherte ausstellen. Ein technisches Backoffice-Gremium. Nichts Glamouröses. Aber ein Gremium mit bis zu 80.000 Datensätzen, die Kontakt- und Gesundheitsdaten sowie Abrechnungsinformationen von Patientinnen und Patienten enthalten könnten.
„Nach derzeitigen Erkenntnissen ist es wahrscheinlich, dass personenbezogene und auch besonders schützenswerte Daten betroffen sind." — Arwini, Mai 2026
Die Angreifer haben ihre digitalen Spuren so professionell verwischt, dass bislang unklar ist, ob, welche und wie viele Daten tatsächlich abgegriffen wurden. Sie hinterließen eine Botschaft. Wer dahintersteckt und warum: noch unbekannt. Externe Sicherheitsexperten und das LKA Niedersachsen ermitteln.
Die Lektion, die niemand hören will
Arwini ist kein Krankenhaus. Kein Konzern. Kein staatliches Rechenzentrum. Arwini ist ein Verein – getragen von der Kassenärztlichen Vereinigung Niedersachsen, der AOK und der Techniker Krankenkasse – der eine sehr spezifische Verwaltungsaufgabe erfüllt.
Und genau das ist die unbequeme Botschaft dieses Vorfalls: Es trifft nicht nur die, die sich für lohnende Ziele halten. Es trifft die, die Daten haben. Und im deutschen Gesundheits- und Sozialwesen gibt es Tausende Arwinis: Gemeinschaften, Verbände, Prüfgremien, Abrechnungsstellen. Organisationen, die schützenswerte Daten verwalten, weil das ihre Aufgabe ist – und die IT-Sicherheit als nachrangige Frage behandeln, weil sie sich nicht als Ziel sehen.
80.000
möglicherweise betroffene Datensätze
3
Träger: KVN, AOK, TK – alle betroffen
0
Tage Vorlauf – Entdeckung erst nach dem Einbruch
Das Modell „jemand anderes passt auf" hat ein strukturelles Problem
Kleine Organisationen – Vereine, Verbände, Gemeinschaftspraxen – lagern ihre IT gerne aus. Verständlich: eigene IT-Abteilungen sind teuer. Ein externer Server, ein Hosting-Dienstleister, eine Verwaltungssoftware in der Cloud. Das klingt nach sinnvoller Arbeitsteilung.
Was dabei entsteht, ist ein geteilter Verantwortungsraum – und im Krisenfall eine geteilte Hilflosigkeit. Arwini hat am 4. Mai Hinweise auf den Angriff entdeckt. Nicht vorher. Die Systeme liefen bis zu diesem Moment normal. Die Daten lagen auf einem Server. Wer Zugang hatte und was er mitgenommen hat, ist bis heute nicht abschließend geklärt.
Das ist kein Versagen eines Einzelnen. Das ist das strukturelle Risiko eines Modells, bei dem man nicht weiß, was man nicht weiß – bis es zu spät ist.
Was Organisationen mit Gesundheitsdaten jetzt prüfen sollten
1. Wo liegen Ihre Daten tatsächlich? Nicht wo laut Vertrag, sondern physisch. In welchem Rechenzentrum, in welchem Land, unter welchem Rechtssystem? Wenn Sie das nicht in zwei Minuten beantworten können, haben Sie eine offene Flanke.
2. Wer hat Zugriff – außer Ihnen? Hosting-Dienstleister, Softwareanbieter, Wartungsdienstleister: Jeder externe Zugriff ist eine mögliche Angriffsfläche. Nicht weil diese Anbieter unzuverlässig sind, sondern weil Angreifer gezielt nach Dienstleistern suchen, die Zugang zu mehreren Kunden gleichzeitig haben.
3. Was passiert in den ersten 60 Minuten nach einem Vorfall? Arwini hat richtig reagiert: Systeme herunterfahren, LKA und Datenschutzbehörde informieren. Aber dieser Ablauf funktioniert nur, wenn er vorher definiert wurde. Haben Sie einen Notfallplan? Wer ruft wen an?
4. Würden Sie einen Angriff bemerken? Die Angreifer bei Arwini haben ihre Spuren professionell verwischt. Die Frage, ob Daten abgeflossen sind, ist noch nicht beantwortet. Das setzt voraus, dass die angegriffene Organisation überhaupt in der Lage ist, Anomalien zu erkennen – Loggingstrategien, Monitoring, Alerting. Systeme, die in vielen kleinen Organisationen fehlen.
Was einen Unterschied macht
Niemand ist immun gegen Angriffe. Aber es gibt einen wesentlichen Unterschied zwischen einer Organisation, die weiß wo ihre Daten liegen, wer Zugriff hat und was passiert – und einer, die das nicht weiß.
Eigene Infrastruktur
Sie bestimmen, wer Zugriff hat. Sie sehen, was auf Ihrem Server passiert. Ein Angriff betrifft Ihre Daten – nicht gleichzeitig die von 50 anderen Kunden desselben Dienstleisters. Der Schadensradius ist kleiner, weil er Ihrer ist.
Aktives Monitoring
Werkzeuge wie CrowdSec oder Pi-hole erkennen Anomalien bevor ein Angriff abgeschlossen ist. Nicht als Garantie – aber als Frühwarnsystem, das kleinen Organisationen ermöglicht zu reagieren, bevor es zu spät ist.
Das ist kein Plädoyer für digitale Selbstisolation. Es ist ein Plädoyer für digitale Selbstverantwortung. Wissen, wo Ihre Daten liegen. Wissen, wer Zugriff hat. Einen Plan haben, wenn etwas schiefgeht.
Was Versicherte jetzt tun können
Arwini empfiehlt betroffenen Versicherten, besonders aufmerksam bei unerwarteten Kontaktaufnahmen zu sein. Daten sollten nicht telefonisch oder elektronisch preisgegeben werden. Verdächtige E-Mails oder Anhänge sollten ungeöffnet bleiben. Das ist der richtige erste Schritt – auch wenn er zeigt, wie begrenzt die Handlungsoptionen nach einem solchen Vorfall für die Betroffenen sind.
Häufige Fragen zu Cyberangriffen auf Gesundheitsdaten
Was soll ich tun, wenn meine Daten bei einem Angriff wie dem auf Arwini betroffen sein könnten?
Folgen Sie den Empfehlungen der betroffenen Organisation: Seien Sie vorsichtig bei unerwarteten Kontaktaufnahmen per Telefon oder E-Mail. Öffnen Sie keine Anhänge aus unbekannten Quellen. Prüfen Sie, ob Sie ungewöhnliche Kontoaktivitäten oder Zugriffe auf Ihre Krankenversicherungsdaten bemerken. Melden Sie Verdächtiges Ihrer Krankenkasse.
Sind kleine Vereine und Verbände wirklich ein Ziel für Hackerangriffe?
Ja – und zunehmend gezielt. Angreifer suchen nicht nach dem größten Ziel, sondern nach dem zugänglichsten. Kleine Organisationen haben oft weniger IT-Ressourcen, weniger Monitoring und dieselben schützenswerten Daten wie große Institutionen. Das BKA hat im Bundeslagebild Cybercrime 2025 dokumentiert: Über die Hälfte der betroffenen Organisationen dachte, sie seien kein lohnendes Ziel.
Welche Pflichten haben Organisationen nach einem Cyberangriff auf Gesundheitsdaten?
Nach DSGVO Artikel 33 muss eine Datenschutzverletzung innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Sind die Rechte und Freiheiten betroffener Personen voraussichtlich ernsthaft gefährdet, müssen auch die Betroffenen selbst informiert werden (Artikel 34). Bei Gesundheitsdaten – die als besonders schützenswert gelten – ist die Meldeschwelle sehr niedrig.
Wie kann eine kleine Organisation ihre IT-Sicherheit verbessern, ohne eine eigene IT-Abteilung zu haben?
Drei Maßnahmen mit dem größten Hebel: Erstens, wissen wo Ihre Daten liegen und wer darauf Zugriff hat. Zweitens, Zwei-Faktor-Authentifizierung für alle Zugänge aktivieren. Drittens, ein einfaches Monitoring einrichten, das ungewöhnliche Zugriffe meldet. Wer selbst keine Kapazitäten hat, kann diese Infrastruktur einmalig aufsetzen lassen und dann eigenständig betreiben – ohne laufende Abhängigkeit von einem Dienstleister.
Was ist der Unterschied zwischen einem Cyberangriff auf eine Cloud und einem auf einen eigenen Server?
Bei einem Angriff auf einen Cloud-Dienstleister können alle Kunden des Dienstleisters betroffen sein – der Schadensradius ist groß und schwer kontrollierbar. Bei einem Angriff auf eigene Infrastruktur ist der Schadensradius auf die eigene Organisation begrenzt. Das macht eigene Infrastruktur nicht sicher – aber es macht die Konsequenzen kontrollierbarer und das Monitoring einfacher.
Wissen, wo Ihre Daten liegen.
Das ist keine technische Frage. Das ist eine Grundsatzentscheidung. Wir helfen Ihnen, die richtige zu treffen.
Unsere Lösungen ansehen →