3:47 Uhr. Notaufnahme. Eine Pflegekraft muss dringend in die Patientenakte – der behandelnde Arzt ist nicht erreichbar. Sie kennt sein Passwort. Er hat es ihr gegeben.
Nicht heimlich. Nicht fahrlässig. Ausdrücklich. Weil es nicht anders geht.
Dieses Szenario spielt sich in deutschen Kliniken täglich ab. Nicht in Ausnahmesituationen. Im Normalbetrieb. Und weil es sich täglich abspielt, hat es einen Namen bekommen: Passwort-Sharing. Ein Begriff aus der IT-Sicherheitsdokumentation. Klingt wie ein kleines Problem. Ist das Fundament jedes größeren.
April 2026. Was wirklich passiert ist.
Unimed ist kein klingender Name. Kein Konzern mit Pressesprecher. Ein Abrechnungsdienstleister für private Patientenabrechnung. Genau das macht ihn zum perfekten Angriffsziel.
Mitte April 2026 dringen Angreifer in die Systeme von Unimed ein. Ihr Ziel: Verschlüsselung – der klassische Ransomware-Angriff. Das Verschlüsseln wird verhindert. Was nicht verhindert wird: die Daten, die vorher schon abgezogen wurden. Exfiltration läuft still. Stundenlang. Bevor irgendjemand etwas merkt.
54.000
Uniklinik Freiburg
Namen · Adressen · Geburtsdaten
30.000
Uniklinik Köln
Ärzte · Diagnosen · Rechnungen
9.000+
UKSH
Schleswig-Holstein
Parallel: Klinikum Mittelbaden. 1.260 Patienten. Daten gestohlen. Baden-Württemberg: ein weiterer Dienstleister-Angriff, wieder zehntausende Datensätze. Drei Vorfälle innerhalb von Wochen. Kein Zufall. Ein Muster.
Die Angreifer greifen nicht die Kliniken an. Sie greifen die Dienstleister an. Die Abrechnungsstellen. Die IT-Partner. Die Schnittstellen. Einen Angriffspunkt, der Zugang zu Dutzenden Einrichtungen gleichzeitig gibt. Das nennt sich Supply-Chain-Angriff. Und er funktioniert, weil wir so gebaut haben, wie wir gebaut haben.
Die falsche Frage, die jetzt alle stellen.
Nach einem Angriff dieser Größe läuft die Debatte immer gleich ab. Sicherheitslücken. Fehlende Updates. Unzureichende Firewalls. Zu wenig Budget für IT-Security.
Das alles stimmt. Und das alles greift zu kurz.
Weil es die eigentliche Frage auslässt:
Warum gibt ein Arzt sein Passwort weiter?
Das ist die unbequeme Frage. Weil die Antwort keine Schwäche beschreibt. Sie beschreibt ein System, das seine Nutzer zum Scheitern verurteilt.
Was die IT-Abteilung nicht versteht – und nie gefragt hat.
Ein Arzt wechselt in einer Schicht zwischen fünfzehn Räumen. Er arbeitet an Terminals in der Notaufnahme, auf der Intensivstation, im Untersuchungsraum, an der Nurses' Station. Er wird unterbrochen, gerufen, weitergereicht. Seine Arbeitsweise ist grundsätzlich nicht standardisierbar – das ist kein Bug, das ist sein Job.
Eine Pflegekraft arbeitet in drei Stunden mit sieben verschiedenen Anwendungen, auf vier verschiedenen Geräten, unter Zeitdruck, der mit keinem Bürojob vergleichbar ist. Sie hat keine Hände frei. Manchmal buchstäblich nicht – weil sie jemanden hält.
Die Krankenhaus-IT hat für diese Menschen ein System gebaut, das für einen Büromitarbeiter funktioniert. Passwort alle 90 Tage wechseln. Automatische Sperrung nach 5 Minuten Inaktivität. Komplexitätsanforderungen: Großbuchstabe, Sonderzeichen, Zahl, mindestens 12 Zeichen.
Das Ergebnis kennt jeder, der je in einer Klinik war:
Post-it am Monitor. „Station4B_Nacht" auf einem Klebezettel. Passwörter, die per Telefon weitergegeben werden. Accounts, die tagelang eingeloggt bleiben, weil der nächste Kollege denselben Zugang braucht. Sammelaccounts für ganze Abteilungen – weil die Alternative zu viel Reibung bedeutet.
Das sagt der Bundesverband KH-IT selbst – öffentlich, Anfang dieser Woche, in einem Heise-Interview: „Pflegekräfte oder Ärzte wollen nicht ständig mit Usernamen und Passwörtern hantieren. Man braucht Systeme und Hardware, die schnell funktionieren und trotzdem sicher sind."
Das ist kein Zitat einer anonymen Quelle. Das ist der Fachverband der Krankenhaus-IT-Leiter selbst. Die Menschen, die diese Systeme verantworten, sagen: wir haben das falsche Problem gelöst.
Das ist kein menschliches Versagen. Das ist Systemversagen.
Es gibt in der Sicherheitsarchitektur ein Prinzip, das viele kennen und wenige beherzigen: Ein Sicherheitssystem, das nicht benutzbar ist, wird umgangen. Immer. Nicht gelegentlich. Immer.
Die Pflegekraft, die das Passwort ihres Kollegen nutzt, macht das nicht, weil sie IT-Sicherheit nicht versteht. Sie macht das, weil die Alternative lautet: der Patient wartet. Dokumentation bleibt offen. Diagnose verzögert sich.
Sie hat sich für den Patienten entschieden. Das ist nicht fahrlässig. Das ist, warum sie diesen Job macht.
Die IT-Abteilung, die dieses Sicherheitssystem entworfen hat, hat einen Fehler gemacht. Nicht aus Böswilligkeit. Sondern weil sie nie gefragt hat: Wie arbeiten diese Menschen wirklich? Welche Constraints sind realistisch? Was passiert, wenn mein Sicherheitsdesign mit der Arbeitsrealität kollidiert?
Die Antwort, die sie nicht kannten: Es entsteht eine Schatten-Infrastruktur. Passwörter auf Zetteln. Geteilte Accounts. Offene Sessions. Eine parallele Realität, unsichtbar für alle Audit-Logs.
Und in diese Schatten-Infrastruktur kann ein Angreifer eindringen – ohne dass jemand etwas merkt. Weil niemand weiß, welche Logins legitim sind und welche nicht.
Was beim Unimed-Angriff konkret falsch war – und was es hätte verhindern können.
Der Unimed-Angriff hat drei technische Fehler sichtbar gemacht. Sie sind lösbar. Alle drei.
1. Third-Party-Risikomanagement fehlte. Unimed ist ein Dienstleister. Er verarbeitet Patientendaten im Auftrag von Kliniken. Die Kliniken sind für diese Daten verantwortlich – auch wenn sie auf Unimeds Servern liegen. Aber welcher Klinik-IT-Leiter hat in den letzten zwölf Monaten geprüft, welche Sicherheitszertifikate Unimed hat? Welches Penetration-Testing? Welche Incident-Response-Prozesse? Die ehrliche Antwort: kaum einer. Dienstleister werden vertraut. Nicht geprüft.
2. Datenverschlüsselung at-rest fehlte. Die Angreifer haben Daten exfiltriert. Im Klartext. Namen, Adressen, Diagnosen, Ärzte – alles lesbar. Wären die Daten auf Unimeds Servern verschlüsselt gespeichert gewesen – mit Schlüsseln, die Unimed nicht selbst kontrolliert – hätten die Angreifer Dateien exfiltriert, die sie nicht lesen können. 93.000 Datensätze. Wertlos. Der Angriff hätte sich nicht gelohnt.
3. Minimale Berechtigungen fehlten. Wie kann ein Abrechnungssystem 54.000 Patientendatensätze in einem einzigen Angriff verlieren? Weil der Dienstleister Zugriff auf alle Datensätze gleichzeitig hatte. Das Prinzip der minimalen Berechtigung besagt: jedes System bekommt nur Zugriff auf genau die Daten, die es für seinen aktuellen Auftrag braucht. Nicht mehr. Ein Angreifer, der einen solchen Account übernimmt, findet dann nicht 54.000 Datensätze. Er findet vielleicht zwanzig.
Für das eigentliche Problem – das Passwort-Sharing – gibt es ebenfalls Lösungen. Aber sie kosten Geld, das die Kliniken nicht haben, und Zeit, die die IT-Abteilungen nicht investieren wollen:
Single Sign-On. Einmal pro Schicht authentifiziert – danach läuft alles. Der Arzt tippt morgens sein Passwort ein und bewegt sich den ganzen Tag durch alle Anwendungen, ohne es je wieder einzugeben. Smartcard oder RFID-Badge. Kliniker tragen bereits Ausweise. Der Ausweis ist die Authentifizierung. Karte draufhalten, fertig. Biometrie. Fingerabdruck. Iris. Funktioniert auch mit Handschuhen – es gibt Lösungen. Das sind keine Zukunftstechnologien. Das ist Stand der Technik. In jeder modernen Unternehmens-IT.
Warum es trotzdem nicht besser wird.
Der Bundesverband KH-IT hat diese Woche Alarm geschlagen. Nicht wegen mangelndem Willen. Sondern wegen mangelnder Finanzierung. Das Krankenhauszukunftsgesetz hat Digitalisierungsprojekte angeschoben – die Folgefinanzierung fehlt. Was gebaut wurde, kann nicht gewartet werden. Was geplant wurde, wird nicht umgesetzt.
Gleichzeitig: Die Industrie verdient daran. Schnittstellen werden teuer gemacht. Systeme werden nicht geöffnet. KIS-Hersteller – klinische Informationssysteme – arbeiten aktiv gegen Interoperabilität, weil Interoperabilität ihre Lock-in-Prämien bedroht.
Das ist der Kontext, in dem ein Arzt sein Passwort weitergibt. Nicht Fahrlässigkeit. Systeme, die nicht funktionieren. Geld, das nicht da ist. Lösungen, die gebaut wurden, ohne zu fragen, wer sie benutzt.
Was das mit Ihrem Unternehmen zu tun hat.
Kliniken sind ein Extrembeispiel. Die Arbeitsrealität ist extremer, die Folgen eines Angriffs sind extremer, die strukturellen Probleme sind extremer.
Aber das Grundprinzip kennt jedes Unternehmen:
Wenn Ihr IT-System nicht zur Arbeitsweise Ihrer Menschen passt, werden sie es umgehen.
Und in der Lücke, die dabei entsteht, passieren Angriffe.
Die Frage ist nicht: Haben wir eine gute IT-Sicherheitsrichtlinie? Die Frage ist: Folgen die Menschen dieser Richtlinie in der Realität – und warum oder warum nicht?
Was jetzt zu prüfen ist – für jede Organisation.
1. Wo liegen Ihre Daten bei Dritten? Jeder Dienstleister, der Ihre Daten verarbeitet, ist eine potenzielle Angriffsfläche. Wann haben Sie das letzte Mal geprüft, welche Sicherheitsstandards Ihr Buchhalter, Ihr CRM-Anbieter, Ihr Lohnbüro hat?
2. Welche Ihrer Sicherheitsregeln werden wirklich befolgt? Nicht in der Schulung. Im Arbeitsalltag. Wenn es stressig wird, wenn jemand krank ist, wenn Zeit fehlt.
3. Liegen Ihre Daten verschlüsselt? Nicht beim Transport. At-rest. Auf den Servern des Dienstleisters. Wenn Sie das nicht mit Sicherheit beantworten können: das ist die wichtigste Frage des nächsten Meetings.
Was jetzt?
Wenn Sie über eine Infrastruktur nachdenken, bei der Sie wissen, wo Ihre Daten liegen – weil sie auf Ihrem Server liegen, unter Ihrer Kontrolle, verschlüsselt, ohne Drittpfad – dann ist das der Einstieg in das, was wir Tycho Operations nennen. Nicht als Produkt. Als Prinzip: Ihr Raum. Ihre Regeln. Ihre Daten.
