Im Juli 2025 hatte ich über IT-Ausfälle bei Ameos-Kliniken und Einrichtungen berichtet und dann herausgefunden, dass ein Cyberangriff die Ursache war (der Betreiber mauerte tagelang). Nun stellt sich heraus, dass bei diesem Angriff Daten von Patienten abgeflossen sind. Und Ameos hat die Betroffenen nicht informiert, sondern erwartet, dass Patienten anfragen. Mittlerweile laufen aus verschiedenen deutschen Bundesländern DSGVO-Prüfverfahren gegen Ameos.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Rückblick auf den Cybervorfall bei Ameos
Die AMEOS Group aus der Schweiz betreibt mit 8.000 Mitarbeitern, als einer der größten Anbieter im Medizinbereich, 101 Kliniken und weitere medizinische Einrichtungen mit über 10.900 Betten in Deutschland, Österreich und der Schweiz.
Mir waren Anfang Juli 2025 aus diversen Quellen Berichte über massive IT-Probleme in deutschen Kliniken gemeldet worden. Ich hatte zum 8. Juli 2025 im Blog-Beitrag IT-Ausfall in deutschen Kliniken (7.-8. Juli 2025); Ameos betroffen – was ist da los (Citrix Bleed 2)? über diese Meldungen berichtet und seitdem kontinuierlich Informationen nachgetragen.
Aus dem initialen Bild war bald klar, dass es bei Ameos seit dem 7. Juli 2025 eine deutschlandweite IT-Störung gab, die eigentlich alle Ameos-Einrichtungen betraf. Meine Information lautete, dass ein zentraler IT-Dienstleister in Deutschland mutmaßlich gehackt worden war. Vom Betreiber wurde aber nach meinen Beobachtungen massiv gemauert. Auf Medienanfragen teilte Ameos nur mit, das die Ursache in Zusammenarbeit mit einem Dienstleister bekannt sei und behoben werde. Es wurde von einem Netzwerkfehler gesprochen, ohne nähere Erläuterungen zu geben.
Ich ging, auf Grund mir vorliegender Informationen (Notebooks von der IT in Einrichtungen einkassiert, alles abgeschaltet), frühzeitig von einem Cyberangriff aus. Und ich hatte eine Vermutung im Hinblick auf eine mögliche Ursache (Citrix-Bleed2) in den Raum gestellt. Quellen berichteten mir, dass massiv Druck auf die Belegschaft ausgeübt werde, nur nichts nach außen dringen zu lassen. Zum Schutz der Quellen hatte ich sogar bestimmte Informationen aus meinen Beiträgen rausgelassen oder nachträglich entfernt.
Zum 9. Juli 2025 schickte ich der Ameos-Presseabteilung in der Schweiz eine eigene Presseanfrage und habe darauf hingewiesen, dass ich als IT-Blogger die Leserschaft gerne etwas detaillierter über diese IT-Probleme informieren wolle. In der Anfrage hatte ich geschrieben: "Ich kenne es, dass Anbieter zeitnah grob angeben, welche Dienste und Software-Produkte betroffen sind. Im Anschluss wird ein Incident-Report veröffentlicht, der den IT-Technikern ggf. die Möglichkeit eröffnet, zu reagieren und Gegenmaßnahmen zu ergreifen, um eine Störung künftig zu vermeiden." In der Anfrage hatte ich konkrete Fragen gestellt und mein Blog-Beitrag zum vermuteten Cybervorfall war da ja schon online.
Auf meine konkrete Anfrage, welche IT-Dienste und Produkte der Ameos-Gruppe betroffen sind, welche Folgen die Einschränkung der Dienste habe, welche Einrichtungen betroffen waren und was der genaue Grund für die IT-Probleme sei, habe ich bis heute keine Antwort bekommen.
Gut Ameos ist nicht verpflichtet, mir als IT-Blogger Auskunft zu geben. Ich hatte aber "den Ball ins Spielfeld geworfen", damit die Verantwortlichen das aufgreifen und was draus hätten machen können. Die Verantwortlichen der Südwestfalen IT hatten diesen Ball seinerzeit aufgegriffen und mir nach dem Cybervorfall den Incident-Report zukommen lassen, aus dem ich für die Leserschaft frei zitieren durfte.
Von Ameos erhielt ich lediglich eine allgemeine Pressemitteilung, in der ein Cybervorfall eingestanden wurde. Ich hatte dies dann zum 9. Juli 2025 im Blog-Beitrag Ameos-Klinikverbund: IT-Ausfall Folge eines Hacker-/Cyberangriffs aufbereitet.
Datenabfluss, Informations-GAU und DSGVO-Verfahren
Es mag sein, dass bestimmte Informationen aus juristischer Sicht gerne unter dem Deckel gehalten werden, um sich nicht bezüglich Schadensersatzanforderungen zu exponieren. Aber eine "Deckel drauf-Politik" rächt sich meist und die Karre ist schnell richtig in den Dreck gefahren.
Bei dem Cyberangriff sind wohl leider Daten von Patienten abgeflossen. Das geht aus der von Ameos geschalteten DSGVO-Auskunftsseite nach §35 (siehe obiges Bild) hervor. In diesem Kommentar hatte ein Blog-Leser zum 28. August 2025 auf diese Seite hingewiesen und dazu geschrieben:
Auf deren Website kann man nun ein Formular nach §34 ausfüllen, um Infos zu bekommen, ob man von dem Datenleck betroffen ist. Ein Pflichtfeld u.A. ist, dass mein eine Kopie seiner Personalausweises hochlädt. Also da traf mich doch der Schlag.
Sie haben nicht nur 1x beweisen, dass sie nicht mit Patientendaten umgehen können und nun wollen sie noch mehr wertvolle Daten von mir. Ich finde es ein Graus. Wenn mein Perso einmal im Darknet gelandet ist, dann kann ich mir gleich eine neue Identität zulegen.
Es ist natürlich eine schwierige Kiste, Ameos muss sicherstellen, dass keinen "falschen Personen" eine DSGVO-Auskunft zugestellt wird. Andererseits sehe ich eine "Ja-/Nein-Entscheidung" zur Betroffenheit, ohne weitere Details unkritisch.
Laut diesem MDR-Bericht hat die Ameos-Gruppe einen "kurzzeitigen" Zugriff auf Daten der IT eingestanden und auch fristgerecht eine DSGVO-Meldung bei den Landesdatenschutzbeauftragten eingereicht. Aber laut DSGVO muss der Betreiber direkt die Betroffenen informieren.
Die von Ameos praktizierte "Umkehr", dass potentiell Betroffene sich freiwillig melden sollen, stößt bei Landesdatenschutzbeauftragten auf heftige Kritik, wie der MDR in diesem Artikel offen legt. Patienten der Ameos-Kliniken, die wissen wollen, ob und mit welchen Daten sie vom Datenleck betroffen sind, haben Beschwerde bei den zuständigen Landesdatenschutzbeauftragten wegen der Vorgehensweise von Ameos eingereicht.
Sachsen-Anhalts Datenschutzbeauftragte Maria Christina Rost bestätigte dem MDR SACHSEN-ANHALT Mitte der Woche, dass sie den Vorfall mit Datenschutzbeauftragten anderer Bundesländer berate. Datenschutzbehörden mehrerer Bundesländer prüfen mögliche DSGVO-Verstöße des Schweizer Unternehmens Ameos. Zur Erinnerung, unter den Ameos Häusern sind auch psychiatrische Einrichtungen.
Ameos begründet die Vorgehensweise mit den "aufwändigen Prüfungen zur Ermittlung der Betroffenheit". Ist für mich irgendwie nicht ganz nachvollziehbar – wenn jemand eine Anfrage stellt, würde es ja nur bedeuteten, dass man "den Fall bei der Prüfung vorzieht". Die Einlassungen des Ameos Managements im Hinblick auf "Angreifer mit besonders hoher krimineller Energie oder Niedertracht", gehe ich nicht weiter ein – das sind schlicht Nebelkerzen für die Öffentlichkeit. O-Ton aus der Ärzteschaft dazu: "Was mich immer 'nervt' sind Aussagen wie: 'Die Ameos-Gruppe wurde unverschuldet Opfer eines kriminellen Cyberangriffs'", meint Ameos-Vorstand Freddy Eppacher. IT-Sicherheit gibt es nun einmal nicht zum Nulltarif. "
Am Ende des Tages wirft der obige zeitliche Abriss sowie das Verhalten des Ameos-Managements in Punkto Information aus meiner Sicht kein gutes Bild auf die Angelegenheit. Was Ursache für den erfolgreichen Angriff war, ist genauso weiterhin im Dunkeln, wie auch der Grad des Datenabflusses und der Betroffenheit. Manches benötigt schlicht Zeit, keine Frage. Aber der externe Beobachter erkennt sehr schnell, ob sich offen um Transparenz bemüht oder eher gemauert wird.
Ähnliche Artikel:
Citrix Bleed Teil 2: Schwachstelle CVE-2025–5777 weitet sich aus
Citrix Bleed Teil 2: Wird Schwachstelle CVE-2025–5777 bereits ausgenutzt?
IT-Ausfall in deutschen Kliniken (7.-8. Juli 2025); Ameos betroffen – was ist da los (Citrix Bleed 2)?
IT-Ausfall in deutschen Kliniken (7.-8. Juli 2025); Ameos betroffen – was ist da los (Citrix Bleed 2)?
"Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?
Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?
MVP: 2013 – 2016
Jemand aus meiner Familie wird betroffen sein, ich werde berichten, was Ameos tut und auch dafür sorgen, dass unsererseits per Einwurfeinschreiben nachgehakt wird.
Weiß nicht, ob's übersehen wurde, aber ich hatte dsbzgl. auch bereits am 27.08. in der Rubrik "Diskussion" einen entsprechenden Beitrag mit einem Verweis auf einen kurzen aber bzgl. der Informationshandhabung seitens AMEOS richtungsweisenden Artikel aus dem Ärzteblatt dagelassen.
War insofern leider nur erwartbar!
—
GB: Ich ziehe den Text des Kommentars mal aus dem Diskussionsbereich nach hier um:
Auch ich bin eventuell betroffen und habe über deren Formular um Auskunft ersucht.
Eine Personalausweiskopie wird nicht mehr verlangt, auf die Kritik daran haben sie reagiert.
Heißt also, dass jetzt möglich ist/wäre durchaus auch unberechtigt mit einer Abfrage zu i-einer lediglich namentlich bekannten Person Auskunft über einen – mglw. – entstandenen Datenabfluß zu stellen und deren Informationen zu erhalten?
Ob ich das jetzt besser fände… mir geht dabei immer durch den Kopf, dass leider die meisten Menschen offensichtlich Bequemlichkeit mehr als ihre Datensicherheit priorisieren.
Ist das alles wirklich nur auf Unbedarftheit zurück zu führen oder kommt da nicht auch tatsächlich gezielte Ignoranz – mglw. bedingt aus "digitaler" Frustration – zum Vorschein? 🤔
Die Antworten auf die Formularanfragen werden ja hoffentlich an die genannte Person mit der bei Ameos hinterlegten Adresse geschickt werden, sofern Ameos fähig ist, dass abzugleichen.
Den Perso zu so einem Laden hochladen, der Datensicherheit absolut nicht kann, wäre eine Katastrophe.