Warum sich Cyberversicherungen auch für Ärzte und Apotheken lohnen können

Seit 2008 schließen Konzerne in Deutschland neben den standardisierten Versicherungen unter anderem auch Cyberversicherungen ab. Diese sollen Unternehmen im Fall einer Cyberattacke vor entstandenen Schäden schützen.

Sie werden individuell abgeschlossen und auf das jeweilige Sicherheitsmanagement beziehungsweise auf die aktuellen Neuerungen in Bezug auf die Cyber-kriminalität angepasst.

Ende 2014 sorgte ein Cyberangriff auf eine Hamburger Kreditkartenfirma für landesweite Resonanz bei Medien und Bevölkerung. Da sich der Hamburger Konzern rechtzeitig versichern ließ, erhielt er einen zweistelligen Millionenbetrag und konnte somit alle entstandenen Aufwendungen und Kosten begleichen. Nun drohen Angriffe aus dem Cyberspace auch mittelständischen Unternehmen sowie Ärzten beziehungsweise Kliniken und Apotheken. Hier haben es Hacker besonders auf sensible Daten wie Kredit- oder EC-Karten abgesehen.

Datensicherheit bei Ärzten und Apotheken

Ärzte und Apotheken schützen die von ihnen erhobenen Patientendaten laut einer Studie des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV) nicht ausreichend. Gerade was den Schutz von Passwörtern angeht, sind besonders Kliniken nachlässig. Ein Cysmo-Sicherheitscheck der GDV hat im Winter 2018/19 ergeben, dass 70 Prozent der Passwörter und E-Mails im Darknet zu finden waren. Bei Apotheken waren es im Vergleich 19 Prozent und bei Ärzten 14 Prozent. Neun von zehn Ärzten verwenden leicht zu erratende Passwörter wie „Behandlung“ oder schlicht den Namen des Arztes. Mediziner und Pharmazeuten unterschätzen, nach Aussagen der oben genannten Untersuchungen, die Risiken von Cyberangriffen.

Neben den Passwörtern stellen auch sogenannte Phishing-Attacken ein potenzielles Risiko für den Gesundheitssektor dar. Im Rahmen des Tests der GDV öffneten in jeder zweiten Praxis Mitarbeiter Mails mit potenziell schadhaftem Inhalt. 20 Prozent klickten sogar auf die Verlinkungen innerhalb dieser gefährlichen E-Mails oder öffneten die beigesendeten Anhänge. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt einen gewissen Stand der Technik aufgrund der neuesten Änderungen bezüglich der DSGVO (Datenschutzgrundverordnung). Von insgesamt 1200 Ärzten befanden sich gerade einmal fünf (also 0,4 Prozent) auf dem geforderten technologischen Stand. Bei Kliniken waren es immerhin fünf Prozent.

Datenschutz auch ohne Cyberversicherung

Die Diskussionen rund um den Datenschutz finden kein Ende. Aktuell gilt es bereits als unseriös, wenn man von der DSGVO noch nichts gehört hat. Cyberversicherungen machen es sich nun zur Aufgabe, bei gewissen Situationen ausreichend Schutz anzubieten. Hier bieten die einzelnen Versicherungen unterschiedliche Bausteine an:

• Absicherung der Kosten bei Betriebsunterbrechung
• Wiederherstellung von Daten
• Krisenmanagement
• Kosten, die mit dem Verlust von vertraulichen Informationen verbunden sind
• Beschädigung von Drittsystemen oder Strafzahlungen

Nichtdestotrotz müssen alle Unternehmen zuvor ein aktuelles Sicherheitsmanagement aufweisen können. Das heißt, sensible Daten, seien es Passwörter, Patientendaten oder E-Mail-Postfächer, müssen ausreichend geschützt werden. Dabei ist auch der technologische Stand ein wichtiger Teil von Sicherheitsvorkehrungen. Patientendaten, die im Nachhinein an die jeweiligen Krankenkassen übermittelt werden, müssen durch neue und sichere Verschlüsselungen geschützt werden. Experten raten allen Beteiligten, wegen unzureichender Sicherheit der Systeme besser keine Patientendaten per E-Mail zu versenden.

Trotzdem wiegen sich 77 Prozent der Ärzte und 80 Prozent der Apotheker in Sicherheit. Bundesweit wurden 25 Arztpraxen untersucht und wiesen erhebliche Schwächen bei der organisatorischen Sicherheit auf. „Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte“, erklärt Michael Wiesner, Experte für Computersicherheit und Mitglied des Chaos Computer Clubs, der die Praxis-IT im Auftrag des GDV testete. Dass Cyberattacken ein potenzielles Risiko darstellen, räumen immerhin 44 Prozent der Ärzte ein. Doch lediglich 17 Prozent der Mediziner sehen dieses Risiko für ihre eigene Praxis, obwohl jedem Arzt oder Apotheker die Folgen eines Cyberangriffs sehr bewusst sind: Nahezu acht von zehn Arztpraxen (78 Prozent) in Deutschland müssten nach eigener Ansicht ihre Arbeit einstellen oder stark einschränken, wenn die Praxis-IT lahmgelegt würde.