Cyberversicherungen von Hotline über Rechtshilfe bis Lösegeld

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Cyberversicherungen sind noch relativ neu – und überraschend umfangreich. Cyberversicherungen sind noch relativ neu – und überraschend umfangreich. © ipopba – stock.adobe.com

Eine Praxis ohne IT und Internetanschluss gehört heute quasi zu den Bildern der Vergangenheit. Doch Gelegenheit macht Diebe: Ob es um Patientendaten geht oder um „normale“ Erpressung – vor Hackerangriffen sind die Praxen nicht gefeit. Was kann eine Cyber-Police?

Auf einmal lassen sich die Patientenakten nicht mehr öffnen und der Terminkalender reagiert nicht mehr. Selbst E-Mail-Programm und Telefonanlage sind tot. Escape, Task Manager, Neustarts, nichts hilft. Eine Schadsoftware hat die Praxis-IT mit allen Programmen und Dateien verschlüsselt. Die MFA wollte Praxismaterial bestellen und hat die E-Mail eines vermeintlich neuen Anbieters geöffnet. Weder die Firewall noch das Virenschutzprogramm haben den Virus erkannt.

Wenn Patientendaten in Geiselhaft genommen werden

Vielleicht hat sich das Programm auch erst nach und nach über das Netzwerk auf den Geräten der Praxis eingenistet. Und hat dabei über Wochen unbemerkt Patientendaten nach draußen schicken können, eventuell sogar inklusive der EC- und Kreditkartendaten. Irgendwann würde die Praxis dann eine Drohung erhalten, dass Lösegeld gezahlt werden muss, wenn die Daten nicht verkauft oder veröffentlicht werden sollen. Horrorvorstellung? Unbedingt. Dem aktuellen Bundeslagebild Cybercrime zufolge stieg die Zahl aller registrierten Taten im vergangenen Jahr um knapp 8 % auf 108.000. Damit hat sich diese Zahl seit 2015 mehr als verdoppelt. Laut BKA nahm die Bedrohung auch qualitativ zu, weil die Digitalisierung voranschreitet und Täter aus der globalen Cybercrime-Industrie immer professioneller werden. Die größte Bedrohung ginge dabei von Ransomware-Angriffen aus, also Erpressungssoftware. Wer ein bisschen mehr mit dem Thema zu tun hat, sagt, die Frage sei heute nicht mehr, ob ein Unternehmen einen durchschlagenden Cyberangriff erleiden wird – sondern lediglich, wann. Arztpraxen müssen deswegen alle möglichen Vorkehrungen treffen, um Angriffe auf die Praxis-IT zu verhindern. Doch wie viel ist überhaupt möglich? Virensoftware und IT-Dienstleister reichen heute nicht mehr aus, um Schadsoftware, Erpressung oder Angriffe abzuwehren. Betroffen sein kann jeder. „Das Unternehmen, seine Art oder Größe sind erstmal keine Kriterien für das Risiko. Die Trojaner werden in Massen losgeschossen und jedes System, in das sie eindringen, ist ein Gewinn für den Hacker“, sagt Harald ­Heidrich von der auf Arztpraxen spezialisierten Finanz- und Wirtschaftsberatung Heidrich Consult, Hannover. Seit ein paar Jahren haben deswegen einige Versicherer – mittlerweile über 40 – Cyber-Versicherungen im Programm. Sie sollen das Restrisiko abdecken. In einem Fall wie dem beschriebenen hätte die Praxis mit entsprechender Versicherung direkt bei einer 24/7-Hotline anrufen können und damit nicht nur effektive Ansagen bekommen, wie sie sich verhalten soll, sondern über eine schnelle Reaktion von zugeschalteten IT-Spezialisten wahrscheinlich auch den Schaden in Grenzen halten können. Im Anschluss würden Experten auf Kosten der Versicherung schnellstmöglich den Trojaner identifizieren und auch das IT-System, die Programme und die Daten wiederherstellen.

Genauso kann auch der Schaden, der durch die Unterbrechung des Praxisbetriebs entsteht, versichert werden und bei Datendiebstahl die Kosten für die Untersuchung, welche Daten betroffen sind, für das Informieren der Patienten und für die daraus resultierenden Schadenersatzforderungen von Patienten bzw. Banken und Instituten. Kommt eine Erpressung hinzu und die Praxis hat dieses Modul in ihrer Versicherung inkludiert, übernehmen die Experten auch die Verhandlungen mit den Erpressern. Bis jetzt sei es etwa jede zweite bis dritte Arztpraxis in seiner Beratung, die eine solche Versicherung abschließe, so Heidrich. „Ich würde aber gerne 100 % der Praxen, die ich berate, abdecken. Der Schaden ist im Ernstfall einfach zu groß“, begründet er das. Mit dieser Einschätzung scheint er nicht allein zu sein: Wurden 2017 noch 27.000 Cyberversicherungen abgeschlossen, waren es 2018 schon 50.000. Für 2020 geht der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) von etwa 120.000 Versicherungsabschlüssen gegen Cyberschäden aus. Versichert werden können einmal Eigenschäden wie Kosten für beschädigte Hard- und Software, Imagekosten, Rechtsberatung und Unterbrechungskosten, aber vor allem auch die oft noch schwereren Drittschäden wie Vertragsstrafen gegenüber Behörden oder Schmerzensgeld. „Wenn eine Praxis mal 2000 Euro oder mehr für jeden ihrer Patienten zahlen muss, ist das kein Spaß mehr“, veranschaulicht der Berater.

Deckungsumfang der Policen sehr unterschiedlich

Dagegen scheinen dann auch die Kosten für die Police gar nicht mehr so hoch. Für eine Allgemeinarztpraxis mit 250.000 Euro Jahresumsatz  mit fünf Mitarbeitenden und keinen weiteren Besonderheiten finden sich bei den Versicherern Angebote mit Jahresprämien zwischen 400 und 1300 Euro. Die Anbieter, mit denen er die besseren Erfahrungen hat, liegen oft in der Mittelklasse, so der Experte.

Die Agentur Franke und Bornberg hat für 148 Tarife von 33 Versicherern in dem sich noch entwickelnden Markt der Cyberversicherungen ein Rating erstellt. Der Deckungsumfang unterscheide sich von Versicherer zu Versicherer erheblich, hat die Agentur festgestellt. Man be­obachte deutliche Unterschiede in Aufbau und Umfang der Bedingungen, vom großen Komplettpaket über Baukastensysteme bis hin zu eng gefassten Kern-Deckungen sei alles vertreten. „Was der eine Versicherer über eine Rechtsschutzversicherung löst, die an den Cyber-Hauptvertrag angedockt wird, webt der andere in Cyber-Drittschadendeckung und Krisen-Dienstleistungen ein. Die Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen können gravierend sein“, so die Agentur. Deswegen sei es auch selten hilfreich, sich als potenzieller Versicherungsnehmer durch die Bewertungsportale durchzuklicken, sagt dazu Heidrich. Auch aus seiner Erfahrung gibt es neben der grundsätzlichen Schadensabdeckung einige Punkte, auf die eine Arztpraxis achten sollte. Leistungen, die er seinen Arztpraxen konkret empfiehlt, sind zum Beispiel die Mitversicherung von:
  • Erste Hilfe: Zugriff auf eine 24/7-Hotline, und zwar schon bei Verdacht auf einen Angriff.
  • Bedienfehler: Besonders in Unternehmen der klassischen Größe einer Arztpraxis sind die Mitarbeitenden immer wieder Angriffsziel von Hackerversuchen.
  • Erpressungsgeld und Verhandlungen: Einige Versicherungen vertreten die Position „Mit Hackern verhandelt man nicht“. Auch aus Sicht des Versicherungsexperten ist das verständlich. Doch in einer Arztpraxis sei der Zeitfaktor, bis wieder gearbeitet werden könne, zu relevant für diese Argumentation.
  • Strafrechtsschutz: Ist eventuell über andere Versicherung abgedeckt.
  • Cloud-Ausfall: Ein Cyber-Angriff auf einen Cloud-Dienstleister bedeutet meist auch eine Betriebsunterbrechung in der Arztpraxis. Diese sollte in ausreichender Höhe mitversichert sein.
  • Datenschutz-Bußgelder: Die abgesicherte Summe sollte nicht unter der vereinbarten Versicherungssumme liegen.
  • Präventionsprogramm: Bietet z.B. Bestandsaufnahme der Sicherheitsvorkehrungen und Schulung der Mitarbeitenden.
Wolfgang Schweikert von der Ärzte Service GmbH des Gesundheitsnetz Süd berät über 400 Niedergelassene. Er hält eine Cyberversicherung heute für die wichtigste Versicherung für Ärzte neben der Berufshaftpflicht. Der Grund: Ein Cyberschaden könne ins Unermessliche gehen. „Ein Feuerschaden ist so hoch wie z.B. der Wert des versicherten Hauses. Ein ­Cyberschaden lässt sich nicht im Vorhinein beziffern“, sagt er. Denn die Schäden, die ein Mensch durch den Verlust von Gesundheitsdaten erleiden kann, sind nicht wirklich messbar. Und die gestohlenen Daten sind für immer im Netz zu finden – und können somit auch lebenslang und immer wieder Schaden anrichten. Laut einer Umfrage unter Sicherheitsspezialisten aus dem Gesundheitsbereich zu Vorfällen in ihren Organisationen hatten in den USA 74 % der Befragten bereits mindestens einen Sicherheitsvorfall zu verzeichnen. „Ich wüsste nicht, warum sich das bei Arztpraxen in Deutschland anders darstellen sollte“, so Schweikert.

Medical-Tribune-Bericht