Schutz Schaden kann unendlich sein

Autor: Anouschka Wasner

Der GAU: die Erpressung von Lösegeld plus Datendiebstahl. Der GAU: die Erpressung von Lösegeld plus Datendiebstahl. © nicescene/gettyimages

Zwar richten sich gezielte Cyberangriffe eher ­gegen große Strukturen wie Krankenhäuser. Eine aktuelle Studie stellt aber fest, dass 2023 eine Verlagerung von Angriffen von mittleren auf kleine Unternehmen zu beobachten war. Denn nicht alle Attacken beginnen gezielt.

Sind im Jahr 2022 noch 39 % der für die HDI Versicherung AG befragten kleinen und mittleren Unternehmen davon ausgegangen, innerhalb der nächsten zwei Jahre Opfer einer Cyberattacke zu werden, waren es 2023 nur noch 27 %. Doch diese Einstellung verrät wenig Realismus: Dem weltweiten IT-Sicherheitsanbieter Sophos zufolge ist zwar die Rate der Ransomware-Angriffe im Gesundheitswesen 2023 von 66 % auf 60 % zurückgegangen – damit ist sie aber immer noch fast doppelt so hoch wie die Rate, die der Sektor 2021 vermeldete.

Ein Innehalten der Entwicklung ist kaum wahrscheinlich. Während sich die Sicherheitslage durch hybride Angriffe aus dem Ausland weiterhin verschärft, warnt das  Bundesamt für Sicherheit in der Informationstechnik aktuell mit Nachdruck davor, dass Künstliche Intelligenz die Cyber­angriffe auf ein neues ­Level heben wird. Maschinell erstellte Videos, Bilder, Texte oder Stimmen können Menschen so täuschen, dass deutlich mehr Personen dadurch in die Falle gehen als zuvor – Social Engineering 2.0 könnte man diese Entwicklungsstufe von Angriffen nennen.

Der größte Risikofaktor ist unverändert der Mensch“, unterstreicht Dipl.-Ing. Wolfgang Schweikert von der Ärzte Service GmbH. Er vermittelt unter anderem Cyberversicherungen an Arztpraxen. Auch er sagt: Praxen werden oft gar nicht gezielt angegriffen. Die Aussendung von Ransomware – also Schadsoftware – erfolgt nämlich nach dem Gießkannenprinzip.

Aber im nächsten Zug kommt der Mensch ins Spiel: die Praxisleitung, die sich für ihre Einzelpraxis für einen niedrigen Schutz entschieden hat, der Assistenzarzt, der auf den Link in der E-Mail geklickt hat, und die Cyberkriminiellen, die am „Rücklauf“ auf ihre Streusendungen sehen, dass sie es mit einer Arztpraxis zu tun haben und zu Recht davon ausgehen, dass sich hier gut Druck aufbauen lässt. Bezahlt wird nach Erfolgsrate.

Und dann ist es passiert: Die Computer der Praxis können nicht mehr hochgefahren werden. Wie im schlechten Film erscheint die Schrift „You are hacked“ auf dem Bildschirm. Es folgen die Anweisungen, was getan werden soll, wie viel Lösegeld zu zahlen ist, um wieder Zugang zu den Daten zu bekommen. Drei Viertel der Gesundheitsorganisationen gaben 2023 an, dass ihre Daten verschlüsselt wurden. Bei mehr als einem Drittel dieser Angriffe wurden aber auch Daten gestohlen. Diese „Double-Dip“-Methode wird künftig vielleicht zum Standard.

Manche Informationen kann man nie mehr einfangen

Dabei werden die Kosten und die Haftungsprobleme, die auf die Praxen zukommen können, meist dramatisch unterschätzt. Gesundheitsdaten gehören schließlich zu den besonders sensiblen Daten. Sind beispielsweise Informationen über chronische Krankheiten oder bestimmte medizinische Eingriffe einmal öffentlich geworden, lässt sich das und der dadurch möglicherweise entstandene Schaden nie mehr einfangen. Nicht umsonst ist die Schweigepflicht in der Medizin ein unverzichtbarer Grundsatz.

Juristisch kann es durch die Angriffe zu unwillentlichen Verstößen gegen gesetzliche oder vertragliche Datenschutzbestimmen bzw. -verpflichtungen kommen, die mit Bußgeldern bewehrt sind. Und im schlimmsten Fall muss die Praxis über den Ausfall der Systeme bzw. den fehlenden Zugriff auf Daten für erhebliche Zeiträume schließen. Nicht zu unterschätzen ist auch die Beschädigung der Reputation: Das Vertrauen ist erschüttert, weil sensible personenbezogene Daten in die Hände Krimineller gelangt sein können und die Praxis die Patient*innen nicht zuverlässig versorgen kann.  

Check-up für die Cyberversicherung

Die finanzielle Entschädigung ist nicht das einzige Kriterium für oder gegen eine Cyberschutzversicherung. Der Experte Wolfgang Schweikert rät, folgende Bausteine zu checken:  

  • Gibt es eine Hotline mit 24/7-Zugriff auf IT-Sicherheitsdienstleister, um im Schadensfall direkt richtig reagieren zu können? Ist eine kostenfreie Beratungszeit enthalten?
  • Werden die Kosten für Forensik und Schadenfeststellung innerhalb der ersten 48 Stunden erstattet?
  • Sind Betriebsunterbrechung und Kosten wie entgangener Gewinn sowie fortlaufende Kosten abgesichert?
  • Sind Folgeschäden abgesichert, die durch den Diebstahl personenbezogener Daten oder durch die Preisgabe von Geschäftsgeheimnissen Dritter entstehen können?
  • Sind Drittschäden sowie Schadenersatzansprüche betroffener Patient*innen in den Leistungen mit abgesichert?
  • Ist eine Rückwärtsdeckung für unentdeckte Schäden vor Vertragsbeginn enthalten?
  • Werden die Versicherungsleistungen dem Stand der Entwicklung angepasst?
  • Sind private IT-Systeme und Geräte des Personals versichert?
  • Gehört die Teilnahme der Praxis am Cyber-Sicherheitstraining zu den Leistungen?
  • Sind Krisenmanagement, Reputationsschaden, datenschutzrechtliche Unterstützung und ggf. sogar die Lösegeldzahlung im Erpressungsfall in den Leistungen der Versicherung enthalten?

Nicht ausreichend ist es dann, wenn Elemente einer Cyberschutzversicherung in der Betriebshaftpflichtversicherung enthalten sind, warnt Schweikert. Diese sichern nämlich keine Cyberkriminalität ab. Er empfiehlt die separate Versicherung mit Soforthilfe im Bausatzprinzip. Werden Leistungen einer Cyberhaftpflicht bereits über andere Versicherungen abgedeckt, kann trotzdem an diesen Stellen gespart werden.

Absichern mit Backup und starker Firewall

Die Versicherungssumme ist nach Praxisumsatz wählbar von 100.000 Euro bis zu fünf Millionen Euro. Allerdings ist es schwierig, die Schadenssumme zu bestimmen. „Ein Cyberschaden kann unendlich sein. Reputationsschäden und Schadensersatzansprüche können existenzvernichtend wirken“, sagt Schweikert.

Die Vorausleistung der Praxen, um einen guten Versicherungsschutz zu bekommen, besteht darin, einen wirksamen Virenschutz, eine leis­tungsstarke Firewall und ein funktionierendes Zugriffsmanagement zu gewährleisten. Auch die Inves­tition in zuverlässige Backups für den Ernstfall ist unverzichtbar – die Wahrscheinlichkeit, dass sie sich irgendwann bezahlt macht, steigt sozusagen täglich.