Cyber-Versicherungen Wie kann die Praxis rechtlich gegen Hackerangriffe abgesichert werden?

Autor: Anouschka Wasner

Neben der Berufshaftplicht halten Experten die Cyber-Police für die wichtigste Versicherung für Ärzte – die Schäden durch Hackereingriffe können ins Unermessliche gehen. Neben der Berufshaftplicht halten Experten die Cyber-Police für die wichtigste Versicherung für Ärzte – die Schäden durch Hackereingriffe können ins Unermessliche gehen. © iStock/ipopba

Ob es um Patientendaten geht oder um „normale“ Erpressung – vor Hackerangriffen sind die Praxen nicht gefeit. Was kann eine Cyber-Police?

Auf einmal lassen sich die Patientenakten nicht mehr öffnen und der Terminkalender reagiert nicht mehr. Selbst E-Mail-Programm und Telefonanlage sind tot. Escape, Task Manager, Neustarts – nichts hilft. Eine Schadsoftware hat die Praxis-IT mit allen Programmen und Dateien verschlüsselt. Die MFA wollte Praxismaterial bestellen und hat die E-Mail eines vermeintlich neuen Anbieters geöffnet. Weder die Firewall noch das Virenschutzprogramm haben den Virus erkannt.

Wenn Patientendaten in Geiselhaft genommen werden

Vielleicht hat sich das Programm peu á peu über das Netzwerk auf den Geräten der Praxis eingenistet und dabei auch über Wochen unbemerkt Patientendaten nach draußen schicken können, eventuell sogar inklusive EC- und Kreditkartendaten. Irgendwann würde die Praxis dann eine Drohung erhalten, dass Lösegeld gezahlt werden muss, wenn die Daten nicht verkauft oder veröffentlicht werden sollen.

Eine Horrorvorstellung? Unbedingt. Dem aktuellen Bundeslagebild Cybercrime zufolge stieg die Zahl aller registrierten Taten im vergangenen Jahr um knapp 8 % auf 108 000. Damit hat sich diese Zahl seit 2015 mehr als verdoppelt. 

Laut BKA nahm die Bedrohung auch qualitativ zu, weil die Digitalisierung voranschreitet und Täter aus der globalen Cybercrime-Industrie immer professioneller werden. Die größte Bedrohung gehe dabei von Ransomware-Angriffen aus, also Erpressungssoftware. Wer ein bisschen mehr mit dem Thema zu tun hat, sagt, die Frage sei heute nicht mehr, ob ein Unternehmen einen durchschlagenden Cyberangriff erleiden wird – sondern lediglich, wann. 

Arztpraxen müssen deswegen alle möglichen Vorkehrungen treffen, um Angriffe auf die Praxis-IT zu verhindern. Doch wie viel ist überhaupt möglich? Virensoftware und IT-Dienstleister reichen heute nicht mehr aus, um Schadsoftware, Erpressung oder Angriffe abzuwehren. Betroffen sein kann jeder. „Das Unternehmen, seine Art oder Größe sind erst mal keine Kriterien für das Risiko. Die Trojaner werden in Massen losgeschossen und jedes System, in das sie eindringen, ist ein Gewinn für den Hacker“, sagt Harald ­Heidrich von der auf Arztpraxen spezialisierten Finanz- und Wirtschaftsberatung Heidrich Consult, Hannover. 

Derzeit bieten rund 40 Versicherer Cyber-Policen an. Sie sollen das Restrisiko abdecken. In einem Fall wie dem beschriebenen hätte die versicherte Praxis bei einer 24/7-Hotline anrufen können und damit nicht nur effektive Ansagen bekommen, wie sie sich verhalten soll, sondern über eine schnelle Reaktion von zugeschalteten IT-Spezialisten wahrscheinlich auch den Schaden in Grenzen halten können. Im Anschluss würden Experten auf Kosten der Versicherung schnellstmöglich den Trojaner identifizieren und das IT-System, die Programme sowie die Daten wiederherstellen. 

Genauso können auch der Schaden, der durch die Unterbrechung des Praxisbetriebs entsteht, versichert werden und bei Datendiebstahl die Kosten für die Untersuchung, welche Daten betroffen sind, für das Informieren der Patienten und für die daraus resultierenden Schadensersatzforderungen von Patienten bzw. Banken und Instituten. Kommt eine Erpressung hinzu und die Praxis hat dieses Modul in ihrer Versicherung inkludiert, übernehmen die Experten auch die Verhandlungen mit den Erpressern. 

Bis jetzt sei es etwa jede zweite bis dritte Arztpraxis in seiner Beratung, die eine solche Versicherung abschließe, so Heidrich. „Ich würde aber gerne 100 % der Praxen, die ich berate, abdecken. Der Schaden ist im Ernstfall einfach zu groß.“ Mit dieser Einschätzung scheint er nicht allein zu sein: Wurden 2017 27 000 Cyberversicherungen abgeschlossen, waren es 2018 schon 50 000. Für 2020 geht der Gesamtverband der Deutschen Versicherungswirtschaft von etwa 120 000 Abschlüssen gegen Cyberschäden aus.

Versichert werden können Eigenschäden wie Kosten für beschädigte Hard- und Software, Imagekosten, Rechtsberatung und Unterbrechungskosten, aber vor allem auch die oft noch schwereren Drittschäden wie Vertragsstrafen gegenüber Behörden oder Schmerzensgeld. „Wenn eine Praxis mal 2000 Euro oder mehr für jeden ihrer Patienten zahlen muss, ist das kein Spaß mehr“, veranschaulicht der Berater.

Deckungsumfang der Policen sehr unterschiedlich

Dagegen scheinen dann auch die Kosten für die Police gar nicht mehr so hoch. Für eine Arztpraxis mit 250 000 Euro Jahresumsatz  mit fünf Mitarbeitern und keinen weiteren Besonderheiten finden sich bei den Versicherern Angebote mit Jahresprämien zwischen 400 und 1300 Euro. Die Anbieter, mit denen er die besseren Erfahrungen hat, liegen oft in der Mittelklasse, so der Experte. 

Die Agentur Franke und Bornberg hat für 148 Tarife von 33 Versicherern im Markt der Cyberversicherungen ein Rating erstellt. Der Deckungsumfang unterscheidet sich erheblich, stellt die Agentur fest. Sie be­obachtet deutliche Unterschiede in Aufbau und Umfang der Bedingungen. Vom großen Komplettpaket über Baukastensysteme bis hin zu eng gefassten Kern-Deckungen sei alles vertreten. „Was der eine Versicherer über eine Rechtsschutzversicherung löst, die an den Cyber-Hauptvertrag angedockt wird, webt der andere in Cyber-Drittschadendeckung und Krisen-Dienstleistungen ein. Die Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen können gravierend sein“, so die Agentur. Deswegen sei es auch selten hilfreich, sich als potenzieller Versicherungsnehmer durch die Bewertungsportale durchzuklicken, sagt dazu Heidrich. 

Neben der grundsätzlichen Schadensabdeckung gibt einige Punkte, auf die eine Arztpraxis achten sollte. Leistungen, die er empfiehlt, sind z.B. die Mitversicherung von:

  • Erste Hilfe: Zugriff auf eine 24/7-Hotline, und zwar schon bei Verdacht auf einen Angriff.
  • Bedienfehler: Besonders in Unternehmen der klassischen Größe einer Arztpraxis sind die Mitarbeitenden immer wieder Angriffsziel von Hackerversuchen.
  • Erpressungsgeld und Verhandlungen: Einige Versicherungen vertreten die Position „Mit Hackern verhandelt man nicht“. Auch aus Sicht des Versicherungsexperten ist das verständlich. Doch in einer Arztpraxis sei der Zeitfaktor, bis wieder gearbeitet werden könne, zu relevant für diese Argumentation.
  • Strafrechtsschutz: Ist eventuell über andere Versicherung abgedeckt.
  • Cloud-Ausfall: Ein Cyber-Angriff auf einen Cloud-Dienstleister bedeutet meist auch eine Betriebsunterbrechung in der Arztpraxis. Diese sollte in ausreichender Höhe mitversichert sein. 
  • Datenschutz-Bußgelder: Die abgesicherte Summe sollte nicht unter der vereinbarten Versicherungssumme liegen.
  • Präventionsprogramm: Bietet z.B. Bestandsaufnahme der Sicherheitsvorkehrungen und Schulung der Mitarbeitenden. 

Wolfgang Schweikert von der Ärzte Service GmbH des Gesundheitsnetzes Süd berät über 400 Niedergelassene. Er hält eine Cyberversicherung heute für die wichtigste Versicherung für Ärzte neben der Berufshaftpflicht. Der Grund: Ein Cyberschaden könne ins Unermessliche gehen. „Ein Feuerschaden ist so hoch wie z.B. der Wert des versicherten Hauses. Ein Cyberschaden lässt sich nicht im Vorhinein beziffern“, sagt er. Denn die Schäden, die ein Mensch durch den Verlust von Gesundheitsdaten erleiden könne, seien nicht wirklich messbar. Und die  gestohlenen Daten sind für immer im Netz zu finden – und können somit lebenslang Schaden anrichten. 

Laut einer Umfrage unter Sicherheitsspezialisten aus dem Gesundheitsbereich zu Vorfällen in ihren Organisationen hatten in den USA 74 % der Befragten bereits mindestens einen Sicherheitsvorfall zu verzeichnen. „Ich wüsste nicht, warum sich das bei Arztpraxen in Deutschland anders darstellen sollte“, so Schweikert.

Medical-Tribune-Bericht