Cyberversicherungen Systemretter für die Praxis

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Für viele Praxen gilt: Cybersicherheit ist noch immer viel zu wenig Thema. Für viele Praxen gilt: Cybersicherheit ist noch immer viel zu wenig Thema. © Thapana_Studio – stock.adobe.com

Man könnte sagen, Cyberattacken sind für Praxen, was Krankheiten für Menschen sind: Man kann vorbeugen, man braucht im Ernstfall schnelle Hilfe und man sollte sich absichern, falls Schäden ausheilen müssen.

Auch wenn der Gedanke niemandem gefällt: Kleine und durchschnittliche Praxen sind durchaus attraktiv für Hacker. Zwar richten sich gezielte Cyberangriffe eher gegen große Strukturen wie Krankenhäuser. Eine aktuelle Studie der HDI Versicherung AG stellte aber fest, dass 2023 eine Verlagerung von Angriffen von mittleren auf kleine Unternehmen zu beobachten war. Denn nicht alle Attacken beginnen gezielt.

Wer trotzdem davon ausgeht, dass die eigene Praxis nicht gefährdet ist, steht damit allerdings nicht alleine: Sind im Jahr 2022 z. B. noch 39 % der befragten KMU davon ausgegangen, innerhalb der nächsten zwei Jahre Opfer einer Cyberattacke zu werden, waren es 2023 nur noch 27 %. 

Doch diese Einstellung verrät wenig Realismus: Dem weltweiten IT-Sicherheitsanbieter Sophos zufolge ist zwar die Rate der Ransomware-Angriffe im Gesundheitswesen 2023 von 66 % auf 60 % zurückgegangen – damit ist sie aber immer noch fast doppelt so hoch wie die Rate, die der Sektor 2021 vermeldete.

Ein Innehalten der Entwicklung ist kaum wahrscheinlich. Während sich die Sicherheitslage durch hybride Angriffe aus dem Ausland weiterhin verschärft, warnt das BSI aktuell mit Nachdruck davor, dass Künstliche Intelligenz die Cyberangriffe auf ein ganz neues Level heben wird. Maschinell erstellte Videos, Bilder, Texte oder Stimmen können Menschen so täuschen, dass deutlich mehr Personen dadurch in die Falle gehen als zuvor – Social Engineering 2.0 könnte man diese Entwicklungsstufe von Angriffen nennen. 

„Der größte Risikofaktor ist unverändert der Mensch“, unterstreicht Dipl.-Ing. Wolfgang Schweikert von der Ärzte Service GmbH. Er vermittelt unter anderem Cyberversicherungen an Arztpraxen.  Auch er sagt: Praxen werden oft gar nicht gezielt angegriffen. Die Aussendung von Ransomware – also Schadsoftware – erfolgt nämlich nach dem Gießkannenprinzip. 

Letztlich ist immer der Mensch der größte Risikofaktor

Aber im nächsten Zug kommt der Mensch ins Spiel: die Praxisleitung, die sich für ihre Einzelpraxis für einen niedrigen Schutz entschieden hat, der Assistenzarzt, der auf den Link in der Mail geklickt hat, und die Cyberkriminellen, die am „Rücklauf“ auf ihre Streusendungen sehen, dass sie es mit einer Arztpraxis zu tun haben und zu Recht davon ausgehen, dass sich hier gut Druck aufbauen lässt. Bezahlt wird nach Erfolgsrate.

Und dann ist es passiert: Die Computer der Praxis können nicht mehr hochgefahren werden. Wie im schlechten Film erscheint die Schrift „You are hacked“ auf dem Bildschirm. Es folgen die Anweisungen, was getan werden soll, wie viel Lösegeld zu zahlen ist, um wieder Zugang zu den Daten zu bekommen. Drei Viertel der Gesundheitsorganisationen gaben 2023 an, dass ihre Daten verschlüsselt wurden. Bei mehr als einem Drittel dieser Angriffe wurden aber auch Daten gestohlen. Diese „Double-Dip“-Methode wird in Zukunft vielleicht zum Standard. 

Check-up für die Cyberversicherung

Die finanzielle Entschädigung ist nicht das einzige Kriterium für oder gegen eine Cyberschutzversicherung. Der Experte Wolfgang Schweikert rät, folgende Bausteine zu checken:

  • Gibt es eine eine Hotline mit 24/7-Zugriff auf IT-Sicherheitsdienstleister, um im Schadensfall direkt richtig reagieren zu können? Ist eine kostenfreie Beratungszeit enthalten?
  • Werden die Kosten für Forensik und Schadenfeststellung innerhalb der ersten 48 Stunden erstattet?
  • Sind Betriebsunterbrechung und Kosten wie entgangener Gewinn sowie fortlaufende Kosten abgesichert?
  • Sind Folgeschäden abgesichert, die durch den Diebstahl personenbezogener Daten oder durch die Preisgabe von Geschäftsgeheimnissen Dritter entstehen können?
  • Sind Drittschäden sowie Schadenersatzansprüche betroffener Patient:innen in den Leistungen mit abgesichert?
  • Ist eine Rückwärtsdeckung für unentdeckte Schäden vor Vertragsbeginn enthalten?
  • Werden die Versicherungsleistungen dem Stand der Entwicklung angepasst?
  • Sind private IT-Systeme und Geräte der Mitarbeitenden mitversichert?
  • Gehört die Teilnahme der Praxis am Cyber-Sicherheitstraining zu den Leistungen?
  • Sind Krisenmanagement, Reputationsschaden, datenschutzrechtliche Unterstützung und ggf. sogar die Lösegeldzahlung im Erpressungsfall in den Leistungen der Versicherung enthalten?

Manche Informationen kann man nie mehr einfangen

Dabei werden die Kosten und die Haftungsprobleme, die auf die Praxen zukommen können, meist dramatisch unterschätzt. Gesundheitsdaten gehören schließlich zu den besonders sensiblen Daten. Sind z. B. Informationen über chronische Krankheiten oder bestimmte medizinische Eingriffe einmal öffentlich geworden, lässt sich das und der dadurch möglicherweise entstandene Schaden nie mehr einfangen. Nicht umsonst ist die Schweigepflicht in der Medizin ein unverzichtbarer Grundsatz. 

Juristisch kann es durch die Angriffe zu unwillentlichen Verstößen gegen gesetzliche oder vertragliche Datenschutzbestimmen bzw. -verpflichtungen kommen, die mit Bußgeldern bewehrt sind. Und im schlimmsten Fall muss die Praxis über den Ausfall der Systeme bzw. den fehlenden Zugriff auf Daten für erhebliche Zeiträume schließen. Nicht zu unterschätzen ist auch die Beschädigung der Reputation: Das Vertrauen ist erschüttert, weil sensible personenbezogene Daten in die Hände Krimineller gelangt sein können und die Praxis die Patient:innen nicht zuverlässig versorgen kann.  

Nicht ausreichend ist es dann, wenn Elemente einer Cyberschutzversicherung in der Betriebshaftpflichtversicherung enthalten sind, warnt Schweikert. Diese sichern nämlich keine Cyberkriminalität ab. Er empfiehlt die separate Versicherung mit Soforthilfe im Bausatzprinzip. Werden Leistungen einer Cyberhaftpflicht bereits über andere Versicherungen abgedeckt, kann trotzdem an diesen Stellen gespart werden.

Die Versicherungssumme ist nach Praxisumsatz wählbar von 100.000 Euro bis zu 5 Millionen Euro. Allerdings ist es schwierig, die Schadenssumme zu bestimmen. „Ein Cyberschaden kann unendlich sein. Reputationsschäden und Schadensersatzansprüche können existenzvernichtend wirken“, sagt Schweikert. 

Die Vorausleistung der Praxen, um einen guten Versicherungsschutz zu bekommen, besteht darin, einen wirksamen Virenschutz, eine leistungsstarke Firewall und ein funktionierendes Zugriffsmanagement zu gewährleisten. Auch die Investition in zuverlässige Backups für den Ernstfall ist unverzichtbar – die Wahrscheinlichkeit, dass sie sich irgendwann bezahlt macht, steigt sozusagen täglich. 

Quelle: Medical-Tribune-Bericht