Ärzte und Apotheker als potenzielle Zielscheiben von Cyberangriffen – helfen Cyberversicherungen?

Parallel zu den standardisierten Versicherungen setzten immer mehr Unternehmen in Deutschland auch auf sogenannte Cyberversicherungen. Kann sich der Abschluss einer solche auch für Arztpraxen oder Apotheken lohnen?

Cyberversicherungen greifen bei einer Cyberattacke und decken so die daraus entstandenen Schäden. Diese Cyberversicherungen werden individuell angepasst und stehen im engen Bezug zum firmeninternen Sicherheitsmanagement und den neuesten Erkenntnissen hinsichtlich der Cyberkriminalität.

Der Cyberangriff auf ein Hamburger Kreditkartenunternehmen im Jahr 2014 sorgte für viel Resonanz in der Bevölkerung und den Medien. Da sich der Hamburger Konzern rechtzeitig versichern ließ, erhielt er einen zweistelligen Millionenbetrag und konnte somit alle entstandenen Aufwendungen und Kosten begleichen. Nun drohen Angriffe aus dem Cyberspace auch mittelständischen Unternehmen sowie Ärzten beziehungsweise Kliniken und Apotheken. Hier haben es Hacker besonders auf sensible Daten abgesehen wie Kredit- oder EC-Karten-Daten.

Sicherung der Daten bei Apothekern und Ärzten

Die von Apothekern und Ärzten verwalteten Patientendaten werden laut einer Studie des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV) nicht ausreichend geschützt. Gerade der Schutz der Passwörter wird in Kliniken meist vernachlässigt. 70 Prozent der E-Mails und Passwörter waren im Darknet zu finden – das ergab ein Cysmo-Sicherheitscheck der GDV, der im Winter 2018/19 durchgeführt wurde. Zum Vergleich: Bei Ärzten waren 14 Prozent, bei Apotheken 19 Prozent der E-Mails und Passwörter im Darknet zu finden. 90 Prozent der Ärzte setzen auf zu leichte Passwörter, wie beispielweise „Behandlung“ oder ihren eigenen Namen. Dass Cyberangriffe ein enormes Risiko darstellen, wird nach Erkenntnissen der oben aufgeführten Untersuchungen von Pharmazeuten und Medizinern noch immer nicht hinreichend wahrgenommen.

Neben den Passwörtern stellen auch sogenannte Phishing-Attacken ein potenzielles Risiko für den Gesundheitssektor dar. Im Rahmen des Tests der GDV öffneten in jeder zweiten Praxis Mitarbeiter E-Mails mit potenziell schadhaftem Inhalt. 20 Prozent klickten sogar auf die Verlinkungen innerhalb dieser gefährlichen E-Mails oder öffneten die beigesendeten Anhänge. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt einen gewissen Stand der Technik aufgrund der neuesten Änderungen bezüglich der DSGVO (Datenschutzgrundverordnung). Von insgesamt 1200 Ärzten befanden sich gerade einmal fünf (also 0,4 Prozent) auf dem geforderten technologischen Stand. Bei Kliniken waren es immerhin fünf Prozent.

Schutz der Daten auch ohne spezielle Cyberversicherung

Diskussionen hinsichtlich des Datenschutzes sind so aktuell wie selten. Die DSGVO muss längst nicht mehr nur von Fachleuten verstanden werden. Ausreichend Schutz anzubieten, in Situationen, wo herkömmliche Versicherungen versagen, ist die Hauptaufgabe der Cyberversicherungen. Die Versicherungen setzen auf unterschiedliche Bausteine:

• Krisenmanagement
• Kosten, die mit dem Verlust von vertraulichen Informationen verbunden sind
• Beschädigung von Drittsystemen oder Strafzahlungen
• Absicherung der Kosten bei Betriebsunterbrechung
• Wiederherstellung von Daten

Ein zeitgemäßes und einwandfreies Sicherheitsmanagement ist dennoch die Grundlage und muss von jedem Unternehmen auch so geführt werden.

Das heißt, sensible Daten, seien es Passwörter, Patientendaten oder E-Mail-Postfächer, müssen ausreichend geschützt werden. Dabei ist auch der technologische Stand ein wichtiger Teil von Sicherheitsvorkehrungen. Patientendaten, die im Nachhinein an die jeweiligen Krankenkassen übermittelt werden, müssen durch neue und sichere Verschlüsselungen geschützt werden. Experten raten allen Beteiligten, wegen unzureichender Sicherheit der Systeme besser keine Patientendaten per E-Mail zu versenden.

Dennoch glauben 77 Prozent der Ärzte und 80 Prozent der Apotheker an die Sicherheit ihrer Daten. Eine bundesweite Untersuchung von 25 Arztpraxen wies enorme Schwachstellen bei der organisatorischen Sicherheit auf. „Von außen sind die untersuchten Praxen in der Regel gut abgesichert, doch bei Passwörtern schludern fast alle Ärzte“, erklärt Michael Wiesner, Mitglied des Chaos Computer Clubs und Experte für Computersicherheit, der die Praxis-IT im Auftrag des GDV testete. 44 Prozent der Ärzte erkannten Cyberattacken als ein potenzielles Risiko. Trotz des Bewusstseins für die Folgen eines erfolgreichen Cyberangriffs stufen nur 17 Prozent der Ärzte ihre eigene Praxis als gefährdet ein. Acht von zehn Arztpraxen (78 Prozent) in Deutschland müssten nach eigener Ansicht ihre Arbeit einstellen oder stark einschränken, wenn die Praxis-IT lahmgelegt würde.