Praxisfinanzen

Cyber-Risk-Versicherungen – sinnvoll oder nicht?


Cyber-Risk-Versicherungen 55 Milliarden Euro. Auf diese Summe beziffert der Bitkom den Schaden für Unternehmen durch Hackerangriffe im Jahr 2017 allein in Deutschland. Auch Arztpraxen und Krankenhäuser stehen im Visier der Angreifer. 


Text: Markus Brakel

Nicht nur Prominente oder Wirtschaftsunternehmen, auch Arztpraxen und Krankenhäuser rücken zunehmend ins Visier von Hackern. Obwohl nach einem aktuellen Branchenreport des GDV (Gesamtverband der Deutschen Versicherungswirtschaft e. V.) immerhin 44 Prozent der Ärzte das Risiko eines Cyberangriffs auf Praxen als hoch oder sehr hoch einschätzen, glaubt lediglich jeder Fünfte daran, dass die eigene Praxis wirklich betroffen sein könnte. Im Fall des Falles müssten allerdings acht von zehn Arztpraxen ihren Betrieb einstellen. Nach Hacker-Attacken kann eine sogenannte Cyber-Risk- oder Datenschutz-Versicherung helfen, die entstehenden Kosten für die Datenwiederherstellung oder den Arbeitsausfall aufzufangen. Allerdings werden dafür sicherheitstechnische Voraussetzungen erwartet. Außerdem empfiehlt es sich, die am Markt ständig wachsende Zahl an Angeboten sehr sorgfältig auf ihren Leistungsinhalt zu prüfen.

Mehr als die Hälfte der Unternehmen in Deutschland waren nach einer Studie des Digitalverbands Bitkom im Jahr 2017 Opfer einer Cyber-Attacke, dabei entstand ein Schaden von 55 Mrd. Euro. „Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“, erklärt Bitkom-Präsident Achim Berg dazu. 

Die fortschreitende Vernetzung und Digitalisierung im Gesundheitswesen macht Ärzte und Krankenhäuser besonders angreifbar. Auch wenn der Report des GDV feststellt, dass die Absicherung der Praxissoftware nach außen gute Standards aufweist, bemängelt er gleichzeitig den schlampigen Umgang mit Passwörtern und ungeschützte Mailserver. Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4 Prozent) hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Stand der Technik. Einer repräsentativen Forsa-Befragung zufolge glauben jedoch 81 Prozent der Ärzte, ihre Computersysteme seien umfassend geschützt.

„Jeder kann Opfer von Spionage,  Sabotage oder Datendiebstahl werden“, erklärt Bitkom-Präsident Achim Berg.

Cyber-Risk-Versicherung übernimmt Folgekosten

Angesichts solcher Vorzeichen scheint eine Absicherung für den Ernstfall keine ganz abwegige Idee. Eine Cyber-Risk- oder Datenschutz-Versicherung übernimmt nach einem IT-Angriff die Kosten für die Beauftragung Computer-Forensik-Analysten und spezialisierter Anwälte, die Wiederherstellung und Reparatur der IT-Systeme, professionelles Krisenmanagement und PR sowie die notwendigen Mehrkosten zur Fortführung des Business. Doch für wirksamen Schutz vor Bugs verlangen seriöse Versicherer auch entsprechende Prämien, die sich u. a. an der Zahl der Mitarbeiter und am Umsatz orientieren. Leicht wird da eine Jahresprämie im vierstelligen Bereich fällig. 

Wie eine solche Attacke aussehen kann, schildert Versicherungsmakler Tassilo Pollmeier an einem Beispiel: „Eine Zahnarztpraxis wurde vergangenes Jahr durch einen Hackerangriff lahm gelegt. Die Täter forderten 15.000 Euro in Bitcoins.“ In vielen solcher Fälle zahlten die Betroffenen lieber, als die noch höheren Kosten für die Datenwiederherstellung und den damit verbundenen Betriebsausfall in Kauf zu nehmen. „Perfid ist dabei die Strategie der Täter, sich ins System einzuschleusen und dann einen Zeitraum von ein paar Wochen abzuwarten, bevor sie in Aktion treten. So zerstören sie nämlich auch die üblicherweise im Wochen-Rhythmus laufende Datensicherung nachhaltig.“

Mehr als 55.000 Euro Schaden pro Fall

Die alle zwei Jahre durchgeführte Untersuchung des Bitkom liefert zwar keine eigenständigen Details speziell zum Gesundheitswesen oder zu medizinischen Berufsgruppen. Aber es ist davon auszugehen, dass auch hier Angriffe in ähnlicher Dichte erfolgen. Üblicherweise geht es dann um Erpressung. Die Hacker fordern also eine Summe X für die Wiederherstellung der Daten und die Arbeitsfähigkeit des IT-Systems. Der Verkauf von erbeuteten Patientendaten kann ebenfalls drohen, aber die Erpressung ist das schnellere und gängigere Geschäft. Laut dem „Hiscox Cyber Readiness Report“ von 2018 wurden bei solchen Hackerangriffen im Schnitt Schäden von mehr als 55.000 Euro pro Schadensfall verursacht. Das kann für eine Arztpraxis existenzbedrohend sein. 

Acht Sicherheitsstandards, die Sie unbedingt einhalten sollten:
  • Antivirenprogramm auf dem neuesten Stand halten
  • wöchentliche Datensicherung machen
  • Updates und Sicherheitspatches schnell einspielen
  • Praxis-Server mit Firewall sichern
  • IT-Administratorenzugänge einrichten und sparsam nutzen
  • individuelle Mitarbeiterzugänge einrichten
  • komplexe Passwörter erzwingen
  • Mobilgeräte sichern

Nicht einmal jeder Dritte meldet die Attacke

Die Dunkelziffer liegt hoch, viele melden den Schaden gar nicht erst. Das erschwert die reale Einschätzung der Gesamtproblematik. Dazu hat die Bitkom-Studie ermittelt, dass nicht einmal jedes dritte betroffene Unternehmen (31 Prozent) staatliche Stellen einschaltet. Hauptgrund dafür, sich nicht an die Behörden zu wenden, ist die Angst vor Imageschäden. Das geben 41 Prozent der Unternehmen an, die auf das Einschalten staatlicher Stellen verzichtet haben. Fast jedes dritte Unternehmen erklärt, man habe auf eine entsprechende Benachrichtigung verzichtet, weil man Angst vor negativen Konsequenzen habe (35 Prozent), weil die Täter ohnehin nicht gefasst würden (34 Prozent) oder weil der Aufwand zu hoch sei (29 Prozent). Bei Ärzten, MVZ oder Krankenhäusern drohen außerdem noch Geldbußen oder Strafen durch Behörden, falls der Datenverlust auf Fahrlässigkeit zurückzuführen ist. 

„Cyberattacken nehmen weiter zu“

„Die Cyberattacken auf kleine und mittlere Unternehmen, zu denen auch Praxen oder Krankenhäuser zählen, haben seit Veröffentlichung der Studie vor eineinhalb Jahren weiter zugenommen, die Bedrohungslage selbst wird größer“, warnt Bitkom-Pressesprecher Christoph Krösmann. Täter sind übrigens besonders häufig aktuelle oder ehemalige Mitarbeiter des Unternehmens. 62 Prozent der Unternehmen, die in den vergangenen zwei Jahren Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter in diesem Personenkreis identifiziert. Ein großer Teil der Angriffe aber kommt aus dem Ausland: 23 Prozent der Unternehmen berichten von Tätern aus Osteuropa, 20 Prozent aus China und 18 Prozent aus Russland. Erst danach folgen die USA (15 Prozent), die Summe aller westeuropäischen Länder (12 Prozent) und Japan (7 Prozent).

Die Dunkelziffer liegt hoch, viele melden den Schaden gar nicht erst. Das erschwert die reale Einschätzung der Gesamtproblematik. 

Versicherung sorgfältig prüfen

Da Informationen über den gesundheitlichen Zustand einer Person zu den in besonderem Maß dem Datenschutz unterliegenden Daten zählen, sollte jeder, der mit ihnen umgeht, alles dafür tun, dass sie nicht in falsche Hände geraten. Ob Pharmafirmen, Versicherungen oder der Arbeitgeber des Betroffenen – neben den Gangstern, die damit bares Geld erpressen, gibt es viele mögliche Interessenten für solchen Missbrauch. Deshalb bleibt der wirksamste Schutz vor Schäden sicher ein professionelles Datenschutzkonzept sowie die entsprechende Schulung der Mitarbeiter in Praxis, MVZ oder Krankenhaus.

Angesichts der statistisch hohen Wahrscheinlichkeit eines Hacker-Angriffs und der dabei zu erwartenden Folgekosten kann eine Cyber-Risk-Versicherung mit entsprechenden Konditionen aber durchaus ratsam sein. Die sollte allerdings genau dem eigenen Bedarf angepasst werden und die üblichen Folgeschäden berücksichtigen. „Wer hier an der falschen Stelle sparen möchte, sollte lieber erst gar keine Versicherung abschließen. Sonst wiegt man sich im Schein einer Sicherheit, die es nicht gibt“, warnt Versicherungsexperte Pollmeier. 

Wir verwenden auf dieser Seite Cookies. Wenn Sie auf OK klicken oder weiter diese Seite nutzen, sind Sie mit der Nutzung von Cookies einverstanden. Mehr Informationen und Möglichkeit zur Deaktivierung.