Das besondere Sicherheits-Backup So können Ärzte sich vor Cyberkriminalität schützen

Das Thema Cyberkriminalität ist heute allgegenwärtig. Insbesondere Firmen und Selbstständige, die mit sensiblen Daten umgehen, sind einem hohen Risiko ausgesetzt. Ärzte gehören dazu. Und Gesundheitsdaten sind auf dem Schwarzmarkt eine begehrte Ware.

Cyberkriminalität
Hacker-Angriffe auf Arztpraxen und Kliniken sind inzwischen keine Einzelfälle mehr: Denn die, durch Cyberkriminalität erbeuteten, Daten stellen auf dem Schwarzmarkt einen erheblichen Gegenwert dar.Andriezas, Dreamstime.com

Schadenbeispiel in einer Arztpraxis

In einem konkreten Fall wurde von einer Arzthelferin eine E-Mail mit dem Betreff „Initiativbewerbung“ geöffnet. Dadurch konnte ein Trojaner in das interne IT-System gelangen. Dabei richtete das aktivierte Schadprogramm einen erheblichen Schaden an. Die Wiederherstellung der Software und Daten nahm mehrere Tage in Anspruch. Für diesen Zeitraum blieb die Praxis geschlossen. Die Kosten für die Wiederherstellung der Daten und die Betriebsunterbrechung summierten sich auf über 50.000 Euro.

Solche Ereignisse stellen leider kein Einzelfall mehr da: In den USA besteht bereits seit Längerem ein regelrechter Schwarzmarkt für Gesundheitsdaten. Hierzulande werden Massen von Gesundheitsdaten vor allem deshalb erbeutet, um sie später etwa zu Marketingzwecken auswerten zu lassen. Aber auch sogenannte „Ransomware“ kommt immer häufiger zum Einsatz: Derartige Schadprogramme sperren den Zugriff auf Dateien, Ordner oder gleich die ganze Festplatte und erpressen für die Freigabe erhebliche Geldsummen.

Cyberrisiken: ein existenzielles Thema für Ärzte

Grundsätzlich muss heutzutage jeder, der personenbezogene oder vertrauliche Daten verarbeitet, mit Angriffen auf seine IT-Infrastruktur rechnen. Wenn das IT-System einer Praxis oder die Software medizinischer Geräte gehackt oder mit einem Schadprogramm infiziert werden, kann das aber nicht nur zu einem Stillstand im Praxisablauf führen. Es können noch weitreichendere Probleme auf den Arzt zukommen.

So ist der Arzt bei einem Hackerangriff, bei dem Patientendaten an Dritte gelangen, nach dem Bundesdatenschutzgesetz (BDSG) § 42a gesetzlich verpflichtet, unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen den Vorfall mitzuteilen. Carsten Lutz, Leiter Produktmanagement Haftpflicht Heilwesen der HDI Versicherung weiß: „Ein solcher Vorfall kann immer mit einem Vertrauensverlust des Arztes und der Angst der Betroffenen vor einem Missbrauch ihrer Daten einhergehen.“

Außerdem ist jeder Praxisinhaber u.a. durch § 9 BDSG verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um seine Patientendaten zu schützen. Wer dieser Verpflichtung nicht nachkommt, muss mit erheblichen Schadenersatzforderungen rechnen.

Sicherheitssoftware allein reicht nicht aus

Besonders wichtig ist für Ärzte daher, die IT-Sicherheit ihrer Praxis immer auf dem neuesten Stand zu halten. Denn die technische Absicherung des praxiseigenen Computersystems über Sicherheitssoftware und regelmäßige Systemupdates sind und bleiben die Hauptbestandteile eines wirksamen Schutzes gegen Cyberkriminalität.

Einen 100-prozentigen Schutz können aber auch die beste Firewall und der beste Virenscanner nicht leisten. Deshalb sollten Mediziner, die mit dem Internet vernetzte Systeme beruflich nutzen, zur Absicherung der möglichen wirtschaftlichen Folgen eines Cyberangriffs auch einen passenden Versicherungsschutz abschließen. „Für niedergelassene Ärzte bietet die HDI Versicherung deshalb die Cyber-Deckung „Cyberrisk“ als Zusatzmodul zur ärztlichen Berufshaftpflicht an“, ergänzt Heilwesen-Experte Carsten Lutz.

Cyberrisk versichert zum einen das Risiko, von Dritten nach einem Cyberangriff auf Schadenersatz in Anspruch genommen zu werden. Der Mehrwert der Cyber-Deckung liegt jedoch primär in der Absicherung von Eigenschäden. Denn sie springt auch ein, wenn die praxiseigenen Daten oder die eigene IT von Cyberkriminalität betroffen sind. So umfassen die versicherten Leistungen u.a. die Benachrichtigung von Betroffenen und Datenschutzbehörden, die Wiederherstellung von Daten und Software, Dienstleistungen zur Kreditkartenüberwachung sowie die finanzielle Absicherung von forensischen Untersuchungen oder einer durch die Cyber-Attacke verursachten Betriebsunterbrechung.

Quelle:

Carsten Lutz/HDI Versicherung AG, Hannover

Weitere Beiträge zum Thema