In einem konkre­ten Fall wurde von einer medizi­ni­schen Fachan­ge­stell­ten eine E‑Mail mit dem Betreff „Initia­tiv­be­wer­bung“ geöff­net. Dadurch wurde dem Troja­ner der Weg ins interne IT-System geöff­net. Das aktivierte Schad­pro­gramm löschte alle Patien­ten­da­ten der Arztpra­xis. Die Wieder­her­stel­lung von Software und Patien­ten­da­ten nahm drei Tage in Anspruch. Für diesen Zeitraum blieb die Praxis geschlos­sen.

Dieses Beispiel zeigt, dass nicht nur Themen wie Teleme­di­zin oder die Vernet­zung von mehre­ren räumlich getrenn­ten Arztpra­xen über ein System von Cyber­ri­si­ken betrof­fen sein können.

Was ist unter einem Cyber­an­griff zu verste­hen?

Bei Cyber­an­grif­fen wird zwischen „geziel­ten“ und „nicht geziel­ten“ Attacken unter­schie­den. Ein geziel­ter Cyber­an­griff richtet sich immer an einen bestimm­ten Empfän­ger. Unter nicht­ge­ziel­ten Angrif­fen versteht man beispiels­weise den Versand von Schad­soft­ware per Mail an eine große Anzahl von E‑Mailadressen mit dem Ziel, einen Schaden in den Syste­men der Betrof­fe­nen zu verur­sa­chen. Dabei ist es dem Initia­tor der Cyber­at­ta­cke meist völlig egal, ob es sich um eine Privat­per­son, ein Unter­neh­men oder eine Arztpra­xis handelt. Aber auch andere Arten von Cyber­kri­mi­na­li­tät wie z.B. der Missbrauch von Patien­ten­da­ten fallen unter diese Thema­tik.

Cyber­ri­si­ken: ein relevan­tes Thema für alle Ärzte?

Ja! Grund­sätz­lich muss heutzu­tage jeder, der perso­nen­be­zo­gene Daten verar­bei­tet, mit Angrif­fen auf seine IT-Infra­struk­tur rechnen. Viele Ärzte glauben, dass sie nichts zu befürch­ten haben, weil ihre Praxis zu klein oder ihre Patien­ten­da­ten nicht weiter inter­es­sant sind. Wenn das IT-System oder die Software spezi­el­ler medizi­ni­scher Geräte einer Arztpra­xis „gehackt“ oder mit einem Schad­pro­gramm infiziert wird, kann das nicht nur zu einem Still­stand im Praxis­ab­lauf führen, sondern auch noch weitrei­chen­dere Probleme mit sich bringen.

Der Arzt ist bei einem Hacker­an­griff, bei welchem Patien­ten­da­ten an Dritte gelan­gen, gesetz­lich verpflich­tet (§ 42a BDSG), unver­züg­lich der zustän­di­gen Aufsichts­be­hörde sowie den Betrof­fe­nen den Vorfall mitzu­tei­len. Der Verlust oder „die entwen­de­ten“ Patien­ten­da­ten können somit immer mit einem Vertrau­ens­ver­lust und Angst der Betrof­fe­nen vor einer Veröf­fent­li­chung der sensi­blen Daten im Inter­net einher­ge­hen. Gesund­heits­da­ten sind „begehrte Ware“. Der illegale Handel mit Patien­ten­da­ten boomt.

Trotz allem nehmen viele Ärzte das Thema IT-Sicher­heit auf die leichte Schul­ter. Unabhän­gig davon, ob es sich um einen Cyber­an­griff handelt oder nicht, die Verfüg­bar­keit der Patien­ten­da­ten ist für die Behand­lung unver­zicht­bar.

Jeder Praxis­in­ha­ber ist durch das Bundes­da­ten­schutz­ge­setz (§ 9 BDSG) sowie durch andere Daten­schutz­ge­setze verpflich­tet, alle erfor­der­li­chen techni­schen und organi­sa­to­ri­schen Maßnah­men zu ergrei­fen, um seine Patien­ten­da­ten zu schüt­zen. Damit besteht eine gesetz­li­che Pflicht zum stren­gen Daten­schutz. Wer dieser Verpflich­tung nicht nachkommt, muss mit erheb­li­chen Schaden­er­satz­for­de­run­gen rechnen.

Welche Schäden können bei einem Cyber­an­griff entste­hen?

Die mögli­chen Schäden sind vielfäl­tig. Der Verlust von Patien­ten­da­ten, die Wieder­her­stel­lung dieser, aber auch die Betriebs­un­ter­bre­chung aufgrund mögli­cher System­aus­fälle sowie die Nicht­ver­füg­bar­keit der Daten sind mögli­che Schaden­sze­na­rien. Es bedarf hier einer Diffe­ren­zie­rung in Dritt- und Eigen­schä­den.

Dritt­schä­den: Dritt­schä­den sind Schäden, die einem Dritten entste­hen: Darun­ter fallen Schäden aus dem Verlust, der Verän­de­rung oder der Nicht­ver­füg­bar­keit von elektro­ni­schen Daten Dritter oder Infor­ma­ti­ons­si­cher­heits­ver­let­zung wie Daten­schutz­ver­let­zun­gen, Daten­ver­trau­lich­keits­ver­let­zun­gen oder Netzwerk­si­cher­heits­ver­let­zun­gen.

Bei einer bestehen­den Cyber­ver­si­che­rung prüft der Versi­che­rer eine mögli­che Haftung, wehrt unberech­tigte Schaden­er­satz­an­sprü­che ab oder übernimmt die Regulie­rung berech­tig­ter Schaden­er­satz­for­de­run­gen. Dazu zählt auch die Kosten­über­nahme in einem Straf- oder Ordnungs­wid­rig­keits­ver­fah­ren aufgrund einer Infor­ma­ti­ons­si­cher­heits- oder Daten­schutz­ver­let­zung.

Eigen­schä­den: Eigen­schä­den sind Schäden, die dem Versi­che­rungs­neh­mer selbst entstan­den sind: Eigen­schä­den sind norma­ler­weise nicht in einer Berufs­haft­pflicht­ver­si­che­rung gedeckt. Dies ist bei einer Cyber­de­ckung anders. Hier ist die Eigen­scha­den­de­ckung der zentrale Mehrwert für den Versi­che­rungs­neh­mer.

Hierzu zählen beispiels­weise Infor­ma­ti­ons­si­cher­heits­ver­let­zun­gen, die nicht autori­sierte Nutzung, die Verviel­fäl­ti­gung, Verän­de­rung, Beschä­di­gung, Zerstö­rung oder der Diebstahl von Patien­ten­da­ten.

Aber auch Schäden infolge eines Denial-of-Service-Angriffs (DoS) − („Dienst­blo­ckade“ oder „Dienst­ver­wei­ge­rung“), welche den Inter­net­zu­gang, das Betriebs­sys­tem oder das Netzwerk mit einer größe­ren Anzahl Anfra­gen belas­ten, als diese verar­bei­ten können, zählen zu den Eigen­schä­den.

Mehrwert einer Cyber­ver­si­che­rung

Der Mehrwert einer Cyber­ver­si­che­rung liegt primär in der Deckung der Eigen­schä­den. Die versi­cher­ten Leistun­gen umfas­sen z.B. die Benach­rich­ti­gung von Betrof­fe­nen und Daten­schutz­be­hör­den, die Wieder­her­stel­lung von Daten und Software und die finan­zi­elle Absiche­rung einer Betriebs­un­ter­bre­chung.

Unser Tipp: Bei der regel­mä­ßi­gen Überprü­fung Ihrer Berufs­haft­pflicht­ver­si­che­rung empfiehlt es sich, ebenfalls die Absiche­rung von Cyber­ri­si­ken zu prüfen.
Bei HDI kann die Berufs­haft­pflicht­ver­si­che­rung um eine Cyber­zu­satz­de­ckung erwei­tert werden. Sprechen Sie Ihren Versi­che­rungs­be­treuer gern aktiv auf das Thema an.