In einem kon­kre­ten Fall wur­de von einer medi­zi­ni­schen Fach­an­ge­stell­ten eine E‑Mail mit dem Betreff „Initia­tiv­be­wer­bung“ geöff­net. Dadurch wur­de dem Tro­ja­ner der Weg ins inter­ne IT-Sys­tem geöff­net. Das akti­vier­te Schad­pro­gramm lösch­te alle Pati­en­ten­da­ten der Arzt­pra­xis. Die Wie­der­her­stel­lung von Soft­ware und Pati­en­ten­da­ten nahm drei Tage in Anspruch. Für die­sen Zeit­raum blieb die Pra­xis geschlos­sen.

Die­ses Bei­spiel zeigt, dass nicht nur The­men wie Tele­me­di­zin oder die Ver­net­zung von meh­re­ren räum­lich getrenn­ten Arzt­pra­xen über ein Sys­tem von Cyber­ri­si­ken betrof­fen sein kön­nen.

Anzei­ge
Pflegefortbildung des Westens

Was ist unter einem Cyberangriff zu verstehen?

Bei Cyber­an­grif­fen wird zwi­schen „geziel­ten“ und „nicht geziel­ten“ Atta­cken unter­schie­den. Ein geziel­ter Cyber­an­griff rich­tet sich immer an einen bestimm­ten Emp­fän­ger. Unter nicht­ge­ziel­ten Angrif­fen ver­steht man bei­spiels­wei­se den Ver­sand von Schad­soft­ware per Mail an eine gro­ße Anzahl von E‑Mailadressen mit dem Ziel, einen Scha­den in den Sys­te­men der Betrof­fe­nen zu ver­ur­sa­chen. Dabei ist es dem Initia­tor der Cyber­at­ta­cke meist völ­lig egal, ob es sich um eine Pri­vat­per­son, ein Unter­neh­men oder eine Arzt­pra­xis han­delt. Aber auch ande­re Arten von wie z.B. der Miss­brauch von Pati­en­ten­da­ten fal­len unter die­se The­ma­tik.

Cyberrisiken: ein relevantes Thema für alle Ärzte?

Ja! Grund­sätz­lich muss heut­zu­ta­ge jeder, der per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, mit Angrif­fen auf sei­ne IT-Infra­struk­tur rech­nen. Vie­le Ärz­te glau­ben, dass sie nichts zu befürch­ten haben, weil ihre Pra­xis zu klein oder ihre Pati­en­ten­da­ten nicht wei­ter inter­es­sant sind. Wenn das IT-Sys­tem oder die Soft­ware spe­zi­el­ler medi­zi­ni­scher Gerä­te einer Arzt­pra­xis „gehackt“ oder mit einem Schad­pro­gramm infi­ziert wird, kann das nicht nur zu einem Still­stand im Pra­xis­ab­lauf füh­ren, son­dern auch noch weit­rei­chen­de­re Pro­ble­me mit sich brin­gen.

Der Arzt ist bei einem Hacker­an­griff, bei wel­chem Pati­en­ten­da­ten an Drit­te gelan­gen, gesetz­lich ver­pflich­tet (§ 42a BDSG), unver­züg­lich der zustän­di­gen Auf­sichts­be­hör­de sowie den Betrof­fe­nen den Vor­fall mit­zu­tei­len. Der Ver­lust oder „die ent­wen­de­ten“ Pati­en­ten­da­ten kön­nen somit immer mit einem Ver­trau­ens­ver­lust und Angst der Betrof­fe­nen vor einer Ver­öf­fent­li­chung der sen­si­blen Daten im ein­her­ge­hen. Gesund­heits­da­ten sind „begehr­te Ware“. Der ille­ga­le Han­del mit Pati­en­ten­da­ten boomt.

Trotz allem neh­men vie­le Ärz­te das The­ma auf die leich­te Schul­ter. Unab­hän­gig davon, ob es sich um einen Cyber­an­griff han­delt oder nicht, die Ver­füg­bar­keit der Pati­en­ten­da­ten ist für die Behand­lung unver­zicht­bar.

Jeder Pra­xis­in­ha­ber ist durch das Bun­des­da­ten­schutz­ge­setz (§ 9 BDSG) sowie durch ande­re Daten­schutz­ge­set­ze ver­pflich­tet, alle erfor­der­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zu ergrei­fen, um sei­ne Pati­en­ten­da­ten zu schüt­zen. Damit besteht eine gesetz­li­che Pflicht zum stren­gen . Wer die­ser Ver­pflich­tung nicht nach­kommt, muss mit erheb­li­chen Scha­den­er­satz­for­de­run­gen rech­nen.

Welche Schäden können bei einem Cyberangriff entstehen?

Die mög­li­chen Schä­den sind viel­fäl­tig. Der Ver­lust von Pati­en­ten­da­ten, die Wie­der­her­stel­lung die­ser, aber auch die Betriebs­un­ter­bre­chung auf­grund mög­li­cher Sys­tem­aus­fäl­le sowie die Nicht­ver­füg­bar­keit der Daten sind mög­li­che Scha­den­sze­na­ri­en. Es bedarf hier einer Dif­fe­ren­zie­rung in Dritt- und Eigen­schä­den.

Dritt­schä­den: Dritt­schä­den sind Schä­den, die einem Drit­ten ent­ste­hen: Dar­un­ter fal­len Schä­den aus dem Ver­lust, der Ver­än­de­rung oder der Nicht­ver­füg­bar­keit von elek­tro­ni­schen Daten Drit­ter oder Infor­ma­ti­ons­si­cher­heits­ver­let­zung wie Daten­schutz­ver­let­zun­gen, Daten­ver­trau­lich­keits­ver­let­zun­gen oder Netz­werk­si­cher­heits­ver­let­zun­gen.

Bei einer bestehen­den Cyber­ver­si­che­rung prüft der Ver­si­che­rer eine mög­li­che Haf­tung, wehrt unbe­rech­tig­te Scha­den­er­satz­an­sprü­che ab oder über­nimmt die Regu­lie­rung berech­tig­ter Scha­den­er­satz­for­de­run­gen. Dazu zählt auch die Kos­ten­über­nah­me in einem Straf- oder Ord­nungs­wid­rig­keits­ver­fah­ren auf­grund einer Infor­ma­ti­ons­si­cher­heits- oder Daten­schutz­ver­let­zung.

Eigen­schä­den: Eigen­schä­den sind Schä­den, die dem Ver­si­che­rungs­neh­mer selbst ent­stan­den sind: Eigen­schä­den sind nor­ma­ler­wei­se nicht in einer Berufs­haft­pflicht­ver­si­che­rung gedeckt. Dies ist bei einer Cyber­de­ckung anders. Hier ist die Eigen­scha­den­de­ckung der zen­tra­le Mehr­wert für den Ver­si­che­rungs­neh­mer.

Hier­zu zäh­len bei­spiels­wei­se Infor­ma­ti­ons­si­cher­heits­ver­let­zun­gen, die nicht auto­ri­sier­te Nut­zung, die Ver­viel­fäl­ti­gung, Ver­än­de­rung, Beschä­di­gung, Zer­stö­rung oder der Dieb­stahl von Pati­en­ten­da­ten.

Aber auch Schä­den infol­ge eines Deni­al-of-Ser­vice-Angriffs (DoS) − („Dienst­blo­cka­de“ oder „Dienst­ver­wei­ge­rung“), wel­che den Inter­net­zu­gang, das Betriebs­sys­tem oder das Netz­werk mit einer grö­ße­ren Anzahl Anfra­gen belas­ten, als die­se ver­ar­bei­ten kön­nen, zäh­len zu den Eigen­schä­den.

Mehrwert einer Cyberversicherung

Der Mehr­wert einer Cyber­ver­si­che­rung liegt pri­mär in der Deckung der Eigen­schä­den. Die ver­si­cher­ten Leis­tun­gen umfas­sen z.B. die Benach­rich­ti­gung von Betrof­fe­nen und Daten­schutz­be­hör­den, die Wie­der­her­stel­lung von Daten und Soft­ware und die finan­zi­el­le Absi­che­rung einer Betriebs­un­ter­bre­chung.

Unser Tipp: Bei der regel­mä­ßi­gen Über­prü­fung Ihrer Berufs­haft­pflicht­ver­si­che­rung emp­fiehlt es sich, eben­falls die Absi­che­rung von Cyber­ri­si­ken zu prü­fen.
Bei HDI kann die Berufs­haft­pflicht­ver­si­che­rung um eine Cyber­zu­satz­de­ckung erwei­tert wer­den. Spre­chen Sie Ihren Ver­si­che­rungs­be­treu­er gern aktiv auf das The­ma an.