In einem konkreten Fall wurde von einer medizinischen Fachangestellten eine E‑Mail mit dem Betreff „Initiativbewerbung“ geöffnet. Dadurch wurde dem Trojaner der Weg ins interne IT-System geöffnet. Das aktivierte Schadprogramm löschte alle Patientendaten der Arztpraxis. Die Wiederherstellung von Software und Patientendaten nahm drei Tage in Anspruch. Für diesen Zeitraum blieb die Praxis geschlossen.
Dieses Beispiel zeigt, dass nicht nur Themen wie Telemedizin oder die Vernetzung von mehreren räumlich getrennten Arztpraxen über ein System von Cyberrisiken betroffen sein können.
Was ist unter einem Cyberangriff zu verstehen?
Bei Cyberangriffen wird zwischen „gezielten“ und „nicht gezielten“ Attacken unterschieden. Ein gezielter Cyberangriff richtet sich immer an einen bestimmten Empfänger. Unter nichtgezielten Angriffen versteht man beispielsweise den Versand von Schadsoftware per Mail an eine große Anzahl von E‑Mailadressen mit dem Ziel, einen Schaden in den Systemen der Betroffenen zu verursachen. Dabei ist es dem Initiator der Cyberattacke meist völlig egal, ob es sich um eine Privatperson, ein Unternehmen oder eine Arztpraxis handelt. Aber auch andere Arten von Cyberkriminalität wie z.B. der Missbrauch von Patientendaten fallen unter diese Thematik.
Cyberrisiken: ein relevantes Thema für alle Ärzte?
Ja! Grundsätzlich muss heutzutage jeder, der personenbezogene Daten verarbeitet, mit Angriffen auf seine IT-Infrastruktur rechnen. Viele Ärzte glauben, dass sie nichts zu befürchten haben, weil ihre Praxis zu klein oder ihre Patientendaten nicht weiter interessant sind. Wenn das IT-System oder die Software spezieller medizinischer Geräte einer Arztpraxis „gehackt“ oder mit einem Schadprogramm infiziert wird, kann das nicht nur zu einem Stillstand im Praxisablauf führen, sondern auch noch weitreichendere Probleme mit sich bringen.
Der Arzt ist bei einem Hackerangriff, bei welchem Patientendaten an Dritte gelangen, gesetzlich verpflichtet (§ 42a BDSG), unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen den Vorfall mitzuteilen. Der Verlust oder „die entwendeten“ Patientendaten können somit immer mit einem Vertrauensverlust und Angst der Betroffenen vor einer Veröffentlichung der sensiblen Daten im Internet einhergehen. Gesundheitsdaten sind „begehrte Ware“. Der illegale Handel mit Patientendaten boomt.
Trotz allem nehmen viele Ärzte das Thema IT-Sicherheit auf die leichte Schulter. Unabhängig davon, ob es sich um einen Cyberangriff handelt oder nicht, die Verfügbarkeit der Patientendaten ist für die Behandlung unverzichtbar.
Jeder Praxisinhaber ist durch das Bundesdatenschutzgesetz (§ 9 BDSG) sowie durch andere Datenschutzgesetze verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um seine Patientendaten zu schützen. Damit besteht eine gesetzliche Pflicht zum strengen Datenschutz. Wer dieser Verpflichtung nicht nachkommt, muss mit erheblichen Schadenersatzforderungen rechnen.
Welche Schäden können bei einem Cyberangriff entstehen?
Die möglichen Schäden sind vielfältig. Der Verlust von Patientendaten, die Wiederherstellung dieser, aber auch die Betriebsunterbrechung aufgrund möglicher Systemausfälle sowie die Nichtverfügbarkeit der Daten sind mögliche Schadenszenarien. Es bedarf hier einer Differenzierung in Dritt- und Eigenschäden.
Drittschäden: Drittschäden sind Schäden, die einem Dritten entstehen: Darunter fallen Schäden aus dem Verlust, der Veränderung oder der Nichtverfügbarkeit von elektronischen Daten Dritter oder Informationssicherheitsverletzung wie Datenschutzverletzungen, Datenvertraulichkeitsverletzungen oder Netzwerksicherheitsverletzungen.
Bei einer bestehenden Cyberversicherung prüft der Versicherer eine mögliche Haftung, wehrt unberechtigte Schadenersatzansprüche ab oder übernimmt die Regulierung berechtigter Schadenersatzforderungen. Dazu zählt auch die Kostenübernahme in einem Straf- oder Ordnungswidrigkeitsverfahren aufgrund einer Informationssicherheits- oder Datenschutzverletzung.
Eigenschäden: Eigenschäden sind Schäden, die dem Versicherungsnehmer selbst entstanden sind: Eigenschäden sind normalerweise nicht in einer Berufshaftpflichtversicherung gedeckt. Dies ist bei einer Cyberdeckung anders. Hier ist die Eigenschadendeckung der zentrale Mehrwert für den Versicherungsnehmer.
Hierzu zählen beispielsweise Informationssicherheitsverletzungen, die nicht autorisierte Nutzung, die Vervielfältigung, Veränderung, Beschädigung, Zerstörung oder der Diebstahl von Patientendaten.
Aber auch Schäden infolge eines Denial-of-Service-Angriffs (DoS) − („Dienstblockade“ oder „Dienstverweigerung“), welche den Internetzugang, das Betriebssystem oder das Netzwerk mit einer größeren Anzahl Anfragen belasten, als diese verarbeiten können, zählen zu den Eigenschäden.
Mehrwert einer Cyberversicherung
Der Mehrwert einer Cyberversicherung liegt primär in der Deckung der Eigenschäden. Die versicherten Leistungen umfassen z.B. die Benachrichtigung von Betroffenen und Datenschutzbehörden, die Wiederherstellung von Daten und Software und die finanzielle Absicherung einer Betriebsunterbrechung.