Die Digitalisierung bestimmt längst auch das Gesundheitswesen. Ärzte, Praxen und Krankenhäuser sind miteinander vernetzt, sensible Patientendaten in den IT-Systemen gespeichert. Das bringt viele Vorteile – weckt aber auch zunehmend das Interesse von Hackern. Welche Möglichkeiten der Absicherung gibt es?

Was vielfach vielleicht nicht bewusst ist: Die Mehrzahl der Angriffe von Cyber-Kriminellen zielt auf kleine und mittlere Unternehmen, zu denen auch Arztpraxen gehören. "Umfassende IT-Sicherheitssysteme können sich kleinere Unternehmen meist nicht leisten, haben aber für Angreifer interessante Daten, etwa elektronische Patientenakten", sagt Michael Schwarz, Leiter Sachversicherung beim Finanzdienstleister MLP. Diese sind wahre Datenfundgruben und erzielen mitunter höhere Preise als zum Beispiel gestohlene Kreditkartennummern.

Worauf beim Umgang mit Patientendaten generell zu achten ist:
  • Wichtig ist, das Bewusstsein für das Thema IT-Sicherheit im gesamten Team zu erhöhen. Beispiel Praxisrechner: Beim Verlassen des Arbeitsplatzes als Benutzer abmelden.
  • Angehängte Dokumente in einer E-Mail nur dann öffnen, wenn der Absender bekannt ist.
  • Wichtige Zugangsdaten zu PC, Tablet & Co. in regelmäßigen Abständen erneuern.
  • Finden Schadprogramme eine Sicherheitslücke, platzieren sie unbemerkt Viren und Trojaner. Antiviren-Programme und Firewalls müssen aktuell sein, um solche Attacken abzuwehren.
  • Auch Speichermedien wie USB-Sticks verschlüsseln bzw. mit eigenem Virenschutz versehen. Nutzung dienstlicher und privater Geräte klar trennen.

Die Gefahr, Opfer eines Virus oder einer Phishing-Attacke auf sensible Daten zu werden, ist groß. Studien zeigen, dass mittlerweile nahezu 90 % der Ärzte ihr Smartphone für das Lesen und Senden von E-Mails nutzen, in denen sich oft Patientendaten finden.

Cyber-Risk-Management-Versicherung

"Um zumindest die finanziellen Folgen einer Attacke aus dem Netz möglichst gering zu halten und im Ernstfall geschützt zu sein, ist eine Cyber-Risk-Management-Versicherung geeignet", so Schwarz. Die speziellen Versicherungen kommen für Vermögensschäden (Drittschäden und Eigenschäden) durch Hacker-Angriffe, Datenverlust oder Verstöße gegen Datenschutzgesetze auf. Einige Versicherer bieten zudem Assistenzleistungen wie die Beratung und Begleitung im Schadensfall, die Wiederherstellung von Daten oder die Überprüfung des IT-Systems und des Netzwerks nach einem Cyber-Angriff.

Konkrete Ausgestaltung von Cyber-Risk-Management-Versicherungen:

  1. Cyber-Haftpflichtversicherung bei Datenrechtsverletzung oder anderer Cyberrechtsverletzung (Drittschaden: Bspw.: Arzt verschickt Mail mit Virus weiter an Dritte). Kann Bestandteil der Berufshaftpflichtversicherung sein, sollte aber gerade bei älteren Policen geprüft werden.
  2. Cyber-Eigenschadenversicherung bei Datenrechtsverletzung, einer nicht autorisierten Nutzung, Vervielfältigung, Veränderung, Beschädigung, Zerstörung oder Diebstahl von Daten oder einer Cyber-Erpressung. Cyber-Eigenschäden sind in der Regel Vermögensschäden (Kosten für Computer-Forensik, Anzeige und Bekanntmachung von Datenrechtsverletzungen, Wiederherstellungskosten, Betriebsunterbrechungsschäden, Sicherheitsanalyse und Sicherheitsverbesserungen etc.). Cyber-Eigenschäden sind nie über eine Haftpflichtversicherung gedeckt.

Wichtige Aspekte der Verträge sind Assistenzleistungen wie die Beratung und Begleitung im Schadensfall sowie die Kostenübernahme im Fall einer Betriebsunterbrechung. Kosten der Policen: ab ca. 350 bis 450 Euro im Jahr inkl. Assistenzleistungen (Assistenzleistungen sind im Schadensfall eine enorme Hilfe/Erleichterung).


Autor:

Johannes Zenner

Pressesprecher bei der MLP Finanzdienstleistungen AG

Erschienen in: Der Allgemeinarzt, 2017; 39 (8) Seite 92-93