Cyberattacken
Nicht immer schützt die Berufshaftpflicht
Nicht nur große Gesundheitseinrichtungen können Ziel von Internet-Kriminalität werden. Praxen sollten ebenfalls Virenscanner und Versicherungspolicen auf aktuellem Stand halten.
Veröffentlicht:
Nicht nur große Konzerne wie die Deutsche Telekom sind Ziel von Hacker-Attacken. Auch niedergelassene Ärzte sollten vorsichtig sein.
© bluedesign / fotolia.com
KÖLN. In der vergangenen Woche wurde bekannt, dass der Industrie-Konzern Thyssenkrupp Ziel einer massiven Hacker-Attacke geworden ist. Wenige Tage zuvor hatte es die Deutsche Telekom getroffen. Das Beispiel des Lukaskrankenhauses aus Neuss zeigt, dass auch Gesundheits-Einrichtungen ins Visier von Cyber-kriminellen geraten können.
Ans Licht der Öffentlichkeit kommen längst nicht alle Fälle, meist handelt es sich dabei um größere Ereignisse. Daraus dürfen niedergelassene Ärzte aber nicht den Umkehrschluss ziehen, dass sie mit ihren Praxen auf der sicheren Seite sind. Die meisten Cyberattacken richten sich gegen kleine und mittelgroße Unternehmen.
Berufsgruppe der Ärzte besonders attraktiv für Hacker
Ärzte können sowohl Opfer gezielter als auch ungezielter Angriffe werden, etwa durch breit gestreute Mails mit Schadsoftware. "Wer E-Mail-Verkehr mit Patienten oder Krankenversicherern hat und auf diesem Weg Patientendaten austauscht, ist potenziell gefährdet", so Michael Schwarz, Leiter Sachversicherung beim Finanzdienstleister MLP.
Das gilt umso mehr für Praxen, die Papierakten abgeschafft haben und alle Daten elektronisch speichern – auf dem eigenen Rechner oder in der Cloud. "Gerade weil die Ärzte mit sehr sensiblen Informationen umgehen, ist die Berufsgruppe besonders attraktiv für Hacker", betont Schwarz.
Police gegebenenfalls aktualisieren
Die Regelungen des Bundesdatenschutzgesetzes zum Umgang mit sensiblen oder personenbezogenen Daten betreffen auch Ärzte. Schon deshalb sollten sie besonders sorgsam sein, sagt auch Carsten Lutz, Leiter Produktmanagement Haftpflicht Heilwesen bei der HDI Versicherung. Das Unternehmen bietet eine Cyber-Zusatzdeckung zur Berufshaftpflichtversicherung an.
"Es wäre für Ärzte fatal zu denken, dass sie kein Ziel von Cyber-Angriffen sind." Auch wenn Mediziner gezielt Maßnahmen für die IT-Sicherheit und zum Schutz der Patientendaten ergreifen, reicht das nicht immer, um Hacker abzuwehren. Es kann erfolgreiche Angriffe geben. Passiert das in der beruflichen Tätigkeit und werden dadurch Dritte geschädigt, ist dieser Drittschaden in der Regel über die Berufshaftpflichtversicherung abgedeckt.
Voraussetzung ist, dass der Vertrag einen IT-Baustein enthält. Das ist bei manchen Altverträgen nicht der Fall. Lutz: "Ärzte sollten deshalb ihre Police überprüfen und gegebenenfalls aktualisieren".
Versicherung greift nicht, wenn sich die Mitarbeiterin Esspresso-Kapseln bestellt
Der IT-Baustein greift nicht, wenn die Schäden auf nicht berufliche Tätigkeiten zurückzuführen sind – etwa wenn eine Praxismitarbeiterin Kapseln für die Espressomaschine bestellt und dabei Schadsoftware auf den Praxis-Computer holt, erläutert Lutz. Hier könnte eine spezielle Cyberdeckung helfen.
Der wichtigste Vorteil solcher Policen ist nach Angaben des HDI-Experten aber die Absicherung der Schäden, die dem Arzt selbst entstehen. Die Versicherung umfasst die Wiederherstellung der Daten und des Computernetzes, die Benachrichtigung Betroffener und zuständiger Behörden sowie die Absicherung einer Betriebsunterbrechung, falls die Praxis geschlossen werden muss.
"Um zumindest die finanziellen Folgen einer Attacke aus dem Netz möglichst gering zu halten und im Ernstfall geschützt zu sein, ist eine Cyber Risk Management Versicherung geeignet", meint auch Schwarz von MLP. Die Anbieter von Cyberdeckungen für Ärzte – neben HDI sind das beispielsweise auch Allianz, Axa, Gothaer oder Hiscox – unterscheiden sich unter anderem dadurch, ob sie neben der reinen Versicherung auch zusätzliche Assistenzleistungen anbieten.
"A&O ist der bewusste Umgang mit Daten und elektronischen Medien"
Dazu gehören eine 24-Stunden-Hotline oder IT-Dienstleister, die den Arzt im Fall des Falles unterstützen, nicht nur bei den technischen Fragen, sondern auch beim Krisenmanagement.
"Ich würde immer ein Produkt mit einem Dienstleistungselement bevorzugen", sagt Schwarz. Ohne die Dienstleistungen kosten die Policen nach seinen Angaben im Jahr rund 200 bis 300 Euro, mit Dienstleistung seien es 400 bis 600 Euro. Die zusätzliche Investition könne sich lohnen.
Ärzte, die bei HDI den Cyber-Zusatzbaustein abschließen wollen, müssen eine aktuelle Viren-Software installiert haben, so Lutz. Eine weitere Voraussetzung bei HDI: gegen den Arzt dürfen keine Ermittlungen wegen Verstoßes gegen das Datenschutzgesetz laufen. HDI ist mit seinem Angebot für Ärzte erst seit Oktober auf dem Markt. "Die Nachfrage ist enorm", versichert Lutz.
Der Abschluss einer Versicherung entbindet die Praxen nicht von der Pflicht, das Thema IT-Sicherheit in der Praxis großzuschreiben, stellt Schwarz von MLP klar. "A&O ist der bewusste Umgang mit Daten und elektronischen Medien."
