Cyberattacken: Die unterschätzte Gefahr im Gesundheitswesen
Cyberangriffe auf Apotheken, Arztpraxen und Krankenhäuser nehmen zu. Wie können sich Ärzte oder Kliniken schützen? Was ist bei Patientendaten zu beachten? Lassen sich Cyberrisiken versichern? Auf Heilberufler warten viele Aufgaben, wenn es um den Schutz der Praxis und ihrer Daten geht.
Zu den größten Gefahren im Internet gehören Angriffe von Cyberkriminellen. Diese führen Attacken gezielt durch, um vertrauliche Daten abzugreifen, die sie anschließend verkaufen oder zur Erpressung nutzen. Im Bundesdurchschnitt war bereits fast die Hälfte der Unternehmen von mindestens einem Versuch betroffen, bei dem Angreifer sensible Daten ausspähen wollten.
Häufig ist das Problem ein fehlendes Bewusstsein der Betroffenen, dass auch sie Opfer eines Angriffs werden können. Betriebsstillstand, finanzielle Verluste, Lösegeldforderungen, Imageschaden und Schadenersatzansprüche können die Folge von zu viel Sorglosigkeit sein. „Gegen diese Risiken können sich Praxen versichern, sogar bis hin zum Ersatz des Lösegeldes. Versichert sind sie allerdings nur – in Abstimmung mit dem Versicherer –, wenn sie ausreichend eigene Schutzmaßnahmen ergriffen haben“, erklärt Ecovis-Rechtsanwältin Heidi Regenfelder bei Ecovis in München. Dazu gehört beispielsweise die permanente Schulung der Beschäftigten.
Kostbare Beute Patientendaten
Gerade Ärzte sind eine leicht erpressbare Berufsgruppe. Wenn die Öffentlichkeit von einem Sicherheitsleck in der Praxis erfährt, ist das mit einem hohen Imageschaden verbunden. Außerdem sind Heilberufler zur Geheimhaltung verpflichtet, und meist ist auch noch ausreichend Liquidität vorhanden, Lösegeld bezahlen zu können. „Ärzte müssen zudem mit einem Bußgeld seitens der Datenschutzbehörden rechnen, von Schadenersatzforderungen ihrer Patienten ganz zu schweigen, sollte ein Dritter an die Praxisdaten gelangen“, sagt Regenfelder.
Ist ein Angriff erfolgreich, kann es passieren, dass
- durch die Attacke Daten verschlüsselt sind,
- der Praxisbetrieb für viele Tage lahmgelegt ist,
- Ärzte ihre Patienten nicht behandeln können oder
- die Abrechnung mit der Kassenärztlichen Vereinigung erschwert oder gar unmöglich ist.
Die Konsequenzen eines Angriffs auf die Arztpraxis
Unterschieden wird zwischen Eigen- und Drittschäden. Eigenschäden betreffen den Praxisinhaber selbst. Bei einem Betriebsausfall kann er Patienten nicht behandeln. Das Praxispersonal muss er aber trotzdem bezahlen. Weitere Kostenpunkte sind die Erneuerung der IT-Systeme, die Kosten für einen IT-Forensiker, die Wiederherstellung der Daten sowie die Rechts- und Schadenersatzansprüche der Patienten.
Drittschäden betreffen einen Dritten, hier den Patienten. Das sind Schäden, die aus dem Verlust oder der Nichtverfügbarkeit der persönlichen Daten entstehen. Wenn ein Angreifer Betriebs- oder Patientendaten stiehlt, hat das rechtliche Folgen. Darüber hinaus kann die Praxis auch das Vertrauen ihrer Patienten verlieren.
Maßnahmen gegen Attacken ergreifen
Damit die Schäden erst gar nicht entstehen, ist es ratsam, vorbeugende IT-Sicherheitsmaßnahmen umzusetzen. Außerdem sollten Ärzte ihre Praxismitarbeiter für den Umgang mit der Praxis-IT sensibilisieren und die Einfallstore der Hacker kennen. Diese Punkte müssen Ärzte immer beachten:
- stets ein aktuelles Betriebssystem auf dem Rechner installieren; • regelmäßig Backups und Sicherheitsupdates durchführen;
- immer eine aktuelle Firewall sowie externe Virensoftware nutzen;
- Regeln beim Umgang mit PCs aufstellen, etwa ob Mitarbeiterinnen und Mitarbeiter private E-Mails auf dem Praxis-PC abrufen dürfen, ob sie private USB-Sticks am Arbeitsplatz nutzen oder Online-Bestellungen tätigen dürfen;• Mitarbeiterinnen über die Schwachstellen im PC-Netzwerk aufklären;
- das Bewusstsein der Mitarbeiter für die Gefahren schärfen, die von Schadsoftware, Spam oder Phishing ausgehen.
Risiken mit Cyberversicherung absichern
Eine Cyberversicherung kann zwar nicht vor allen Gefahren schützen, sie kann jedoch einen Teil der Kosten für die dadurch entstandenen Schäden abdecken. Aus diesem Grund ist es oftmals ratsam – zusätzlich zu den umfassenden technischen und organisatorischen Maßnahmen –, eine Cyberversicherung abzuschließen.
Ganz allgemein gilt für Arztpraxen: Je mehr Praxisabläufe digitalisiert sind und je größer die Praxis ist, umso sinnvoller kann eine spezialisierte Cyberversicherung sein. „Heilberufler sollten ihre bestehenden Versicherungen überprüfen, ob Schäden aus Cyberangriffen bereits enthalten sind“, empfiehlt Regenfelder, „denn viele herkömmliche Policen decken häufig schon einen Großteil der Schäden ab. Zudem lassen sich ältere Verträge meist auch problemlos erweitern.“
Eine Cyberversicherung bietet in der Regel diese Leistungen und Services:
- Absicherung von Eigenschäden, die durch kriminelle Handlungen Dritter im Internet entstanden sind;
- Ausgleich von Haftpflichtansprüchen von Dritten;
- Unterstützung bei der Datenwiederherstellung, zum Beispiel nach Virenattacken;
- Schutz durch eine Sicherheitssoftware;
- telefonische rechtliche Beratung bei vermeintlichen Urheberrechtsverletzungen;
- Kostenerstattung für die Entfernung rufschädigender Inhalte in sozialen Netzwerken.
Was im Fall einer Cyberattacke ebenfalls enorm wichtig ist: „Die Versicherung steht auch mit Experten für IT-Forensik, Anwälten und Krisenkommunikatoren zur Seite, um im Schadenfall umfassend unterstützen zu können“, sagt Regenfelder.
Das sollten Sie wissen: Durch welche Türen die Angreifer kommen
Schadsoftware: Durch Spam-Mails oder andere Internet-Inhalte können bestimmte Viren in das eigene Computersystem gelangen. Diese Virenprogramme können zudem infizierte E-Mails weiterschicken, um andere IT-Systeme zu schädigen. Zu Schadsoftware zählen beispielsweise:
- Viren und Würmer: Vervielfältigen sich selbst, infizieren aber keine fremden Dateien.
- Trojaner: Tarnen sich als nützliche Anwendung und erlangen so Zugriff auf die Praxis-
- Spyware: Sammelt private Daten (auch Passwörter) und protokolliert die Internetgewohnheiten des Nutzers.
- Scareware: Täuscht ein Problem auf dem Gerät vor, um kostenpflichtige „Sicherheitssoftware“ zu verkaufen.
- Ransomware (Erpressungssoftware): Verschlüsselt Dateien oder verhindert den Zugriff auf das Gerät und erzwingt dann Lösegeld für den Zugang.
- Adware: Software, die dem Nutzer zusätzlich zur eigentlichen Funktion Werbung zeigt oder weitere Software hierfür installiert.
DoS-Attacken: Denial-of-Service-Attacken lasten bestimmte Internetseiten so sehr aus, dass sie nicht mehr erreichbar sind. Diese Attacken nutzen Cyberkriminelle, um davon abzulenken, dass sie Schadsoftware auf der IT aktivieren.
Spam und Phishing: Oftmals werden Spam-Mails oder gefälschte E-Mails verschickt, in denen sich infizierte Anhänge oder gefährliche Links befinden. So können Angreifer sensible Daten erhalten oder Schadsoftware aktivieren.
Das sollten Sie zu Cyberattacken wissen
Sie wollen sich darüber informieren, was im Fall einer Datenpanne zu tun ist? Lesen Sie den Beitrag „Was tun bei einem Hackerangriff in der Arztpraxis“:
https://www.ecovis.com/medizin/was-tun-bei-einem-hackerangriff-in-der-arztpraxis/
Einen Artikel zu „Cyberattacken – Angriffe von außen abwehren“ finden Sie hier:
https://de.ecovis.com/cyberattacken-angriffe-von-aussen-abwehren/