24.01.2017

© HDI/ Thomas Bach

HDI Versicherung AG, Gebäude in Hannover

Hackerangriffe - sogenannte Cyber-Attacken - auf Arztpraxen werden immer wieder publik. Das Thema Cyberkriminalität ist heute überall präsent. Insbesondere Firmen und Selbstständige, die mit sensiblen Daten umgehen, sind einem hohen Risiko ausgesetzt. Ärzte gehören dazu. Und Gesundheitsdaten sind auf dem Schwarzmarkt eine begehrte Ware.

In einem konkreten Fall wurde von einer medizinischen Fachangestellten eine E-Mail mit dem Betreff "Initiativbewerbung" geöffnet. Dadurch wurde einem Trojaner der Weg ins interne IT-System geöffnet. Das aktivierte Schadprogramm konnte zwar die Patientendaten nicht auslesen, richtete aber einen erheblichen Schaden an. Die Wiederherstellung von Software und Patientendaten nahm mehrere Tage in Anspruch. Für diesen Zeitraum blieb die Praxis geschlossen. Die Kosten für die Wiederherstellung der Daten und die Betriebsunterbrechung summierten sich auf über 50.000 Euro.

Cyberrisiken: ein existenzielles Thema für Ärzte

Grundsätzlich muss heutzutage jeder, der personenbezogene oder vertrauliche Daten verarbeitet, mit Angriffen auf seine IT-Infrastruktur rechnen. Wenn das IT-System einer Praxis oder die Software medizinischer Geräte gehackt oder mit einem Schadprogramm infiziert werden, kann das aber nicht nur zu einem Stillstand im Praxisablauf führen. Es können noch weitreichendere Probleme auf den Arzt zukommen.

So ist der Arzt bei einem Hackerangriff, bei dem Patientendaten an Dritte gelangen, nach dem Bundesdatenschutzgesetz (BDSG) § 42a gesetzlich verpflichtet, unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen den Vorfall mitzuteilen. Carsten Lutz, Leiter Produktmanagement Haftpflicht Heilwesen der HDI Versicherung weiß: "Ein solcher Vorfall kann immer mit einem Vertrauensverlust des Arztes und der Angst der Betroffenen vor einem Missbrauch ihrer Daten einhergehen."

Außerdem ist jeder Praxisinhaber durch § 9 BDSG und andere Datenschutzgesetze verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um seine Patientendaten zu schützen. Wer dieser Verpflichtung nicht nachkommt, muss mit erheblichen Schadenersatzforderungen rechnen.

© HDI Versicherung AG

Carsten Lutz

Sicherheitssoftware allein reicht nicht aus

Besonders wichtig ist für Ärzte daher, die IT-Sicherheit ihrer Praxis immer auf dem neuesten Stand zu halten. Denn die technische Absicherung des praxiseigenen Computersystems über Sicherheitssoftware und regelmäßige Systemupdates sind und bleiben die Hauptbestandteile eines wirksamen Schutzes gegen Cyberkriminalität.

Einen 100-prozentigen Schutz können aber auch die beste Firewall und der beste Virenscanner nicht leisten. Aus diesem Grund sollten Mediziner, die mit dem Internet vernetzte Systeme beruflich nutzen, zur Absicherung der möglichen wirtschaftlichen Folgen eines Cyberangriffs auch einen passenden Versicherungsschutz abschließen. "Für niedergelassene Ärzte bietet die HDI Versicherung deshalb die Cyber-Deckung "Cyberrisk" als Zusatzmodul zur ärztlichen Berufshaftpflicht an", ergänzt Heilwesen-Experte Carsten Lutz.

Cyberrisk versichert zum einen das Risiko, von Dritten nach einem Cyberangriff auf Schadenersatz in Anspruch genommen zu werden. Der Mehrwert der Cyber-Deckung liegt jedoch primär in der Absicherung von Eigenschäden. Denn sie springt auch ein, wenn die praxiseigenen Daten oder die eigene IT von einem Cyberangriff betroffen sind. So umfassen die versicherten Leistungen unter anderem die Benachrichtigung von Betroffenen und Datenschutzbehörden, die Wiederherstellung von Daten und Software, Dienstleistungen zur Kreditkartenüberwachung sowie die finanzielle Absicherung von forensischen Untersuchungen oder einer durch die Cyber-Attacke verursachten Betriebsunterbrechung.