Eine Cyberversicherung soll den Schaden ausgleichen, der durch Cyberangriffe und Datenschutzverletzungen entsteht. Lohnt sich eine derartige Versicherung auch für Ärzte? Immerhin gehen Arztpraxen mit besonders sensiblen persönlichen Daten um. Welche Leistungen eine Versicherung gegen Cyberkriminalität bietet und welche Vorteile sich für Arztpraxen ergeben, erklärt der folgende Artikel.
Inhaltsverzeichnis
Risiken in der IT-Sicherheit
Laut dem Branchenverband Bitkom belief sich der gesamtwirtschaftliche Schaden durch Cyberkriminalität bereits im Jahr 2019 auf mehr als 100 Milliarden Euro – Tendenz steigend. Arztpraxen gehen jedoch recht sorglos mit dem Risiko für Cyberangriffe um. Ein Branchenreport des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zeigt, dass sich in rund 90 Prozent der getesteten Praxen mehrere Benutzer eine Zugangskennung teilen – ein Einfallstor, das Cyberkriminelle nur zu gern ausnutzen.
Im Gegensatz zu großen Unternehmen müssen sich Arztpraxen zwar nur selten mit gezielten Hackerangriffen auseinandersetzen. Risiken bestehen allerdings durch andere Formen der Cyberkriminalität:
- Phishing-Mails, die Zugangsdaten abgreifen sollen
- Angriffe auf Passwörter
- Auslesen und Veröffentlichen vertraulicher Patientendaten
- Umgehen von Identifikations- und Authentifizierungsverfahren (Spoofing)
- Infizierung des Computersystems mit Schadsoftware
- Ransomware, die Daten auf dem Praxis-PC verschlüsselt und nur gegen Geld wieder freigibt
Insbesondere Patientendaten stellen ein beliebtes Angriffsziel für Cyberkriminelle dar, die sie zum Beispiel nutzen, um Ärzte zu erpressen. Ein Datenleck in der Praxis führt darüber hinaus zu einem Imageschaden und wird vonseiten der Datenschutzbehörden häufig mit einem Bußgeld belangt. Zudem können die betroffenen Patienten Schadenersatzansprüche geltend machen.
Cyberversicherung für Ärzte erklärt
Eine Cyberversicherung kann Angriffe von Kriminellen zwar nicht verhindern, soll Arztpraxen aber gegen Risiken absichern, die im Zusammenhang mit der Internetnutzung entstehen. Angebote und Tarif der einzelnen Policen können stark variieren. Für gewöhnlich bestehen die Versicherungspakete aus einer Cyberhaftpflichtversicherung, einer Absicherung gegen Datenschutzverletzungen und einem Schutz vor Eigenschäden.
Diese Schäden deckt die Cyberversicherung
Cyberangriffe lösen in der Regel zwei Arten von Schäden aus:
- Sachschäden wie Schäden an der Hard- und Software oder eine Betriebsunterbrechung
- Drittschäden wie die Verletzung des Persönlichkeitsrechts bei datenschutzrechtlichen Verstößen
Eine gute Versicherung sollte beide Schadensfälle abdecken. Die meisten Policen enthalten die folgenden Leistungen.
Cyberhaftpflichtversicherung
Die Haftpflichtversicherung deckt Vermögensschäden und immaterielle Schäden, die dritten Personen beispielsweise durch Datenschutzverletzungen, Verletzungen der Netzwerksicherheit oder Verstößen in der digitalen Kommunikation entstanden sind. Schäden durch Trojaner, Viren und andere Schadsoftware sind meist mitversichert.
Verfahrensrechtsschutz bei Datenschutzverletzungen
Ist ein Datenleck aufgetreten, kann die zuständige Datenschutzbehörde ein Verfahren gegen die Arztpraxis eröffnen. Eine gute Versicherung schließt den Verfahrensrechtsschutz mit ein und übernimmt auch die Schadensersatzansprüche der Geschädigten.
Versicherungsschutz bei Eigenschäden
Schadsoftware und Datenlecks können zu Betriebsunterbrechungen führen. Das IT-System wiederherzustellen und Sachschäden an der IT zu beheben, ist ebenfalls mit Kosten verbunden. Empfehlenswert sind Versicherungen, die diese Kosten abdecken und auch bei eventuellen Cyber-Erpressungen Ersatzzahlungen leisten. Einige Policen übernehmen auch Bußgelder, sofern dies rechtlich zulässig ist.
Je nach Anbieter lassen sich die Policen durch individuelle Bausteine ergänzen. So ist es zum Beispiel möglich, Schäden, die durch Fehlbedienungen der Nutzer entstanden sind, zu versichern. Einige Versicherungen zahlen zudem für Sachverständige und Forensiker, die Praxen beraten, um einen Schaden abzuwenden und zu begrenzen. Von Vorteil ist es, wenn auch die Kosten für Maßnahmen gegen eine Rufschädigung mit abgedeckt sind.
Viele Policen für Arztpraxen schließen die Allgemein-, Medizin- und Haustechnik mit ein. Beim Vertragsabschluss sollte darauf geachtet werden, dass der Versicherungsschutz weltweit gilt.
Einen Überblick über alle Praxisversicherungen findet sich hier:
Vorteile und Besonderheiten für Ärzte
Cyberversicherungen für Ärzte bieten einige Vorteile, beim Abschluss sind aber auch ein paar Besonderheiten zu beachten. Da Ärzte mit besonders sensiblen Daten umgehen, benötigen sie den höchstmöglichen Schutz für ihre IT-Systeme. Die Versicherung ist ein wichtiger Faktor und hilft, im Schadensfall viel Ärger und hohe Kosten zu vermeiden. Sie sollte aber immer mit einem grundsätzlichen IT-Sicherheitskonzept verbunden werden. Seit 2021 gilt für die Sicherheitsanforderungen an Arztpraxen eine gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie. Die Vorgaben richten sich nach der Praxisgröße.
Ein Sicherheitskonzept hat den Zweck, Systemausfälle zu verhindern, Änderungen an Daten schnell nachvollziehbar zu machen und den Zugang auf sensible Daten zu beschränken. Für die Erarbeitung des Konzepts sollten IT-Sicherheitsexperten hinzugezogen werden. Einzige Anbieter von Cyberversicherungen stellen diesen Service bereit. Der Expertenblick verrät auch, welche Risiken gegebenenfalls noch mitversichert werden sollten. Auch nach Beratung durch einen IT-Experten haften Ärzte aber weiterhin selbst für entstandene Schäden.
Wichtig zu wissen: Bereits der Verdacht auf einen Cyberangriff muss innerhalb von 72 Stunden beim Landesdatenschutzbeauftragten gemeldet werden. Der entscheidet, ob und wie betroffene Patienten zu informieren sind. Muss das auf postalischem Weg geschehen, fallen teils horrende Portokosten an. Ein guter Versicherungsschutz für Ärzte sollte daher bereits bei Verdacht auf Cyberangriffe greifen und auch die Portokosten übernehmen.
Lohnt sich eine Cyberversicherung für Ärzte?
Eine Cyberversicherung für Ärzte lohnt sich in vielen Fällen. Bevor Ärzte eine Police abschließen, sollten sie allerdings prüfen, ob gewisse Leistungen bereits durch eine andere Versicherung abgedeckt sind. Besonderes Augenmerk ist auf die Praxis-Haftpflicht-, die Betriebsunterbrechungs- und die Rechtsschutzversicherung zu legen. Dabei sollte darauf geachtet werden, ob diese nur bei Angriffen von außen oder auch bei selbstverschuldeten Schadensfällen greifen. Um den passenden Versicherungsschutz zu finden, lohnt es sich zudem, eine Bewertung durch einen IT-Sicherheitsexperten vornehmen zu lassen.
Zusätzlich zum Versicherungsschutz sollten Ärzte vorbeugende Maßnahmen ergreifen, um die Gefahr von Cyberangriffen auf die Praxis zu minimieren. Dazu gehören die Schulung von Mitarbeitenden, regelmäßige Sicherheitsupdates von Betriebssystemen und Software und die Nutzung von Anti-Viren-Programmen. Außerdem sollte ein Notfallplan für den Schadensfall erstellt werden.