Cyber-Schutz für Krankenhäuser und Kliniken wird in der Coronakrise noch wichtiger

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet aktuell eine Zunahme von Cyber-Angriffen mit Bezug zum Coronavirus. Das BSI nennt auch ein konkretes Beispiel: So fordern manche Täter die Unternehmen per E-Mail dazu auf, unternehmensbezogene Daten auf gefälschten Webseiten preiszugeben. Perfide: Die Cyber-Kriminellen geben sich dabei als vermeintliche Institutionen zur Beantragung von Soforthilfegeldern aus.

Warnung an medizinische Einrichtungen

Auch Krankenhäuser geraten jetzt verstärkt ins Visier. Das berichtet das Handelsblatt, dem interne Papiere von Sicherheitsbehörden vorliegen. So sollen Kriminelle die Bundesregierung zur Zahlung von Lösegeldern in Millionenhöhe aufgefordert haben, um Attacken von Hacker auf Einrichtungen des Gesundheitswesens abzuwehren. Außerdem hat die kriminalpolizeiliche Organisation Interpol laut Handelblatt eine Warnung an medizinische Einrichtungen herausgegeben.

Das Gesundheitswesen ist ein vermeintlich leichtes Ziel. Die Ausnahmesituation in der Coronakrise ist hier am deutlichsten zu spüren, der Stress immens. Mitarbeiter können da schnell unvorsichtig werden. Auch wer ohne große Einweisung im Home-Office arbeitet, ist anfällig. Dazu kommt, dass sich mit Patientendaten erheblich mehr Geld verdienen lässt als zum Beispiel mit Kreditkarteninformationen. Und nicht zuletzt bietet die zunehmende IT-Durchdringung im Gesundheitswesen immer mehr Zugänge für Hacker.

Wertvolle Patientendaten

Patientenakten sind im Darknet begehrter als Kreditkarteninformationen

Kriminelle Attacken sind allerdings nur ein Teil der Cyber-Risiken, mit denen Krankenhäuser konfrontiert sind. So listet zum Beispiel der IT-Grundschutz vom Bundesamt für Sicherheit und Informationstechnik über 650 Gefahren auf. Was häufig vernachlässigt wird, sind Ursachen wie zum Beispiel technische Probleme, Fehlbedienung, Mitarbeitersabotage oder fehlerhafte Programmierung.

Hohes Schadenpotenzial bei Datenschutzverletzungen

Cyber-Schäden können auf unterschiedlichen Ebenen entstehen: 

• durch den Verlust der Vertraulichkeit
• durch den Verlust der Integrität
• durch die Nichtverfügbarkeit von Daten und IT-Anwendungen

Dario Koch, Geschäftsführer von Funk Hospital, dem Spezialversicherungsmakler von Funk für Krankenhäuser sowie medizinische und soziale Einrichtungen, sagt: „Eines der größten Schadenpotenziale sehen wir im Bereich der Datenschutzverletzungen und den damit zusammenhängenden Kosten.“ So sind Kliniken nicht nur zu gewissen Informationspflichten der EU-Datenschutzgrundverordnung und seit 01.01.22 zu angemessenen organisatorischen sowie technischen Vorkehrungen zur IT-Sicherheit verpflichtet, sondern sie haften auch im Falle von immateriellen Schäden zum Beispiel bei Verlust einer Krankenakte.

„Rechnete man bei einem Krankenhaus, das über 500.000 Patientendaten verfügt, mit 10 Euro Kosten je verlorenem oder gestohlenem Datensatz, dann läge der Schaden für das Krankenhaus schon bei 5 Millionen Euro“, illustriert Koch. In Wirklichkeit könnte der Schaden sogar noch viel höher liegen. Denn eine Studie des Ponemon Instituts ergab, dass die Kosten pro Datensatz mit sensiblen Informationen im Gesundheitssektor im Schnitt bei 325 Euro liegen. 

Neben den Datenschutzverletzungen und den damit verbundenen Kosten ist zudem die uneingeschränkte Verfügbarkeit der IT für den reibungslosen Klinikablauf essenziell. 

Risikotransparenz mit der Cyber-Risk-Analyse

Kliniken sollten daher ihre individuellen Cyber-Risiken kennen. Funk unterstützt Krankenhäuser und Kliniken hier mit einem Cyber-Risk-Management-Workshop vor Ort. Im Anschluss an den Workshop erhält die Klinik einen Risikobericht mit den identifizierten Risiken, einer Einschätzung zu den monetären Auswirkungen vorhandener Maßnahmen und Empfehlungen zur Risikoabsicherung. Darüber hinaus liefert die Analyse wichtige Informationen, um einen Notfall- oder Business-Continuity-Plan zu erstellen sowie eine fundierte Grundlage für die maßgeschneiderte Versicherungslösung. 

Erweiterte Cyber-Versicherung für Krankenhäuser und Kliniken

Die meisten Cyber-Versicherungen beschränken sich auf die Absicherung von Cybercrime. Es ist aber besonders wichtig, auf das Zusammenspiel von Ursachen bzw. versicherten Gefahren und den Leistungselementen in den Cyber-Policen zu achten. 

Da es am Markt keine zufriedenstellende Versicherungslösung gab, hat Funk für seine Kunden ein eigenes Deckungskonzept entwickelt, das weit über dem Marktstandard liegt. Die Funk CyberSecure bietet im Eigenschadenbereich über Cybercrime hinaus Schutz für Schäden aufgrund technischer Probleme, Fehlbedienung oder -programmierung, Sabotage durch eigene Mitarbeiter oder behördlicher Verfügungen. 

Leistungselemente Funk CyberSecure

Das Konzept ist speziell für Krankenhäuser aufbereitet, modular aufgebaut und bietet sowohl Schutz für Drittansprüche als auch für Eigenschäden. Weil man viele Cyber-Angriffe im Nachhinein nur schwer nachweisen kann, beinhaltet die Deckung von Funk eine Beweislastumkehr. Dem Krankenhaus bleibt damit die schwierige Beweisführung erspart, wenn der IT-Forensiker die Ursache des Schadens nicht nachweisen kann. Stattdessen muss der Versicherer beweisen, dass der Schaden aufgrund einer nicht versicherten Ursache eingetreten ist. Gelingt ihm das nicht, so gilt der Schaden als versichert. Bei der Funk CyberSecure wird zudem der Selbstbehalt nicht auf Dienstleistungs- und Beratungskosten angerechnet. Und: Kosten bis 100.000 Euro werden auch dann übernommen, wenn sich im Nachhinein herausstellt, dass der Schaden aufgrund einer nicht versicherten Gefahr entstanden ist.

Dario Koch: „Cyber-Versicherungen waren schon vor der Coronakrise empfehlenswert, weil das Gesundheitswesen immer digitaler arbeitet und damit Risiken verbunden sind. Diese Risiken sind jetzt  nochmals größer geworden. Bei allen aktuellen Herausforderungen sollten Krankenhäuser und Kliniken den Cyber-Schutz deshalb nicht vergessen.“

09.03.2022