Mit dem Begriff „Cyber“ hat ein Wort plötzlich in unseren Sprachgebrauch Einzug gefunden, das typischerweise unerklärt bleibt und somit die dahinterstehenden Risiken für Ordinationsbetriebe mehr verschleiert als erklärt. Dabei sind sogenannte Cyberangriffe in der Lage, einen Betrieb per sofort lahmzulegen. Die Jahre 2016 und 2017 brachten neue Dimensionen in die Cyberkriminalität. Ein solcher Angriff, und ein sogenannter „Kryptotrojaner“ namens „WannaCry“, infizierte zuletzt weltweit über 200.000 (!) Rechner. Dabei werden Daten von einem Schadprogramm verschlüsselt und dem Zugriff des Besitzers entzogen. Dieser wird danach aufgefordert, für die Entschlüsselung ein „Lösegeld“ zu bezahlen. Nach ungenutztem Ablauf der Frist droht das Programm außerdem mit der Löschung der Daten. Ob und wann Ihre Daten bei Lösegeldzahlung wieder entschlüsselt werden können, ist naturgemäß aber auch nicht garantiert.
Angriffsfläche Ordinations-IT
Diese und zahlreiche andere mit unserer modernen Abhängigkeit von IT-Systemen verbundene Risiken machen eine Absicherung gegen Cyberkriminalität, Viren und Cyberattacken, auch für niedergelassene Ärzte zu einem enorm wichtigen Thema. Fast alle Programme sind inzwischen mit dem Internet verbunden, so dass ein 100%-iger Schutz selbst mit strengsten Sicherheitsmaßnahmen nie gegeben ist.
Technische Sicherheitslandschaft
In Sachen IT-Sicherheit investieren kleine und mittlere Arztpraxen vor allem in Firewalls und Virenscanner, um Ihre sensiblen Systeme zu schützen. Die wirtschaftlichen Konsequenzen eines, jederzeit trotz ausgeklügelter Sicherheitssysteme möglichen, Hackerangriffs werden häufig massiv unterschätzt, der Grad der technischen Absicherbarkeit hingegen überschätzt. Von Betriebsstillstand bis zu schadenersatzrechtlichen Folgen: Ärzte sind einem hohen Risiko – bis hin zu möglichen Imageschäden – ausgesetzt.
Wichtig ist daher beim Umgang mit Patientendaten:
- Absicherung nach dem neuesten Stand der Technik
- ständige Weiterentwicklung der vom Arzt genutzten Software
- Auslagerung / Speicherung der Daten in externen, stark geschützten Rechenzentren
Wirtschaftliche Absicherung
Einen 100%-igen Schutz gegen Cyberkriminalität und -attacken gibt es nicht. Daher stellt sich die Frage, ob die kostspieligen und weitreichenden Folgen wirtschaftlich abgesichert werden können. Die Versicherungsunternehmen entwickelten in den letzten Jahren mehr oder weniger geeignete Absicherungslösungen.
Leistungsbereiche einer Cyber-Versicherung
Im Kernbereich geht es bei einer Cyber-Versicherung einerseits um die Absicherung von Eigenschäden, wie IT-Kosten für die Reparatur und Datenwiederherstellung. Und andererseits um das Risiko, von Dritten nach einem Cyberangriff auf Schadenersatz geklagt zu werden, etwa wenn der Vorwurf durch Patienten erhoben wird, dass infolge nicht ausreichender Absicherung ihre Gesundheitsdaten öffentlich geworden sind. Bei Cyber-Erpressungsfällen kommt hinzu, dass möglicherweise ein „Lösegeld“ zu bezahlen ist. Nicht zuletzt können Kosten und Verdienstentgang durch einen Ordinationsstillstand z.B. wegen nicht herstellbarer Anbindung an das Kassensystem abgesichert werden (=Betriebsunterbrechung).
Häufig unerwähnt bleibt der Assistance-Leistungsaspekt, nämlich die Verfügbarkeit von spezialisierten IT-Fachleuten für die bestmögliche Unterstützung im Schadenfall, um den Schaden und die Auswirkungen auf den Ordinationsbetrieb möglichst gering zu halten. Kaum jemand weiß, wie bei einer Erpressung auf Zahlung der Internet-Währung Bitcoin vorzugehen ist. Das sind Fälle, wo ein Arzt und seine normale IT-Betreuung die Unterstützung von Profis benötigen – und gerade dieser Service mutiert dann mitunter zur Hauptleistung einer Cyber-Versicherung.
Datenpanne passiert – was ist zu tun ?
Seit Mai 2018 wurden die Pflichten durch die DSGVO verschärft. Im Falle einer Verletzung des Schutzes personenbezogener Daten muss diese unverzüglich (binnen 72 Stunden) an die zuständige Aufsichtsbehörde gemeldet werden.
Sensibilisierung auf den Datenschutz
Der tägliche Umgang mit sensiblen Daten ist ein heikles Thema. Dafür soll – sofern dies nicht bereits erfolgt ist – sowohl bei den Mitarbeitern- als auch bei Unternehmer selbst ein dementsprechendes Bewusstsein geschaffen werden. Die in der DSGVO festgelegten Pflichten erfordern im Falle von Datenmissbrauch oder Datenlecks sofortiges und effizientes Handeln. Dies ist jedoch nur mit ausreichender Vorbereitung auf den Ernstfall möglich.