3.2.2021 – Die Corona-Pandemie sorgt nicht nur für verunsicherte Patienten oder aufwendige Hygienemaßnahmen in den Arztpraxen: Cyberkriminelle nutzen die Pandemie, um gezielt Attacken zu starten. Insbesondere kleine Praxen sind oftmals unzureichend geschützt, sodass sich Cyberkriminelle schnell Zugang zu Patientendaten verschaffen und komplette IT-Systeme übernehmen können, warnt Christian Gründl, Vorstand des Versicherers Ergo, in einem Gastbeitrag.
Im Bewusstsein vieler niedergelassener Ärzte ist Cyberkriminalität nicht präsent oder nur eine abstrakte Bedrohung. Mit Blick auf die fortschreitende Digitalisierung mit elektronischen Gesundheitsakten und Rezepten, digitalen Leistungsbelegen und Assistenzsystemen ist die Auseinandersetzung mit Cyberrisiken aber auch in Praxen wichtiger denn je.
Hinzu kommt die Covid-19-Pandemie, die Arztpraxen vor weitere Herausforderungen stellt. Komplexe Hygienevorkehrungen müssen umgesetzt, Sonderregeln bei der ambulanten Versorgung beachtet und Videosprechstunden neu eingerichtet werden. Daneben gilt ihre Hauptaufgabe der Patientenversorgung.
Der Schutz der digitalen Infrastruktur rückt dabei häufig in den Hintergrund, sodass Cyberkriminelle vorhandene Sicherheitslücken leicht ausnutzen können. Sie nehmen die Coronakrise zum Anlass, um Phishing E-Mails mit Bezug zu Covid-19 zu verschicken.
Vermeintliche Absender waren vor allem zu Krisenbeginn Behörden des Gesundheitssektors, wie zum Beispiel das Gesundheitsministerium oder die WHO, sowie Privatpersonen, die sich als Ärzte und Virologen ausgaben und mit Hilfe von schadhaften Mailanhängen, gefälschten Webseiten oder Schadsoftware die Verunsicherung der Betroffenen ausnutzten.
Vor allem industrielle und gewerbliche Nutzer sind ein beliebtes Angriffsziel von Cyberkriminellen. Das Bundeskriminalamt (BKA) verzeichnet in den letzten Jahren einen kontinuierlichen Anstieg von Angriffen: Allein 2019 wurden über 100.000 Fälle von Cyberattacken gemeldet, die einen nachgewiesenen Schaden von circa 90 Millionen Euro verursachten.
Das Risiko, selbst Opfer einer Attacke zu werden, wird stark unterschätzt, denn eine Vielzahl von Attacken und Straftaten bleibt im Verborgenen. Als besonders gefährdet gelten Arztpraxen und andere Einrichtungen des Gesundheitswesens, denn hier wird täglich mit sensiblen Patientendaten gearbeitet, während zugleich digitale Schutzmaßnahmen oftmals fehlen.
In einem Praxistest ließ der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) die IT-Systeme ausgewählter Praxen durch einen Hacker überprüfen. Der Cybersecurity-Experte konnte Schwachstellen und ein hohes Sicherheitsrisiko bei 21 von 25 Praxen identifizieren und prognostizierte Angreifern ein leichtes Spiel.
Trotz der enormen Risiken unterschätzen Ärzte die Gefahr und vernachlässigen notwendige Schutzmaßnahmen. So gaben 80 Prozent der Ärzte in einer GDV-Befragung an, sie seien ausreichend gegen Angriffe gewappnet. Jeder zweite Arzt nahm zudem an, seine Praxis wäre zu klein oder die Daten zu uninteressant, um in den Fokus eines Cyberkriminellen zu geraten.
Dieser Irrglaube ist weit verbreitet. Gerade aufgrund des meist mangelhaften Schutzes greifen Kriminelle auch kleine und mittlere Betriebe an und erpressen so massenhaft Kleinbeträge.
Während Ärzte oftmals kaum Maßnahmen ergreifen oder die IT-Systeme von einem externen Anbieter warten lassen und sich so in Sicherheit wiegen, haben Hacker kaum Hürden zu überwinden. Die Folgen einer Attacke sind fatal für die Praxis: Cyberkriminelle können im schlimmsten Fall auf Patientendaten zugreifen, diese kopieren und drohen, sie zu veröffentlichen. Ein solcher Verstoß gegen den Datenschutz der Patienten ist vor allem in Hinblick auf die DSGVO problematisch.
Mit Hilfe von Ransomware ist der Hacker sogar in der Lage, das System komplett zu sperren. Damit ist nicht nur der Zugriff auf Patientendaten beschränkt, sondern auch die Übermittlung von Leistungsbelegen und die digitale Abrechnung blockiert.
Für die betroffene Praxis bedeutet dies einen großen Aufwand beim Nachpflegen der Daten sowie hohe Kosten für die IT-Forensik, den Austausch der Systeme und eine Betriebsunterbrechung. Hinzu kommen Informationskosten, Prozess- und Anwaltskosten und in Fällen, in denen Gesundheitsdaten von Patienten veröffentlicht wurden, Schadensersatz, Bußgeld aufgrund der Datenrechtsverletzung sowie Ausgaben für die Krisenkommunikation.
Das Risiko, selbst Opfer einer Cyberattacke zu werden, kann reduziert werden: Wichtig ist ein bewusster Umgang mit Passwörtern und Zugängen. Zu einem guten Sicherheitsmanagement gehören auch das regelmäßige Installieren von Sicherheitsupdates der IT-Systeme und die Vorbereitung auf den Notfall.
Da viele Schadprogramme per E-Mail in die Arztpraxis gelangen, müssen zudem die Mitarbeiter im Umgang mit den Programmen und Risiken geschult sein, um für die Cybergefahren sensibilisiert zu sein.
Ein hundertprozentiger Schutz vor einem Hackerangriff ist auch mit einem professionellen Sicherheitskonzept kaum möglich. Denn Hacker entwickeln ihre Schadsoftware fortlaufend weiter: Für das Jahr 2019 wurde ein durchschnittlicher Zuwachs von rund 312.000 neuen Varianten an Malware pro Tag verzeichnet.
IT-Experten müssen dementsprechend auch die Sicherheitsvorkehrungen kontinuierlich weiterentwickeln. Da das Risiko bleibt, ist es ratsam, sich gegen die Cyberbedrohung abzusichern.
Eine Cyberversicherung übernimmt sowohl Eigen- und Drittschäden als auch Service-Leistungen. Damit sind die folgenden Kostenpunkte abgedeckt:
Für Ärzte gibt es spezielle Branchentarife mit einem vereinfachten Antragsverfahren. Abgedeckt werden nicht nur Schäden durch Phishing, Viren oder Schadprogramme, sondern auch Bedienungsfehler von Mitarbeitern. Löscht ein Mitarbeiter versehentlich eine Datenbank, übernimmt die Versicherung die anfallenden Kosten für eine Rücksicherung und Neuprogrammierung.
Besonders wichtig für Ärzte ist auch die Absicherung von Drittschäden im Rahmen von Datenschutzverstößen, zum Beispiel durch die Veröffentlichung von Patientendaten, sowie die Übernahme von Benachrichtigungskosten. Entscheidend ist zudem, dass die Kosten für eine Betriebsunterbrechung übernommen werden.
Fazit: Cyberkriminelle nutzen die Verunsicherung der Coronakrise und die Verlagerung von Gesundheits-Dienstleistungen in den digitalen Bereich, um mit Hilfe von gezielten Attacken an digitale Identitäten und finanzielle Mittel zu gelangen. Ärzte und andere Vertreter des Gesundheitssektors werden immer häufiger Opfer von Cyberkriminalität. Daher ist es dringend ratsam, das Risiko abzusichern und die Sicherheitsmaßnahmen auszubauen.
Der Autor ist Vorstandsmitglied der Ergo Versicherung AG und verantwortlich für das Industrie- und Firmenkundengeschäft.
Die neue BVK-Studie deckt die Erfolgsfaktoren des Versicherungsvertriebs auf und zeigt Ihnen, wie auch Sie Ihren Betrieb effizienter gestalten und sich für die Zukunft wappnen können.
Mehr Informationen erhalten Sie unter diesem Link...
Das VersicherungsJournal ist eines der meistgelesenen Medien in der Branche, siehe Mediadaten.
So finden Sie zielsicher Ihre neuen Mitarbeiter, Arbeitgeber oder Geschäftspartner. Nutzen Sie die schnelle und direkte Zielgruppenansprache zu günstigen Konditionen. Gesuche werden kostenlos veröffentlicht.
Erteilen Sie hier Ihren Anzeigenauftrag für Angebote und Verschiedenes oder Gesuche, oder lassen sich persönlich beraten!
Beachten Sie auch die Seite Aktuelles für Stellenanbieter.
Ihre Leserbriefe können für andere Leser eine wesentliche Ergänzung zu unserer Berichterstattung sein. Bitte schreiben Sie Ihre Kommentare unter den Artikel in das dafür vorgesehene Eingabefeld.
Die Redaktion freut sich auch über Hintergrund- und Insiderinformationen, wenn sie nicht zur Veröffentlichung unter dem Namen des Informanten bestimmt ist. Wir sichern unseren Lesern absolute Vertraulichkeit zu. Schreiben Sie bitte an redaktion@versicherungsjournal.de.
Allgemeine Pressemitteilungen erbitten wir an meldungen@versicherungsjournal.de.
Geraten Sie in Verkaufssituationen immer wieder an Grenzen?
Wie Sie unterschiedliche Persönlichkeitstypen zielgerichtet ansprechen, erfahren Sie in einem Praktikerhandbuch.
Interessiert? Dann klicken Sie hier!