Die Cyber-Bedrohung ist real. Warum sollten sich Krankenhäuser versichern – und welche Vorausstzungen haben sie hierfür zu erfüllen? Das Krankenhaus-IT Journal im Gespräch mit Bernd Eriksen, Leiter Professional Lines und Sandra Garfia Key Account Manager beim Versicherungsmakler, Risikomanager und Finanzdienstleister SÜDVERS.
Sind Krankenhäuser besonders gefährdet durch Cyber-Attacken?
Bernd Eriksen: Ja! Und zwar in doppelter Hinsicht: Zum einen steigt weltweit die Zahl an Angriffen auf den Gesundheitssektor, der sich bisher im Branchenvergleich eher im Mittelfeld befand, massiv an. In der ersten Jahreshälfte 2023 gab es laut Angaben des Bundeskriminalamts weltweit annähernd so viele Angriffe auf den Gesundheitssektor wie im ganzen Jahr 2022.
Michael Reiter im Gespräch mit Bernd Eriksen, Leiter Professional Lines und Sandra Garfia Key Account Manager beim Versicherungsmakler, Risikomanager und Finanzdienstleister SÜDVERS.
Zum anderen gibt es kaum empfindlichere Ziele als Krankenhäuser: Cyberattacken stellen eine gewaltige Gefährdung für den Klinikbetrieb dar. Den Kriminellen geht es fast immer darum, mit Verschlüsselung und Datenklau ein Lösegeld zu erpressen. Krankenhäuser sind dabei ein besonders lohnendes Angriffsziel: Eine Verschlüsselung bewirkt eine sofortige Unterbrechung der medizinischen Versorgung und kann die Gesundheit oder sogar das Leben von Patienten gefährden. Gleichzeitig drohen bei längerfristiger Betriebsunterbrechung gewaltige Einnahmeverluste, die wie bei einem Krankenhaus im US-Bundesstaat Illinois. Sie können zur Insolvenz führen. Darüber hinaus ist das Erbeuten personenbezogener Gesundheitsdaten für die Patienten belastend und für die Klinik massiv reputationsschädlich, auch deshalb, weil die Angreifer die Daten gewinnbringend weiterverkaufen können.
Welche Schäden deckt eine Cyberversicherung ab?
Eriksen: Die im Schadenfall relevantesten Schadenpositionen sind der Ertragsausfall, also der entgangene Gewinn und die Deckung weiterlaufender Kosten, sowie die Aufwendungen für die Forensik zur Ermittlung des Zugriffspunkts der Angreifer und für die Wiederherstellung der IT. Dieser „Eigenschaden“ ist zusammen mit weiteren Kostenpositionen elementarer Bestandteil der Cyber-Versicherung. Die Cyber-Police deckt aber auch bestimmte Schadenersatzansprüche Dritter ab, etwa in der Folge der unbemerkten Weiterleitung von Viren an Dritte oder Forderungen von Patienten nach Art. 82 DSGVO, deren personenbezogene Gesundheitsdaten infolge einer Datensicherheitsverletzung abhandengekommen sind. Besonders an der Cyber-Versicherung ist, dass sie den versicherten Unternehmen neben der Versicherungsleistung auch ganz real die Unterstützung durch spezialisierte IT-Dienstleister und auf Datenschutzrecht spezialisierte Anwaltskanzleien bietet, um die Angriffsfolgen so gering wie möglich zu halten. Das ist ja in Krankenhäusern besonders wichtig. Somit ist eine Cyber-Versicherung kein gewöhnliches Versicherungsprodukt.
Welche Voraussetzungen müssen Krankenhäuser erfüllen, um Cyber-Versicherungsschutz erhalten zu können?
Eriksen: Vor dem Hintergrund massiv gestiegener Schäden und Schadensummen hat die Versicherungswirtschaft in den letzten zwei Jahren Mindestanforderungen entwickelt, die von Unternehmen erfüllt werden müssen, um Versicherungsschutz zu erhalten. Auch wenn Krankenhäuser grundsätzlich kritische Infrastrukturen sind und damit eine erhöhte IT-Sicherheit gewährleisten müssen, hat die oft angespannte finanzielle Lage dazu geführt, dass sie keine durchgehende IT-Sicherheitsstruktur haben.
Nach den Vorgaben der Versicherer sind zum Beispiel grundsätzlich eine Multifaktor-Authentifizierung und ein Offline-Backup erforderlich. Des Weiteren dürfen Altsysteme ohne aktuelle Sicherheitsupdates nicht mehr vom Internet aus erreichbar sein. Wichtig sind auch Awareness-Trainings für Mitarbeiter und ein funktionierendes Patch-Managementsystem zum kurzfristigen Aufspielen von Sicherheitsupdates.
Sollten einzelne geforderte Elemente zu ergänzen sein, vermitteln wir kurzfristig Lösungen zur Vervollständigung der IT-Sicherheit. So gelingt es uns regelmäßig, auch Unternehmen mit verbesserungsbedürftiger IT-Sicherheit versicherbar machen und ihnen den benötigten wirtschaftlichen Schutz zu vermitteln.
Über SÜDVERS
SÜDVERS ist ein international tätiger Versicherungs-, Vorsorge- und Risikoexperte für Mittelstand und Industrie – und für das Gesundheitswesen. Mit über 590 Mitarbeitern an 19 Standorten im DACH-Raum bietet SÜDVERS maßgeschneiderte Lösungen zur weltweiten Risikoabsicherung.
Quelle: Krankenhaus-IT Journal, Ausgabe 01/2024