Versicherungstipp. Der Missbrauch von vertraulichen Daten durch Unbefugte ist eine
Horrorvorstellung. Doch es gibt noch ein anderes Szenario, das nicht unbedingt weniger
erschreckend ist: Wenn alle Patientendaten von einem Augenblick zum anderen nicht
mehr verfügbar wären. Der Praxisbetrieb käme zum Erliegen.
Weder das Risiko des Datenmissbrauchs noch ein Datenverlust lassen sich zu 100 Prozent
ausschließen. Auch wenn alle IT-Systeme korrekt installiert, die Mitarbeiter geschult
und die geltenden Sicherheitsanforderungen der Kassenzahnärztlichen Vereinigung erfüllt
sind, kann es passieren, dass unbeabsichtigt oder durch technische Ausfälle die Praxis
zum Erliegen kommt.
Hier ein paar Fakten:
-
70 Prozent der erfolgreichen Cyberangriffe erfolgen per E-Mail mit vermeintlichen
Anhängen oder Links (GDV/2019)
-
Fünfmal so viele falsche Emails seit Beginn der Corona Krise (https://www.it-daily.net/it-sicherheit/cyber-defence/23792-fuenfmal-mehr-malware-zum-coronavirus)
-
Mehr als 50 Prozent aller Unternehmen weltweit haben schon Schäden durch digitale
Angriffe erlitten
-
Hunderte Zahnarztpraxen in den USA lahmgelegt und Lösegelder erpresst (ZM online 03.09.2019)
Doch ist es lohnenswert, eine Praxis zu infiltrieren und Patientendaten zu stehlen?
Der Zahnarzt könnte denken: "Wir sind doch viel zu klein und unbekannt, um Hacker
anzulocken." Das ist aber eine trügerische Annahme. Die meisten Angriffe sind nicht
zielgerichtet und beschränken sich selten auf eine einzelne Praxis. Es werden häufig
Sicherheitslücken ausgenutzt, die viele betreffen könnten, und man schickt die Schadsoftware
an möglichst große Verteilergruppen (zum Beispiel per Mail). Arztpraxen stellen wegen
der Patientendaten ein attraktives Ziel dar, da die Daten häufig nur mangelhaft geschützt
sind.
Nicht ohne Grund hat die Kassenärztliche Vereinigung Westfalen-Lippe eine Cyber-Versicherung
als Schutz in ihre Ratgeber mit aufgenommen. Die Risiken sind vielseitig, und Praxen
bieten ein einfaches Angriffsziel.
Wie kann man sich vor digitalen Risiken schützen?
Die hier entstehenden Risiken lassen sich für eine Praxis durch eine Versicherung
absichern. Eine sogenannte Cyber-Versicherung kann im Schadensfall nicht nur den finanziellen
Schaden kompensieren, sondern bietet häufig eine eigene Schadensabwicklung mit IT-Experten,
sodass Ihre Praxis schnell wieder läuft. Dennoch setzt diese voraus, dass der Zustand
der IT einschlägige Sicherheitsmaßstäbe berücksichtigt und auch die für eine Praxis
geltenden Technischen und Organisatorischen Maßnahmen (TOM) ausreichend gut implementiert
sind. Ansonsten kann sich der Versicherer in vielen Fällen von der Schadensabwicklung
zurückziehen, da die Bedingungen nicht eingehalten wurden.
Damit das nicht passiert, ist es wichtig, dass die IT einer neutralen Risikoanalyse
unterzogen wird, bevor die risikorelevanten Fragen für eine Versicherung beantwortet
werden. Ein kleiner Tipp aus der Praxis: Die meisten Unternehmen und Arztpraxen haben
ihre IT-Experten, doch ist es hier interessant, einen externen Partner für die Kontrolle
zu Rate zu ziehen, da dieser vielleicht auch etwas genauer hinschaut, weil es im Zweifel
nicht die eigenen Fehler sind, die entdeckt werden.
An wen kann man sich wenden?
Zusammen mit dem Freien Verband Deutscher Zahnärzte hat auxmed, der Versicherungskooperationspartner
des FVDZ, als Versicherungsmakler ein ganzheitliches Absicherungskonzept entwickelt.
Von der Risikoprüfung via IT-Audit über eine Spezialversicherung mit exklusiven Vorteilen
für FVDZ-Mitglieder bis hin zur Integration von bestehenden und auszuarbeitenden Datenschutzmaßnahmen.
Schritt: Das IT-Audit wird im Rahmen einer Fernwartung von IT-Experten übernommen,
die neben allgemeinen Risiken vor allem ein Augenmerk auf risikorelevante Fragestellungen
werfen. Sofern das erste Audit zu viele Fragen unbeantwortet lässt, müssen IT-Spezialisten
vor Ort eine zusätzliche Gefahrenpotenzialanalyse durchführen.
Schritt: Sofern das IT-Audit positiv ausgefallen ist und so die Risikofragen für die
Praxis beantwortet werden können, kann der Abschluss einer auf Zahnärzte zugeschnittenen
Versicherung erfolgen. Hier wurde zusammen mit dem Assekuradeur Viktor ein Produkt
entwickelt, dass sich vor allem an Zahnärzten orientiert und mit besonderen Leistungen
erweitert wurde. Für Verbandsmitglieder wird der Selbstbehalt um 50 Prozent reduziert
und eine dreijährige Prämiengarantie festgelegt. Zudem erhält jedes Mitglied Zugriff
auf einen 24-Stunden-Support im Ernstfall, hinter dem direkt IT-Spezialisten bis hin
zu IT-Forensikern sitzen, die sich um Ihre potenzielle Gefahrensituation kümmern.
Schritt: Abschließend ist das erarbeitete Absicherungsmodell in das Qualitätsmanagement
und Datenschutzkonzept der Praxis zu implementieren. Hier ist wichtig, dass bspw.
die Überprüfung der technischen und organisatorischen Maßnahmen in die Ergebnisse
des IT-Audits mit aufgenommen werden, um als Resultat ein ganzheitliches Präventionsmodell
zu stricken.
Wie gehen Kriminelle eigentlich genau vor?
Jemand aus Ihrer Praxis erhält eine Mail mit einem vermeintlich harmlosen Anhang.
Das perfide an dieser Stelle ist, dass auch vertrauenswürdige Absender unfreiwillig
zum Wirt werden können. Schadsoftware verbreitet sich häufig über die Kontaktadressen
bereits kompromittierter Rechner.
Auch wenn nicht direkt etwas passieren muss, wenn der Anhang geöffnet wurde, wird
ein Programm im Hintergrund geöffnet, das Ihre Daten und die der im Netzwerk befindlichen
Rechner verschlüsselt. Häufig wird dieses Verfahren erst aufgedeckt oder entdeckt,
wenn auch von Seiten der Kriminellen davon auszugehen ist, dass auch Back-ups durch
die Ransomware unlesbar wurden. Andernfalls hätte man die Möglichkeit, ein Backup
aufzuspielen und das System innerhalb weniger Stunden wieder komplett funktionstüchtig
zu betreiben. Hacker lernen auch hier dazu und verstecken ihre Software manchmal monatelang
im Hintergrund.
Empfehlung für FVDZ-Mitglieder
Optimieren Sie die Datensicherheit in Ihrer Praxis und sorgen Sie rechtzeitig für
einen IT-Notfall vor.
Gerne helfen Ihnen hierbei beratend die Experten unseres Kooperationspartners auxmed.