„Eine Cyberversicherung ist Pflicht”

by | May 15, 2024

Anhoren

Teilen

 

Die steigende Anzahl an Datenlecks und Cyberangriffen im Gesundheitswesen zeigen, dass die Bedrohungslage zunimmt. Schutz, Aufklärung und Wissensvermittlung sind dabei genauso wichtig, wie eine Cyberdeckung, die im Schadenfall die ganz große Katastrophe abwehrt, weiß Versicherungsexperte Bernd Helmsauer.

 

Herr Helmsauer, es sind die medienwirksamen Fälle wie jetzt in den USA Change Healthcare, wo der Versicherer für die Lösegeldzahlung in Höhe von 22 Millionen US-Dollar einspringen musste, die Cyberversicherungen in den Fokus rücken. Wie sieht die Realität aus?

Lösegeldzahlungen sind natürlich spannend, sie haben Krimicharakter und sind öffentlichkeitswirksam – aber mit Blick auf das, was eine Cyberversicherung wirklich ausmacht, noch nicht zwingend ein Mengenthema und deshalb eher nachranging zu betrachten. Das gilt im Gegensatz zu Krankenhäusern vor allem für Niedergelassene. Die vielleicht wertvollste Leistung von Cyberdeckungen im Versicherungsmarkt besteht vor allem in den Services im Falle eines Angriffs. Ich spreche hier davon, dass diese, von den Versicherern gestellten Dienstleister Cyberangriffe detektieren, abwehren und dann auch neue Sicherheitsstrukturen aufbauen, die Wiederholungen möglichst ausschließen. Der größte Wert einer Cyberdeckung ist nicht die Zahlung von Lösegeldern, sondern die Bereitstellung von Dienstleistern zur Cyberabwehr, die 7/24 zur Verfügung stehen. Danach suchen wir auch unter anderem unsere Produktgeber aus.

Weil Ihre Kunden diese Services im Rahmen der Cyberdeckung am häufigsten in Anspruch nehmen?

Ganz genau. Der Vorteil, im Angriffsfall eine Hotline zu haben, die rund um die Uhr erreichbar und mit kompetenten Ansprechpartnern besetzt ist, ist immens. Ich kann hier von einem Vorfall im Sachverständigenbüro eines guten Freundes berichten, der über unser Haus versichert ist. In diesem Vier-Mann-Betrieb kam der Cyberangriff im Übrigen von einem Mitarbeiter, der sich selbständig machen und mit Hilfe einer Spyware vorher noch Informationen abgreifen wollte. Das wurde zum Glück beobachtet und sofort über die Cyberdeckung Kontakt mit dem entsprechenden Dienstleister aufgenommen. Das Interessante an dem Fall: Noch bevor mein guter Freund dem Mitarbeiter am anderen Ende des Telefons Zugang zu den Systemen geben konnte, war der schon drin. Seine Erklärung: „Sie haben einen Reinigungsroboter von Firma XY, das hat mich 35 Sekunden gekostet. Die Alternative wäre die App Ihre Solaranlage gewesen, aber das hätte eine Minute 30 gedauert. Ich schalte mich jetzt ein.“

Das klingt ehrlich gesagt erschreckend…

Ist es auch. Diese digitalisierten und webbasierten „other devices“ sind ein großes Cyberrisiko, finden aber immer häufiger Anwendung. Deshalb sind kleine Betriebe, dazu zähle ich auch Arztpraxen, mittlerweile auch wesentlich stärker im Fokus. Einfallstore sind beispielsweise die Reinigungsroboter, aber auch digitalisierte Kühlschränke, die man zunehmend auch in den Arztpraxen findet, Stichwort Impfstoffe. Was ich damit deutlich machen will: Es wird immer einfacher, in IT-Umgebungen einzudringen. Genau deswegen haben hochwertige Dienstleistern im Angriffsfall auch einen so hohen Wert.

Welche weiteren Leistungen sind für eine umfassende Cyberdeckung wichtig?

Es gibt eine Vielzahl von Deckungserweiterungen, die im Mittelstand allerdings schon zum Standard gehören. Dazu zähle ich beispielsweise die Beschädigung von Hardware, natürlich Lösegeldzahlungen, aber auch eine gute Öffentlichkeitsarbeit im Schadenfall. Ein großes Universitätsklinikum, Kooperationspartner unseres Hauses, hat gerade eine Vielzahl von E-Mail-Adressen verloren…

… Sie meinen Mainz?

Ich darf und werde keinen Namen nennen. In dem Falls sind wir auch nicht der Cyberversicherer, sondern die Abrechnungsstelle. Was ich an dem Beispiel nur äußerst positiv finde, ist die wirklich gute und professionelle Kommunikation, die frühzeitig und proaktiv war. In der Regel stehen auch hier hochspezialisierte Agenturen dahinter, die im Rahmen der Cyberversicherung und gemeinsam mit den betroffenen Häusern die Kommunikation steuern und engmaschig begleiten.

Nun hören wir gerade aus dem Kliniksektor immer häufiger, dass umfassender Versicherungsschutz schwer und wenn nur sehr teuer zu bekommen ist. Entspricht das der Realität und wenn ja, woran liegt das?

Bei uns ist es in der Antragsaufnahme so, dass wir je nach Umsatzgröße verschiedene Risikostrukturen abfragen. Also beispielsweise, wie die Passwörter verwaltet werden, wie die Datensicherung konzipiert ist. Bei kleineren Arztpraxen sind das vielleicht sechs, sieben Fragen, bei großen Risiken können es mehrseitige Fragebögen bis hin zu einem umfangreichen Audit sein. Die Schwierigkeit ist, dass hier in der Regel auch negative Aspekte zum Vorschein treten. Wir arbeiten dann mit sogenannten Obliegenheiten. Das heißt, wir gewähren Deckung, allerdings müssen die Sicherheitsauflagen, die bei dem Audit oder durch den Fragenbogen identifiziert wurden, binnen einer definierten Frist nachgebessert werden.

Wie erklären Sie sich dann die vielen negativen Rückmeldung aus dem Gesundheitswesen?

Tatsächlich versucht die Versicherungswirtschaft gerade, sich quasi aus der Deckung zu stehlen, indem sie sich auf die sogenannte Kriegsklausel beruft, die „erneuert“ und in Wahrheit deutlich verschärft wird. Ich muss es tatsächlich so deutlich sagen: Diese Klausel wird in meiner Wahrnehmung nunmehr missbraucht, denn soweit ich informiert bin, befindet sich Deutschland mit keinem Land im Krieg. Dennoch versuchen Teile der Versicherungswirtschaft mit der Kriegsklausel beispielsweise Angriffe russischer Hacker als staatlich beauftragt und damit als Kriegsakt darzustellen. Ein „Cyberwar“ wäre damit nicht mehr versichert. Der Nachweis ist schwer und birgt einiges an Konfliktpotenzial.

Ist an der Argumentation denn etwas dran?

Dass viele Angriffe aus Russland kommen, stimmt. Die Russen sind einfach unglaublich gute Programmierer. Und sie betreiben etliche Troll- und Attack-Farmen – vor allem, um zu destabilisieren. Ähnlich verhält es sich auch mit den Chinesen. Das ist allerdings keine neue Entwicklung, sondern seit Jahren bekannt. Was dadurch immer schwieriger wird, ist der Ausgleich zwischen dem, was die Versicherer fordern, und dem, was die Kunden an Sicherheitsmaßnahmen umsetzen können. Zeitgleich verschlechtert sich das Bedingungswerk, während die Preise steigen.

Das „Schimpfen“ im Gesundheitswesen ist also berechtigt?

Naja. Unternehmen – und da zähle ich Kliniken und niedergelassene Ärztinnen und Ärzte dazu – sollten heute ein großes Interesse an Cybersicherheit haben. Hier erlebe ich allerdings immer wieder, dass sie als reiner Kostenfaktor wahrgenommen wird, dem auf der Habenseite nichts gegenübersteht. Nicht inhabergeführte Unternehmen, die stark auf Gewinn ausgerichtet sind, sind deshalb aus meiner Erfahrung auch besonders schwach in der Cyberprotection. Bei Krankenhäusern kommt dann noch hinzu, dass sie oftmals aufgrund der sehr komplexen und veralteten IT-Strukturen viel mehr Aufwand betreiben müssen, sich angemessen zu schützen und häufig ohne externe Dienstleister Schwierigkeiten mit einer schnellen Reaktion auf Cyber-Angriffe haben.

Wie oft kommen Cyberschäden überhaupt vor – da müssten Sie als großer Makler und Assekuradeur doch Einblicke haben?

Tatsächlich recht häufig und gerne auch im kleinen Bereich, also in der Hausarztpraxis mit drei bis fünf Angestellten in Hintertupfingen. Wir hören als Argumentation von den Ärzten häufig, „wir sind zu klein, bei uns ist nichts zu holen“. Das ist allerdings ein Trugschluss und ein Grund, weshalb wir auf Tagungen und Veranstaltungen immer wieder für dieses wichtige Thema sensibilisieren. Denn aus meiner Sicht ist die Cyberversicherung eine Pflicht. Gerade niedergelassene Ärztinnen und Ärzte müssen verstehen, dass sie selten Opfer eines spezifischen Angriffs auf ihre Arztpraxis sind, sondern von Robotern angegriffen werden, die sich wahllos Homepages oder E-Mail-Adressen unabhängig von der dahinterstehenden Arztpraxis oder Firma aussuchen. Krankenhäuser muss man hingegen nicht mehr sensibilisieren, die sind alarmiert und verbessern ihre Cyber-Abwehr kontinuierlich.  

Weil der Kriegsbegriff schon gefallen ist: Welche Maßnahmen müssen aus Ihrer Sicht ergriffen werden, damit die „Guten“ dieses Cyberwettrüsten gewinnen, das wir derzeit auch im Gesundheitswesen aktuell erleben?

Zunächst fehlt an sehr vielen Stellen Wissen und Kompetenz. Wir müssen den sicheren Umgang mit Technologie lernen – und zwar am besten schon in der Schule. Ich sehe auch die Anbieter von Hard- und Software in der Pflicht – wohlwissen, dass diese Diskussion dort tunlichst vermieden wird, weil es die Produktivität und die Umsätze gefährden würde. Und dann müssen natürlich auch die Praxen, Einrichtungen, Häuser und Unternehmen selbst dafür sorgen, ihre Belegschaft fit zu machen. Wir haben im eigenen Haus beispielsweise einmal im Jahr sogenannten Penetrationstests, um zu schauen, ob und wo wir angreifbar sind. Zusätzlich greifen wir wiederkehrend uns selbst mit Fake-E-Mails an, verteilen diese bei unseren Mitarbeiterinnen und Mitarbeitern und evaluieren die Reaktionen darauf. Dabei geht es nicht darum, jemanden vorzuführen. Wir hatten beispielsweise den Fall, dass Überweisungsträger mit unseren Kontodaten und meiner Unterschrift aufgetaucht sind. Wir können uns trotz intensiver Recherche nicht erklären, wo die herkommen. Dass kein finanzieller Schaden entstanden ist, liegt nur daran, dass unsere Konten nicht für Überweisungsträger freigeschaltet sind.

Das unterstreicht noch einmal deutlich, dass es eine hundertprozentige Sicherheit nicht gibt…

Absolut richtig, umso wichtiger, zum einen immer wieder auf der Hut zu sein und zum anderen im Fall der Fälle einen Cyberschutz zu haben, der die ganz große Katastrophe auffängt.

 

Bernd Hellmsauer ist Vorstand der Helmsauer-Gruppe, einem der größten Versicherungsmakler im Gesundheitswesen mit 24.000 Ärztinnen und Ärzte und über 100 Krankenhäuser als Kunden in der Betreuung.Die Unternehmensgruppe betreibt neben einem Spezialmakler für das Gesundheitswesen eine Verrechnungsstelle für Ärzte für die Durchführung von Privatliquidationen und zwei Managementgesellschaften für die Abrechnung von Selektivverträgen. Des Weiterne zählt mit der Curamed ein Beratungszentrum zur Unternehmensgruppe, welches betriebswirtschaftliche Beratungen, Strategieberatungen und Praxiswertermittlungen im Gesundheitswesen durchführt.

 

Das könnte Sie auch interessieren

Klinik-Atlas: Kritik an Bürokratie

Vor allem von der Bundesärztekammer und der Deutschen Krankenhausgesellschaft kommt deutliche Kritik am heute vorgestellten Klinik-Atlas. Für Lauterbach ist er wichtiges Element einer Qualitätsoffensive. 

Vor allem von der Bundesärztekammer und der Deutschen Krankenhausgesellschaft kommt deutliche Kritik am heute vorgestellten Klinik-Atlas. Für Lauterbach ist er wichtiges Element einer Qualitätsoffensive. 

Ambulantisierung als Chance für Kliniken

Planungsunsicherheit für Kliniken ist weiterhin elementar – zahlreiche Gesetzesänderungen wurden durch das Bundesministerium für Gesundheit (BMG) angekündigt. Eine Sache ist aber definitiv klar: Das Sozialgesetzbuch definiert in §39 SGB V „ambulant vor stationär.“ Seit Jahren ist dieser wichtige Aspekt bekannt und dennoch findet die Umsetzung in Kliniken nur wenig Begeisterung, attestiert Gastautor Arne Westphal.

Planungsunsicherheit für Kliniken ist weiterhin elementar – zahlreiche Gesetzesänderungen wurden durch das Bundesministerium für Gesundheit (BMG) angekündigt. Eine Sache ist aber definitiv klar: Das Sozialgesetzbuch definiert in §39 SGB V „ambulant vor stationär.“ Seit Jahren ist dieser wichtige Aspekt bekannt und dennoch findet die Umsetzung in Kliniken nur wenig Begeisterung, attestiert Gastautor Arne Westphal.