Das unterschätzte Risiko einer Cyber-Attacke
D&W RedaktionEine Cyber-Attacke kann jede Zahnarztpraxis treffen – aber wie kann man sich schützen? Finanzexperte Martin Stromberg* klärt anhand eines realen Fallbeispiels aus einer Gemeinschaftspraxis auf.
Am Morgen des 16. Januar ließ sich auf den Rechnern einer Kölner Gemeinschaftspraxis keine Datei mehr öffnen. Auch die Telefonanlage war betroffen. Patienten konnten die Praxis nicht mehr erreichen – der Praxisbetrieb wird überraschend gestoppt. Was war passiert? Anfang Januar hatte die Praxis Online-Bewerbungen für die ausgeschriebene Stelle als „Zahnmedizinische/r Fachangestellte/r“ erhalten. Eine der Bewerbungen enthielt einen als PDF angehängten Lebenslauf sowie eine Excel-Tabelle. Beim Öffnen der Dokumente installierte sich unbemerkt eine Schadsoftware, die alle im System vorhandenen Daten verschlüsselte.
Cyber-Attacke hat böse Konsequenzen für den Praxisbetrieb
Als Folge war die Praxis für vier Tage geschlossen, alle Computer mussten bereinigt und neu aufgesetzt werden. Vertrauliche Patientendaten gingen dabei verloren.
Nach einer Cyber-Attacke müssen die betroffenen Systeme sofort von einem IT-Forensiker untersucht werden, um den Auslöser des Vorfalls zweifelsfrei festzustellen. Die Analyse der Cyber-Attacke und die Bereinigung der betroffenen Systeme erfordert Zeit. Währenddessen müssen alle IT-Systeme, Telefon und Computer außer Betrieb bleiben. Anschließend beginnt die Wiederherstellung und das Prüfen von Praxissoftware und Betriebssystem.
Folgen für den Datenschutz unkalkulierbar
Der IT-Forensiker prüft unmittelbar, ob eine Informationssicherheitsverletzung vorliegt und stoppt den Datenzugriff durch Dritte. In diesem Fall muss er den Umfang der betroffenen Datensätze feststellen, um die notwendigen Maßnahmen nach den Vorgaben des Datenschutzes einzuleiten.
Nach einem Angriff muss der Zahnarzt unverzüglich – innerhalb von 72 Stunden – die Landesdatenschutzbehörde mit einer präzisen Beschreibung des Vorfalls informieren. Wenn ein hohes Risiko für die Verletzung persönlicher Rechte besteht, gilt die Pflicht zur Benachrichtigung der betroffenen Patienten.
Das sagen Bundesdatenschutzgesetz und DSGVO
Die Meldepflicht nach §42a BDSG greift, wenn besondere Arten personenbezogener Daten betroffen sind. Dies sind gem. §3 Absatz 9 BDSG zum Beispiel Gesundheitsdaten, einem Berufsgeheimnis unterliegende, auf Strafverfolgung beziehende oder personenbezogene Daten zu Bank- oder Kreditkartenkonten.
Am 25. Mai 2018 trat die Datenschutzgrundverordnung in Kraft. Nach Art. 33 DSGVO erweitert sich die Meldepflicht auf jegliche Verletzung personenbezogener Daten. Nach Art. 4 Nr. 12 DSGVO reicht für die Meldepflicht ein reiner Datenverlust aus, sodass im Gegensatz zu §42a BDSG zum Beispiel eine „unrechtmäßige Kenntnisnahme“ von Dritten nicht erforderlich ist.
Wie kann eine Cyber-Versicherung helfen?
Eine Cyber-Versicherung unterstützt im Notfall mit einer 24-Stunden-Hotline, einer Sofort-Analyse durch einen IT-Experten sowie der Einleitung von Sofort-Maßnahmen zur Schadensbegrenzung. Um möglichst schnell zur Normalität zurückzukehren, helfen Experten dabei, Kunden und Geschäftspartner über den Vorfall zu informieren. Wertvolle Daten werden gerettet oder wiederhergestellt, sodass Systeme, Software und Netzwerke schnellstmöglich wieder genutzt werden können.
Auch finanzielle Folgen sind abgesichert. Die Versicherung ersetzt den finanziellen Schaden, der durch die Betriebsunterbrechung entsteht. Weiter trägt die Versicherung die Kosten für den IT-Forensiker. Die Kosten für die Benachrichtigung der Patienten im Falle einer Datenschutzverletzung werden auch übernommen. Auch gegen das Haftungsrisiko bietet die Versicherung einen Schutz. Schadenersatzansprüche aufgrund der Verletzung von Persönlichkeitsrechten werden ebenso übernommen wie die Abwehr von unberechtigten Schadenersatzansprüchen.
Die Kölner Praxis hatte Glück im Unglück, denn sie hatten bereits rechtzeitig eine Versicherung abgeschlossen und konnte nach vier Tagen den Praxisbetrieb wieder aufnehmen. Der Schaden betrug 69.000 Euro (Kosten für IT-Spezialisten, Unterstützung bei Patientenkommunikation, Kosten für den Mehraufwand der Mitarbeiter, Kosten für Umsatzausfall).
Alles über Versicherungen für die Zahnarztpraxis lesen Sie in dieser Rubrik: Versicherungen | DENTAL & WIRTSCHAFT)
Training gegen Cyber-Attacken zum Schutz Ihrer Praxis
Eine effektive Prävention beginnt mit der Schulung Ihres Teams. Cyber-Attacken werden vielfach nur durch menschliche Fehler ermöglicht. Nach einer aktuellen Studie von Kaspersky waren in 46 % aller Cyber-Sicherheitsvorfälle Mitarbeiter durch fahrlässiges Verhalten beteiligt. Unsere Empfehlung: Lassen Sie sich und Ihre Mitarbeiter schulen und sensibilisieren Sie regelmäßig für das Thema, um auf eine Cyber-Attacke vorbereitet zu sein. So lernen Sie gängige Gefahren kennen.
Unser Autor:
* Dipl.-Kfm. Martin Stromberg ist seit 1996 als unabhängiger Finanzdienstleister selbständig. Sein Fokus ist gerichtet auf akademische Heilberufe und die Niederlassungsberatung.
www.aerzteberatung-duesseldorf.de, st@stromberg-finanzen.de