Zwei Musterszenarien zeigen

So teuer ist eine Cyberattacke!

Den meisten niedergelassenen Ärzte und Apotheker wissen, dass funktionierende Computersysteme für ihre Arbeit wichtig sind. Doch das Risiko, selbst Opfer eines Cyberangriffs zu werden, blenden viele aus – zum Glück trifft es immer nur die anderen. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat in zwei Musterszenarien dargestellt, wie eine Cyberattacke verlaufen kann – und welche Summe eine Cyber-Versicherung decken würde.

AdobeStock – pinkeyes

1. Musterszenario Datenklau: 

Hacker attackieren die IT-Systeme einer (Zahn-)Arztpraxis. Sie kopieren die Patientendaten und versprechen, gegen die Zahlung von Lösegeld auf eine Veröffentlichung der Daten zu verzichten.

  • Angriff

Die (Zahn-)Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen behaupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie kompromittierende Daten über fünf Patienten, die tatsächlich in der betroffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu veröffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen.

  • Informationen an Patienten und Behörden

Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Patienten über den Verlust der sensiblen Daten informieren. Um sicher zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt, holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach der Information verunsichert und haben intensiven Gesprächsbedarf.
Das deckt eine Cyber-Versicherung: Der GDV rechnet hier mit Informationskosten von 4.000 Euro und Anwaltskosten von 2.000 Euro.

  • Security-Initiative

IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zugriff zu den Daten erlaubte.
Das deckt eine Cyber-Versicherung: 5.000 Euro für IT-Forensik.

 

Die fünf größten Risikofaktoren

1. Passwörter/Zugänge

  • sehr einfach zu erratende Passwörter (Behandlung, Praxis, Name des Arztes)
  • Mehrere Benutzer teilen sich dieselbe Zugangskennung.
  • Alle Benutzer haben Administratorenrechte. 
  • Es wird nicht geprüft, ob alte Administratorenrechte noch bestehen.

2. Arglose Mitarbeiter

  • Mitarbeiter klicken auf den in der E-Mail enthaltenen Link und laden das anhängende Word-Dokument herunter. 
  • Im schlimmsten Fall wird sogar das Schadprogramm ausgeführt.

3. Nicht ausreichende Datensicherungen 

  • Viele Praxen erstellen mindestens wöchentlich eine Datensicherung, verschlüsseln diese aber nicht.
  • Wenige Praxen testen, ob sich die Daten auch wiederherstellen lassen.

4. Fehlende Sicherheits-Updates

  • Viele Praxen haben keine aktuellen Sicherheits-Updates ihrer IT-Systeme.

5. Keine Vorbereitung auf den Notfall

  • Die wenigsten Praxen verfügen über ein schriftliches Notfallkonzept für den Fall eines IT-Ausfalls, viele verlassen sich auf ihren IT-Dienstleister; nur wenige haben allerdings einen entsprechenden Vertrag mit einem Dritten.

Quelle: GDW

  • Betriebsunterbrechung

Bis die Schwachstellen geschlossen und weitere Datendiebstähle verhindert sind, bleibt die Arztpraxis geschlossen. Auch die Abrechnung mit den Krankenkassen ist nicht möglich.
Das deckt eine Cyber-Versicherung: Kosten für zwei Tage Betriebsunterbrechung: 5.000 Euro.

  • Datenmissbrauch

Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die Betroffenen beauftragen Spezialisten mit der Löschung der unrechtmäßig veröffentlichten Daten und verlangen vom Arzt Schadenersatz.
Das deckt eine Cyber-Versicherung: Schadensersatz: 20.000 Euro nach Artikel 82 DSGVO.

  • Vertrauenskrise

Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden sich zahlreiche Patienten von der Praxis ab, der Patientenstamm schrumpft deutlich.
Das deckt eine Cyber-Versicherung: 1.000 Euro für Krisenkommunikation, der Umsatzrückgang ist nicht gedeckt.

  • Aufarbeitung

Die Datenschutzbehörden verhängen aufgrund des Datenverlusts ein hohes Bußgeld.
Das deckt eine Cyber-Versicherung: Über eine Cyberversicherung gedeckt sind laut GDV die Informationskosten, die Anwaltskosten, die Kosten für die IT-Forensik, die Betriebsunterbrechung und die Krisenkommunikation.
Das Bußgeld ist nicht gedeckt.

 

Das sichere Passwort

1. Denken Sie sich lange Passwörter aus!
Sonderzeichen und Großbuchstaben helfen nur bedingt weiter, ebenso das ständige Wechseln von Passwörtern. Wichtiger ist die Länge. Hacker „raten“ Passwörter in der Regel nicht, sondern probieren in kurzer Zeit große Mengen möglicher Kombinationen aus. Je länger das Passwort ist, desto länger braucht auch der Computer. Ein einfaches Beispiel, das Sie bitte nicht so verwenden: Um „Pa$$W0rt“ zu knacken, braucht ein herkömmlicher PC nach Auskunft der Webseite checkdeinpasswort.de gerade mal sechs Stunden, für „Pa$$W0rtHallo123“ mehrere Milliarden Jahre.
2. Verwenden Sie einen Passwort-Manager!
Sie können und wollen sich die vielen langen und komplizierten Passwörter nicht merken? Dann fangen Sie auf keinen Fall an, immer das gleiche oder nur ein leicht abgewandeltes Passwort einzugeben. Das macht es Hackern zu einfach. Die bessere Alternative sind Passwort-Manager. Sie generieren und verwalten starke (= lange) Passwörter, die Sie sich nicht merken müssen; das übernimmt der Manager. Da die Anbieter ihre Daten in aller Regel verschlüsseln, sind die Passwörter auch gegen Hackerangriffe geschützt. Sie brauchen für alle Passwörter hingegen nur noch das „MasterKennwort“ – das natürlich wiederum sehr sicher sein sollte.
3. Nutzen Sie die Zwei-Faktor-Authentifizierung!
Für den Schutz von Patientendaten sollten Sie ernsthaft eine Zwei-Faktor-Authentifizierung in Betracht ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am Automaten brauchen Sie ihre Giro-Karte (1. Faktor) und die PIN (2. Faktor), auch eine Überweisung beim Online-Banking funktioniert in aller Regel nur mit PIN und TAN. Den Zugang zu Ihren Systemen können Sie genauso schützen – dann bekommen Sie nach der Eingabe Ihres Passworts zum Beispiel noch einen Code auf Ihr Smartphone geschickt. Alternativ erhält jeder Mitarbeiter eine Chipkarte, mit der er sich identifizieren kann. Mit dem Passwort allein können Hacker dann nichts mehr anfangen.

Quelle: GDW

19962651995906199590719959081982605 1996266 1995911
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare