Welche Cyberrisiken gibt es im Gesundheitswesen für Praxen und MVZ?

Warum sind Gesundheitsdienstleister ein attraktives Ziel für Cyberangriffe?

Cyberkriminelle haben das Gesundheitswesen längst als lukratives Ziel entdeckt. Dafür gibt es mehrere Gründe:

Zum einen enthalten Gesundheitsdaten persönliche Informationen, Versicherungsdaten und medizinische Historien. Dies ist für Identitätsdiebstahl oder Betrug besonders interessant.

Zum anderen sind viele Einrichtungen stark von ihren IT-Systemen abhängig. Fallen zentrale Anwendungen wie Praxisverwaltungssysteme oder elektronische Patientenakten aus, läuft der Praxisbetrieb oft nur eingeschränkt weiter oder bestimmte Behandlungen sind gar nicht mehr möglich. Das nutzen Angreifer bei Erpressungsattacken aus.

Hinzu kommt, dass viele kleinere Gesundheitsdienstleister ihre digitale Infrastruktur von externen Dienstleistern betreuen lassen. Dadurch entstehen zusätzliche potenzielle Angriffspunkte.

Was passiert bei einem Ransomware-Angriff mit der Praxis-IT?

Eine der häufigsten Bedrohungen im Gesundheitswesen sind sogenannte Malware- und Ransomware-Angriffe. Dabei verschlüsseln Cyberkriminelle IT-Systeme und verlangen anschließend ein Lösegeld für die Freigabe der Daten.

Für Praxen und Versorgungszentren kann ein solcher Angriff gravierende Folgen haben. Fallen Praxissoftware, Terminverwaltung oder elektronische Patientenakten aus, kann der Betrieb teilweise oder vollständig zum Erliegen kommen. Neben Kosten für IT-Forensik und Systemwiederherstellung entstehen oft auch erhebliche Umsatzausfälle.

Welche Datenschutzrisiken bestehen bei Patientendaten?

Gesundheitsdaten sind besonders schützenswerte personenbezogene Daten nach Datenschutz-Grundverordnung (DSGVO). Entsprechend hoch sind die Anforderungen an den Umgang mit diesen Informationen.

Datenschutzvorfälle können durch Hackerangriffe oder menschliche Fehler entstehen, etwa durch falsch adressierte E-Mails mit medizinischen Befunden oder verlorene Geräte mit Patientendaten. Bei einer Datenschutzverletzung müssen Einrichtungen unter Umständen die Aufsichtsbehörde informieren und betroffene Patienten benachrichtigen. Zudem drohen rechtliche Risiken oder Schadenersatzforderungen.

Wie gefährlich ist die Abhängigkeit von Praxissoftware und Cloud-Diensten?

Spezialisierte Softwarelösungen für Terminplanung, Dokumentation oder Abrechnung kommen in vielen Fällen von externen Anbietern oder werden in der Cloud betrieben.

Fallen solche Systeme aus, sind Patientenakten oft nicht abrufbar oder Termine können nicht verwaltet werden. Für Praxen mit vollständig digitalen Abläufen kann bereits ein kurzer Ausfall spürbare Folgen haben.

Was geschieht bei Cyberangriffen über IT-Dienstleister?

Bei sogenannten Supply-Chain-Angriffen greifen Cyberkriminelle nicht direkt eine Praxis oder ein MVZ an, sondern nutzen gezielt Schwachstellen bei externen IT-Dienstleistern.

Viele IT-Systemhäuser haben Fernwartungszugänge zu den Netzwerken ihrer Kunden, um Wartung oder Updates durchzuführen. Werden sie kompromittiert, können sie zum Einfallstor für Angreifer werden. Im schlimmsten Fall erhalten Cyberkriminelle so Zugriff auf mehrere Einrichtungen gleichzeitig.

Sind menschliche Fehler ein unterschätztes Risiko bei Cyberangriffen?

Neben technischen Schwachstellen spielt auch der menschliche Faktor eine wichtige Rolle. Viele Cybervorfälle beginnen mit Social-Engineering-Angriffen, bei denen Angreifer das Praxispersonal gezielt täuschen. Typische Beispiele sind Phishing-Mails, die scheinbar von bekannten Lieferanten, Laboren oder Dienstleistern stammen, oder Anrufe von angeblichem IT-Support. Ohne ausreichende Sensibilisierung der Mitarbeiter sind solche Täuschungsversuche oft schwer zu erkennen.

Welche finanziellen Folgen können Cybervorfälle haben?

Cybervorfälle verursachen in der Praxis häufig eine Kombination verschiedener Kosten. Dazu gehören unter anderem:

• IT-Forensik und Systemwiederherstellung
• Praxisunterbrechung während eines IT-Ausfalls
• rechtliche Beratung bei Datenschutzvorfällen
• Benachrichtigung betroffener Patienten
• Maßnahmen zur Krisenkommunikation
• Schadenersatzforderungen betroffener Patienten

Selbst bei kleineren Einrichtungen können sich diese Kosten schnell auf mehrere zehntausend Euro summieren.

Wie können Cybervorfälle in der Praxis ablaufen?

Die folgenden Beispiele zeigen typische Szenarien, wie Cybervorfälle in Arztpraxen oder medizinischen Versorgungszentren entstehen und welche finanziellen Folgen daraus resultieren können.

Beispiel 1: Ransomware legt Praxisbetrieb lahm
In einer größeren Facharztpraxis öffnet eine Mitarbeiterin eine täuschend echt aussehende E-Mail eines angeblichen Laborpartners. Über den Anhang gelangt Schadsoftware ins Praxisnetzwerk. Wenige Stunden später sind zentrale Systeme wie Praxissoftware, Terminverwaltung und digitale Patientenakten verschlüsselt. Die Praxis kann mehrere Tage keine Patienten regulär behandeln.

Zur Wiederherstellung analysieren IT-Forensiker den Angriff und setzen die Systeme neu auf. Zusätzlich entstehen Umsatzausfälle durch abgesagte Termine, bei denen Patienten zu anderen Praxen überstellt wurden. Dafür fallen in der Praxis folgende Kosten an:

• IT-Forensik und Wiederherstellung der Systeme: 15.000 – 40.000 Euro
• Datenwiederherstellung und manuelle Datenrekonstruktion: 10.000 – 30.000 Euro
• Umsatzausfall durch Praxisstillstand: 10.000 – 50.000 Euro

Insgesamt kann ein solcher Vorfall für eine Praxis schnell Gesamtkosten zwischen 35.000 und 120.000 Euro verursachen. Mögliche Lösegeldzahlungen zur Entschlüsselung der Daten nicht eingerechnet.

Beispiel 2: Datenleck durch kompromittierten Fernwartungszugang
Ein IT-Dienstleister betreut mehrere Arztpraxen und nutzt dafür Fernwartungszugänge. Nachdem Zugangsdaten durch einen Cyberangriff in falsche Hände geraten, erhalten Angreifer Zugriff auf mehrere Praxisnetzwerke. In einer betroffenen Praxis werden Patientendaten kopiert. Die Praxis muss den Vorfall nach Art. 33 DSGVO der Datenschutzaufsicht melden und betroffene Patienten nach Artikel 34 DSGVO informieren. Zusätzlich entstehen Kosten für IT-Analyse, rechtliche Beratung sowie organisatorische Maßnahmen.

Dafür fallen in der Praxis folgende Kosten an:

• IT-Analyse und Sicherheitsprüfung: 5.000 – 20.000 Euro
• rechtliche Beratung und Datenschutzprüfung: 5.000 – 15.000 Euro
• Benachrichtigung der Patienten und organisatorische Maßnahmen: 5.000 – 10.000 Euro

Auch ohne behördliche Bußgelder und Schadenersatzforderungen betroffener Patienten können sich die Gesamtkosten schnell auf 15.000 bis 45.000 Euro summieren.

Wie wichtig ist eine Cyberversicherung als Baustein im Risikomanagement?

Neben technischen und organisatorischen Sicherheitsmaßnahmen ist eine Cyberversicherung ein wichtiger Baustein im Risikomanagement von Arztpraxen und MVZ. Sie ersetzt zwar keine IT-Sicherheit, kann aber helfen, die finanziellen Folgen eines Cybervorfalls abzufedern und betroffene Einrichtungen im Ernstfall zu unterstützen. So umfassen die Cyberversicherungen bei exali Leistungen wie:

• IT-Forensik und Unterstützung bei der Wiederherstellung von Systemen
• Kosten für Praxis-/ Betriebsunterbrechungen
• rechtliche Beratung bei Datenschutzvorfällen
• Krisenkommunikation und die Information betroffener Patienten

Selbst Lösegeldforderungen durch Cybererpressung - im Fachjargon „Cyber-Extortion“ - können mitversichert werden.

Gerade für kleinere Gesundheitsdienstleister ist eine Cyberversicherung eine wichtige Unterstützung, da sie im Ernstfall häufig nicht über eigene IT-Sicherheitsteams oder spezialisierte Krisenstrukturen verfügen.

Betrachten wir noch einmal unsere beiden Praxisbeispiele von vorhin:

Im ersten Beispiel hätte eine Cyberversicherung die Kosten für IT-Forensik und die Wiederherstellung der Systeme übernommen. Dazu gehören auch die Datenwiederherstellung aus Backups sowie der Aufwand für die manuelle Rekonstruktion und Neueingabe von Daten durch das Praxispersonal. Ebenfalls abgedeckt ist der Ertragsausfall durch die Praxis- bzw. Betriebsunterbrechung.

Im zweiten Beispiel hätte die Cyberversicherung zunächst die Kosten für die IT-forensische Analyse übernommen, um den Angriff und den Umfang der betroffenen Patientendaten zu klären. Zusätzlich umfasst der Versicherungsschutz rechtliche Beratung zur Meldung an die Datenschutzbehörde sowie die Organisation und Durchführung der Patientenbenachrichtigung. Auch Kosten für Krisenkommunikation, eine Patientenhotline und Maßnahmen zur Behebung der Sicherheitslücken können übernommen werden.

Damit reduziert sich der finanzielle Schaden für die betroffene Praxis im Wesentlichen auf die vereinbarte Selbstbeteiligung des Versicherungsvertrags, die häufig bei etwa 1.000 Euro liegt.

Sind Cyberrisiken zunehmend auch für kleinere Gesundheitsdienstleister relevant?

Die Digitalisierung eröffnet dem Gesundheitswesen viele neue Möglichkeiten. Gleichzeitig steigen jedoch auch die Anforderungen an IT-Sicherheit und Datenschutz.

Arztpraxen und MVZ stehen vor der Herausforderung, sensible Patientendaten zu schützen und gleichzeitig einen reibungslosen Praxisbetrieb sicherzustellen. Die dargestellten Beispiele zeigen eindringlich, welche wirtschaftlichen Folgen Cyberangriffe, Datenschutzverletzungen oder IT-Ausfälle haben können.

Ein ganzheitliches Risikomanagement bestehend aus IT-Sicherheitsmaßnahmen, Mitarbeitersensibilisierung und einer Cyber-Versicherung hilft, die Risiken der digitalen Praxis auf ein Minimum zu reduzieren.