Im ersten Teil unsere Reihe «Gefahr aus dem Internet» konnten Sie lesen, wie Kriminelle mit sogenannten Ransomware-Angriffen Ihre Praxis attackieren, IT-Systeme verschlüsseln und Sie mit Lösegeldforderungen erpressen können, sofern Sie keine entsprechenden Vorsichtsmassnahmen getroffen haben. In dieser Folge erfahren Sie, wie Sie sich mit speziellen Cyberversicherungen gegen Verluste absichern können.
Um es gleich vorwegzunehmen: Wer auf der sicheren Seite stehen und sich umfassend gegen etwaige Schäden durch Cyberangriffe, Lösegelderpressungen und Diebstahl sensibler Daten schützen will, braucht mehr als eine Betriebshaftpflichtversicherung. Denn diese Formen der Cyberkriminalität werden nicht über die dortigen Standard-Passagen zum Cyberschutz abgedeckt.
In der Standard-Betriebshaftpflichtversicherung sind zwar kleinere Aspekte wie Haftungsfälle im Fall von Datenschutzverletzungen enthalten, «wenn es aber darum geht, einen Hackerangriff verbunden mit Betriebsunterbrechung und Cybererpressung, Reputationsmassnahmen und Krisenmanagement finanziell abzudecken, braucht es eine spezielle Cyberversicherung», erklärt Peter Wirthner, Finanzberater beim Schweizer Versicherungsunternehmen Baloise. Eine Cyberversicherung bietet diesbezgl. eine massgeschneiderte Absicherung.
10 wichtige Deckungen einer Cyberversicherung
- Schutz vor Datenverlust und Cyberangriffen generell
- Betriebsunterbrechung und Umsatzverlust
- Reputationsschutz und Krisenmanagement
- Schadenersatzansprüche durch Dritte (Drittschäden)
- Benachrichtigung betroffener Personen
- Kosten für Datenschutzverletzungen/Bussgelder
- Lösegeldforderungen
- Kosten für IT-Forensik/Schadenfeststellung
- Verteidigungskosten im Rechtschutzfall
- Präventions- und Sicherheitsberatung vor Ort
Besonders schützenswerte Daten
Anders als etwa ein Malerbetrieb oder eine Bäckerei, haben Arztpraxen hochsensible Daten gespeichert, verbunden mit Vertraulichkeit und der ärztlichen Schweigepflicht. Dementsprechend besonders schützenswert sind diese Daten. Doch Mediziner sind weder IT- noch Versicherungsspezialisten. Worauf genau sollte man als Praxisinhaber also achten? «Der Abschluss einer Versicherung steht immer am Ende des Prozesses und ist der letzte Schritt», sagt der Experte. Davor geht es zunächst einmal darum, den IT-Schutz vor Ort zu maximieren, um die Wahrscheinlichkeit eines Hackerangriffs zu minimieren. Seriöse Anbieter kommen daher in die Praxis, führen Vorgespräche, identifizieren Schwachpunkte und versuchen, diese zu beheben. Dies bein- haltet nicht nur die Zusammenarbeit mit dem Praxisinhaber und seinem Team, sondern in der Regel auch mit deren IT-Dienstleister. Schon durch die Beratung entsteht somit ein Mehr- wert für den Mediziner. Die Praxis muss dabei nicht unbedingt einen IT-Dienstleister haben, der sich in der Thematik gesondert auskennt. Viele Versicherungsunternehmen bieten auch hier – wenn gewünscht – eigene Unterstützung und einen 24-Stunden-Assistance-Service an. Die Kosten einer Cyberversicherung hängen von mehreren Faktoren ab, unter anderen den Selbstbehalten der Praxisinhaber. Je höher dieser Eigenanteil ausfällt, desto geringer ist die zu zahlende Prämie. Auch die Grösse der Praxis und Anzahl der Mitarbeiter sind massgeblich, ebenso wie die aktiven Präventivmassnahmen in der Praxis: Für den Versicherer macht es einen Unterschied, ob Daten-Backups monatlich, wöchentlich oder täglich erstellt werden.
«Heute wird nicht mehr über die Tür eingebrochen»
Schadenfälle bewegen sich in der Regel zwischen 10000 und 50000 CHF, erläutert Peter Wirthner. «Der grösste Faktor ist der Betriebsertragsausfall, wenn die Firma nicht mehr arbeiten kann, weil die Praxis-IT blockiert ist.» Dazu kommen Mehrkosten wie z.B. Überstunden, die anfallen, wenn die ausgefallene Arbeit wieder aufgeholt werden kann und muss. Ebenso sind die Wiederinstandsetzung der Computer plus der Ausgleich von Reputationsschäden wesentliche Kostenpunkte.
Lösegelderpressung kommt Wirthners Erfahrung nach ab und zu zur Geltung. Kleinere bis mittlere Unternehmen werden dabei um durchschnittlich 10 000 bis 20 000 CHF erpresst. Ob eine Zahlung sinnvoll ist, kommt immer auf den Individualfall an. Zunächst sollte auf jeden Fall geprüft werden, ob die gestohlenen Daten über Backups wieder eingespielt werden können und wie gross der Aufwand dafür ist. «Heute wird nicht mehr über die Tür eingebrochen», erklärt der Fachmann: «Das sind alles Profis aus Indien, Pakistan oder Russland. Das sind Geschäftsleute. Dort wo Lösegeld gefordert wurde, waren es in der Regel kleinere Summen, und die Zahlungen liefen in dem Sinne dann auch problemlos ab.»
Lösegelderpressung ist zurzeit noch ein Punkt, der in der Schweiz Bestandteil der Cyberversicherungen ist. In anderen Ländern ist dieses Thema sensibler: Zahlt man innerhalb der Europäischen Union etwa Lösegeld an einen Erpresser aus Russland, macht man sich aufgrund der bestehenden Sanktionen selbst strafbar. «Diesbezüglich muss man sich als Arzt in der Schweiz aber keine Sorgen machen», sagt Peter Wirthner.
Verglichen mit den Risiken, denen man sich als Praxisinhaber stellen muss, fallen die Versicherungsprämien noch immer moderat aus: Ein kleines bis mittleres Unternehmen in der Schweiz muss bei einem seriösen Anbieter unter Anpassung aller Faktoren mit rund 1500 CHF pro Jahr rechnen. – Wenn der IT-Dienstleister nach einem erfolgreichen Hackerangriff vor Ort alles neu aufsetzen muss, hat sich die Prämie gemessen an dessen Kosten bereits wieder amortisiert. Im Gegenzug erhält man einen Rundum-Schutz, der die entstehenden Kosten im Fall der Fälle umfassend absichert.
Die Reihe «Gefahr aus dem Internet» stellt in 3 Teilen die Bedrohungen und möglichen Folgen von sowie Präventivmassnahmen gegen Cyber-Angriffe vor. In der kommenden Ausgabe der Hausarzt Praxis können Sie im dritten Teil lesen, was juristisch auf Sie zukommen kann, wenn das eigene IT-System gehackt wurde: Sollte man bei Lösegeldforderungen zahlen oder nicht? Wen gilt es zu informieren, wenn sensible Daten gestohlen wurden?
