Auch wenn nicht alle ÄrztInnen virtuelle Sprechstunden anbieten, so sind sie doch häufiger im Netz aktiv, als es auf den ersten Blick scheint.

Moderne Telefonanlagen, der Zugriff auf Medikamentendatenbanken oder Recherchen in wissenschaftlichen Journalen, E-Mails, das Stecken der e-card oder Nachrichten per WhatsApp oder einem anderen Messengerdienst gehören zum Alltag der Ärztin bzw. des Arztes und sind ohne Internet nicht möglich. Michaela Steininger, Versicherungstechnikerin Risk Management bei Helvetia Versicherungen AG, erklärt, worauf zu achten ist und wie Sie sich schützen können.

Im Auftrag von Helvetia Österreich wurde kürzlich eine Marktforschungsstudie zum Online-Verhalten der ÖsterreicherInnen und ihrem Bewusstsein zu Risiken und Gefahren im Internet durchgeführt. Was sind die wesentlichen Ergebnisse, die auch für Ärzte wichtig sind?

Steininger: Es hat sich deutlich gezeigt, dass wir seit Beginn der Pandemie eine hybride Form des täglichen Lebens entwickelt haben. Digitale Möglichkeiten werden häufiger als vor der Pandemie als Ergänzung zu den klassischen Kommunikationskanälen verwendet. Das wird sich auch in Zukunft nicht ändern. Gleichzeitig hat sich aber das Bewusstsein für die Risiken im Netz nur wenig erhöht und bis zum Handeln ist es noch einmal ein großer Schritt. Man kennt das aktive Filtern von Spam-E-Mails oder vermehrte Vorsicht bei dubiosen Links.

Für ÄrztInnen besonders wichtig ist der Umgang mit sensiblen Daten. Insgesamt gibt es aber durchaus noch Aufholbedarf, wenn es um die Möglichkeiten geht, sich vor Gefahren im Internet wirkungsvoll zu schützen, denn: Knapp vier Prozent verwenden keine Maßnahmen, um sich gegen Cybercrime zu wappnen und nur knapp drei Prozent der Befragten geben an, im Fall der Fälle auf eine Cyberversicherung zu bauen. Und immerhin gibt etwa ein Drittel der Befragten an, bereits selbst oder jemand aus dem näheren Umfeld mit Cybercrime in Kontakt gekommen zu sein.

Wie genau sehen solche Cybercrime-Angriffe aus?

Steininger: Das reicht von einfachen Phishing-Nachrichten und scheinbar harmlosen Links mit Schadsoftware-Downloads bis hin zu Cybererpressung und Cybermobbing oder Identitätsdiebstahl. Für all diese Fälle gilt, dass die Cybergefahren meist erst dann wahrgenommen werden, wenn ein Schaden schon entstanden ist. Da ist es aber oft schon zu spät. Gerade für Ordinationen oder ÄrztInnen ist es wichtig, sich vorab Gedanken zu machen, wie Daten präventiv geschützt werden können. Genauso wichtig ist es, das gesamte Team einzubinden, Aufklärung zu betreiben, denn das betrifft nicht nur die Ärztin bzw. den Arzt selbst.

Welche Schutzmöglichkeiten gibt es nun tatsächlich?

Steininger: Zu den technischen Maßnahmen zählen zum Beispiel Passwörter oder verschlüsselte Zugänge, oder aber auch Antivirenprogramme sowie korrekt eingestellte Firewalls. Dann gibt es organisatorische Maßnahmen: Hier gilt es vor allem, die MitarbeiterInnen zu schulen und Bewusstsein für die Gefahren im Internet und den richtigen Umgang mit sensiblen Daten zu schaffen. Gehackt wird ja genau genommen nicht die Maschine, sondern der Mensch! Daher muss man wissen, wie man zum Beispiel dubiose Links erkennt oder woran man merkt, ob eine E-Mail – die vermeintlich echt aussieht – einen betrügerischen Hintergrund haben kann.

Wie hoch sind die Gefahren für ÄrztInnen, Opfer einer Cyberattacke zu sein?

Steininger: Je einfacher Sie es einem Eindringling machen, desto eher wird er die Chance wahrnehmen. Das ist vergleichbar mit einer offenen Eingangstüre oder einer versperrten, alarmgesicherten Türe. Je mehr technische und organisatorische Schutzmaßnahmen vorhanden sind, desto schwieriger wird der Angriff. Konkrete Zahlen gibt es kaum, denn die Dunkelziffer ist hoch. ÄrztInnen sind jedenfalls beliebte Ziele, denn es ist offensichtlich, dass sie über sensible Daten verfügen. Zudem gelten sie als „vermögende Klientel“ und sind beliebte Opfer für Lösegeldforderungen. Niemand möchte gerne den Verlust von PatientInnendaten an die Behörde melden müssen.

Welche konkreten Schäden können in einer Ordination auftreten?

Steininger: Wenn der Terminkalender gehackt wird und der Zugriff auf die PatientInnenndaten nicht möglich ist, dann steht die Ordination oft für mehrere Tage still. Fehlen die Daten überhaupt, ist eine Behandlung nicht möglich, oft können Dauermedikationen nicht weiterverordnet werden und so entsteht auch den PatientInnen ein Schaden. Dramatische Auswirkungen kann es haben, wenn die Software von Diagnosegeräten gehackt wird und falsche Daten liefert. Folglich muss man die KundInnentermine verschieben, es kann sich auch die gesamte Behandlung einer schweren Erkrankung verzögern.

Wie sollen ÄrztInnen vorgehen?

Steininger: Vorsorge ist besser als heilen! Eine Versicherung minimiert den Schaden, schützt aber vor dem Angriff nicht. Wichtig ist es, einen Notfallplan zu erarbeiten und Backups nicht nur zu machen, sondern regelmäßig zu testen, ob das Wiedereinspielen auch klappt. Wenn erst im Ernstfall klar wird, dass die Backups alt sind oder keinen raschen Zugriff erlauben, hilft das nicht. Für den Notfall soll auch klar sein, wie die „Rettungskette“ aussieht. Wer muss informiert werden? Welche Geräte sind abzuschalten? Wie ist bei einer Betriebsunterbrechung vorzugehen, um alle PatientInnen zu informieren? Klar ist: Je länger der Angriff dauert, umso größer ist der Schaden.

Was deckt eine Cyberversicherung ab?

Steininger: Eine Cyberversicherung deckt den Eigenschaden in der Ordination inklusive Betriebsunterbrechung und Haftpflichtansprüche Dritter ab, wenn zum Beispiel die personenbezogenen Daten der PatientInnen in fremde Hände geraten. Kurz gefasst heißt das, die Kosten für eine IT-Unterstützung und für das Krisenmanagement werden übernommen, bis die Ordination wieder in Betrieb gehen kann. Denn das Wichtigste bei einem Cybervorfall ist der Faktor Zeit, aus diesem Grunde unterstützt eine 24/7-Hotline im Schadenfall kompetent mit einem Expertennetzwerk.

Konkret werden zum Beispiel die Kosten für die Wiederherstellung der Daten aus dem Backup, die manuelle Datenrekonstruktion für Daten, die nicht per Backup herzustellen sind, die Mehrkosten zur Aufrechterhaltung des Betriebes ohne EDV oder der ausgefallene Deckungsbeitrag durch die Unterbrechung der Geschäftstätigkeit abgedeckt. Auch wenn das Image des Arztes beschädigt ist, springt die Versicherung ein – zum Beispiel mithilfe eines Mailings an die PatientInnen, um die Ordinationsunterbrechung zu erklären. Im Falle von Lösegeldforderungen werden Experten für die Verhandlungen zugezogen, das Lösegeld selbst ist nicht durch die Versicherung gedeckt.

Gibt es Deckungsbeschränkungen?

Steininger: Die Summe, die für die Forensik – also das Aufklären der Ursachen – veranschlagt ist, haben wir gedeckelt. Der Grund ist einfach: Bei Cybercrime ist es oft überaus schwierig, die TäterIn zu finden, und die Suche läuft meist ins Leere. Auch beim Internetbetrug haben wir ein Sublimit eingezogen sowie im Drittschaden, einem Baustein bei Vertragsstrafen im Zusammenhang mit E-Payment.

Fragen zur Ärzte Cyberversicherung?

Haben Sie weitere Fragen zur Ärzte Cyberversicherung oder wollen Sie Ihre Ärzte Cyberversicherung abschließen, dann wenden Sie sich an Ihre*n Ärzteberater*in. In einem persönlichem Gespräch kann ihr Bedarf genau ermittelt und das ideale Versicherungspaket für Sie erstellt werden.

 

Ärzteservice Dienstleistung GmbH
+ 43 01 402 68 34
office@aerzteservice.com
www.aerzteservice.com
www.facebook.com/aerzteservice