Allgemein
Cyber-Schutz für Apotheken

Cyber-Schutz für Apotheken

Viele Apotheker wiegen sich trotz einer zunehmenden Internet-Kriminalität in falscher Sicherheit: „Bei mir gibt es für Cyber-Täter nichts zu holen“, glauben sie und verzichten deshalb auf eine Cyber-Versicherung. Doch das erweist sich immer öfter als Fehler. Eine Versicherung, die vor den Folgen einer Verletzung der Informationssicherheit schützt, wird zunehmend wichtiger – gerade auch für Apotheken.

Cyber-Crime weitet sich immer stärker aus

Die Internetkriminalität muss als ausgesprochen dynamische „Wachstumsbranche“ bezeichnet werden. Die Fallzahlen nehmen immer mehr zu und die Angriffe aus dem Internet werden zudem professioneller. Zwar sind Apotheken eher selten Opfer von zielgenauen Angriffen, doch das ist kein Grund zur Entwarnung. Denn gerade sensible Gesundheitsdaten sind für Cyber-Kriminelle besonders attraktiv. Experten gehen davon aus, dass ein einziger Datensatz eines Krebspatienten im Darknet rund 800 Dollar wert ist.

Damit geraten Apotheken – wie auch andere Gesundheitsdienstleister – ins Visier von Hackern. Angriffe erfolgen aber meist indirekt. So werden immer wieder Unternehmen von massenhaft verbreiteten Erpresser-Softwares attackiert und lahmgelegt. Darüber hinaus kommt es bei „Supply-Chain-Angriffen“ zu Dominoeffekten: Cyber-Kriminelle infiltrieren IT-Dienstleister und erhalten Zugriff auf deren Kunden. So können Täter über die scheinbar sichere Apothekensoftware sensible Daten abgreifen oder verschlüsseln und für die „Freigabe“ ein Lösegeld verlangen. Da Apotheken ihre Daten mit Dienstleistern – z.B. für Abrechnungen oder zur Preisermittlung teilen – bieten sich Tätern viele Angriffspunkte.

Internetattacken sind keine Seltenheit. Das verdeutlicht ein kurzer Blick auf einige bekannt gewordene Vorfälle: Im Juli 2021 wurden Server des Landkreises Anhalt-Bitterfeld angegriffen. Aufgrund dieser Attacke konnten unter anderem Gelder nicht ausgezahlt werden. Die Täter verlangten ein Lösegeld zur Beendigung des Angriffs. Im September 2020 legte ein Hack die Düsseldorfer Uniklinik lahm, Anfang 2021 die Urologische Klinik Planegg und im März 2021 erwischte es die Evangelische Klinik in Lippstadt. 2022 traf es unter anderem den Bayreuther Hersteller Medi , der medizinische Hilfsmittel produziert, und den Babynahrungshersteller Hipp. Diese Aufzählung gibt nur einen kleinen Einblick in die Internet-Kriminalität. Nahezu täglich kommen neue Fälle hinzu. Experten gehen laut Statista davon aus, dass es im Jahr 2021 etwa 17,7 Millionen Opfer von Internetangriffen in Deutschland gab.

DSGVO: Hohe Bußgelder, weitreichende Pflichten

Unternehmen, die Opfer von Cyber-Angriffen werden, geraten aber auch durch die Datenschutz-Grundverordnung (DSGVO) unter Druck. Zum einen drohen exorbitante Bußgelder bei Verstößen gegen die DSGVO, zum anderen gelten umfassende Informationspflichten nach einer Verletzung der Informationssicherheit, die von kleinen Unternehmen nur schwer zu erfüllen sind. Konkret müssen nach einer Sicherheitsverletzung innerhalb von 72 Stunden Behörden und Kunden informiert werden. Geschieht dies nicht im vorgegebenen Zeitraum, kommt es laut DSGVO zur Pflichtabgabe an die Staatsanwaltschaft. Diese entscheidet dann, ob sie den Fall verfolgt und ob aus einer Ordnungswidrigkeit ein Straftatbestand wird. Wohlgemerkt: Die attackierte Apotheke gerät ins Visier der Strafverfolgung.

Deshalb empfehlen wir Apotheken Cyber-Versicherungen, die auch Assistance-Leistungen beinhalten. So dass für Apotheken etwa spezialisierte Rechtsanwälte die rechtssichere Information von Behörden und Kunden übernehmen.

Was sollte eine Cyber-Police leisten?

Grundsätzlich gilt, dass eine geeignete Cyber-Versicherung den Schutz von Betriebshaftpflichtversicherungen, Inhaltsversicherungen (oder technischen Versicherungen) und Rechtsschutzversicherungen erweitern muss. Darüber hinaus sollten mindestens vier weitere Komponenten vorhanden sein:
• Revision der IT-Sicherheit in der Apotheke,
• Erhebung des Sachstands im Datenschutz- und QM-Bereich,
• Absicherung des Restrisikos bei Datenschutzverletzungen und
• sofortiger Zugriff auf externe Dienstleister (z. B. IT-Forensik, Fachanwälte).

Der Versicherungsumfang einer apothekengerechten Cyber-Police

Haftpflichtversicherung
Es sollte Versicherungsschutz bestehen für den Fall, dass der Versicherungsnehmer wegen einer Informationssicherheitsverletzung, die einen Vermögensschaden zur Folge hat, aufgrund gesetzlicher Haftpflichtbestimmungen privatrechtlichen Inhalts von einem Dritten auf Schadensersatz in Anspruch genommen wird. Unabhängig davon, ob die Informationssicherheitsverletzung beim Versicherungsnehmer, mitversicherten Unternehmen oder beim Anspruchsteller eingetreten ist.
Folgende Ergänzungen können sich als sinnvoll erweisen:
• Absicherung bei Persönlichkeitsrechts- und Namensrechtsverletzungen,
• Schutz bei Urheber- und Markenrechtsverletzungen und eine
• Versicherung gegen PCI-Vertragsstrafen von E-Payment Service Providern.

IT-Attacken führen sehr leicht auch zu Schäden an Hard- und Software des Opfers. Deshalb sollten auch mögliche Ertragsausfälle versichert sein.

Betriebsunterbrechung
Es sollte ein Versicherungsschutz bestehen für den Fall, dass infolge der Informationssicherheitsverletzung elektronische Daten oder informationsverarbeitende Systeme des Versicherungsnehmers nicht zur Verfügung stehen oder nicht die übliche Leistung erbringen und daraus ein Unterbrechungsschaden entsteht. Zum Unterbrechungsschaden sollten der entgangene Betriebsgewinn und fortlaufende Kosten gehören.

Oftmals sinnvolle Ergänzungen bieten Schutz bei:
• Ausfall des IT-Dienstleisters,
• technischen Hard- oder Softwarefehlern in den Systemen des Versicherungsnehmers,
• Wiederherstellungen von Daten,
• Kosten des Austauschs von Hardware und
• Cyber-Erpressung.

Service und Assistance-Leistungen

Neben einem umfassenden und branchengerechten Versicherungsschutz sollte Ihr Versicherer auch Assistance-Leistungen vorhalten, die Sie im Schadensfall entlasten. Dabei handelt es sich um:
• Notrufnummer für den Krisenfall,
• die Durchführung der gesetzlich geforderten 72-Stunden-Meldungen,
• IT-Forensik/Schadenfeststellung,
• bei Bedarf Call-Center-Leistungen.
• Sofern nötig: Krisenkommunikation und PR-Maßnahmen sowie
• Rechtsberatungskosten im Fall von behördlichen Ermittlungen.

Sie benötigen eine apothekengerechte Cyber-Versicherung? Schreiben Sie uns!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert