Cybervirus in der Arztpraxis – Hier hilft kein Medikament!

Was haben Easyjet, Australien, der Deutsche Bundestag und das FBI mit einer Arztpraxis gemeinsam? Alle wurden schon Opfer eines Cyberangriffs bei dem es sich um erpresserischen Datendiebstahl, (Wirtschafts-)spionage oder Sabotage handelte. Jeder Freiberufler kann entsprechend betroffen sein, unabhängig davon ob es sich dabei um eine ländliche Einzelpraxis oder ein MVZ mit 50 Mitarbeitern handelt. 60% aller Cyber-Vorfälle werden übrigens durch Mitarbeiter verursacht – und dies zumeist aus Unwissenheit oder Unachtsamkeit.

Ein Praxisbeispiel

Eine Auszubildende hat eine E-Mail mit dem Betreff „Bewerbung als MFA“ geöffnet. Dadurch wurde dem Trojaner der Weg ins IT-System der Praxis geöffnet. Das Schadprogramm verschlüsselte alle Patientendaten der Arztpraxis. Die Wiederherstellung von Software und Patientendaten war erst nach Zahlung eines „Lösegeldes“ in Bitcoin möglich. Bis zur Zahlung blieb die Praxis für gut zwei Wochen geschlossen. Dieses Beispiel zeigt, dass nicht nur Themen wie Telemedizin oder die Vernetzung von räumlich getrennten Praxen über ein System von Cyberrisiken betroffen sein können. Und hier noch weitere Beispiele Cyber – Schadensfälle aus der Praxis.

Welche Fragen stellen sich nach einem Cyberangriff? Was ist zu beachten?

• Wer trägt die Kosten, wenn Sie und Ihre Praxis Opfer eines Hackerangriffs werden?
• Wer haftet bei Datenrechtsverletzungen durch Verlust von Patientendaten und reguliert den entstandenen Schaden?
• Wie sichert man sich gegen finanzielle Einbußen ab, wenn die Praxis IT-Infrastruktur ausfällt und Ihre Internetseiten vorübergehend offline gehen müssen?

Grundsätzlich muss heutzutage jeder, der personenbezogene Daten verarbeitet, mit Angriffen auf seine IT-Infrastruktur rechnen. Viele Ärzte glauben, dass sie nichts zu befürchten haben, weil ihre Praxis zu klein oder ihre Patientendaten nicht weiter interessant sind. Wenn das IT-System oder die Software spezieller medizinischer Geräte einer Arztpraxis „gehackt“ oder mit einem Schadprogramm infiziert wird, kann das nicht nur zu einem Stillstand im Praxisablauf führen, sondern auch noch weitreichendere Probleme mit sich bringen. Der Arzt ist bei einem Hackerangriff, bei welchem Patientendaten an Dritte gelangen, gesetzlich verpflichtet (BDSG § 42a), unverzüglich der zuständigen Aufsichtsbehörde sowie allen Betroffenen den Vorfall mitzuteilen. Der Verlust oder „die entwendeten“ Patientendaten können somit immer mit einem Vertrauensverlust und Angst der Patienten vor einer Veröffentlichung der sensiblen persönlichen Daten im Internet einhergehen. Gesundheitsdaten sind „begehrte Ware. Die Verfügbarkeit der Patientendaten ist für die Behandlung unverzichtbar. Jeder Praxisinhaber ist durch das Bundesdatenschutzgesetz (§ 9 BDSG) sowie durch andere Datenschutzgesetze verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um seine Patientendaten zu schützen. Damit besteht eine gesetzliche Pflicht zum strengen Datenschutz. Wer diese Verpflichtung nicht ernst nimmt geht ein hohes, unter Umständen ein für die Arztpraxis existenzbedrohendes Risiko, ein.

Trotz allem stoße ich bei einigen Ärzten in der Beratung zur finanziellen und organisatorischen Absicherung im Falle eines Hackerangriffs auf nicht gerade offene Ohren. Oft mit dem Argument „Mein IT-Fachmann sagt, dass mein System mit Firewall und ähnlichem sicher ist und immer aktuelle Datensicherungen gemacht werden.“ Leider hilft auch eine Datensicherung nicht, sofern diese ebenfalls mit einem Virus infiziert ist.

Welche Schäden können entstehen?

Die eintretenden Schäden sind vielfältig und nicht unbedingt absehbar. Der Verlust und die Wiederherstellung von Patientendaten, aber auch Umsatzausfälle auf Grund der Betriebsunterbrechung sowie die Nichtverfügbarkeit der Daten sind mögliche Schadensfälle. Grundsätzlich kann zwischen Dritt- und Eigenschäden unterschieden werden. Drittschäden sind Schäden, die einer anderen Partei (Patienten, Geschäftspartnern aber auch Mitarbeitern) entstehen. Darunter fallen u.a. Schäden aus Informationssicherheitsverletzungen wie Datenschutzverletzungen, Datenvertraulichkeitsverletzungen oder Netzwerksicherheitsverletzungen. Diese sind übrigens normalerweise nicht über die eigene Berufshaftpflichtversicherung abgedeckt. Eigenschäden sind Schäden, die dem Praxisinhaber bzw. der Praxis selbst entstehen. Kurzfristig sind hier sicherlich der unmittelbare Umsatzausfall und eine sehr belastende Zeit durch Unsicherheit und den Stillstand der Praxis zu beklagen. Mittel- und langfristig wiegt unter Umständen aber der Vertrauensverlust der Patienten durch die mögliche Verbreitung der vertraulichen Patientendaten viel schwerer.

Fazit

Das Thema sollte frühzeitig von allen Seiten beleuchtet werden. Notfallpläne, Mitarbeiter Schulungen, kompetente Unterstützung durch IT-Fachleute und ggf. auch Anwälte im Schadensfall sowie die finanzielle Absicherung sind unabdingbar. Sofern noch nicht geschehen ist rasches Handeln also ratsam. Dies spart bei einem (erfolgreichen) Cyberangriff Zeit, Nerven und nicht zuletzt auch Geld.