Cyberversicherungen

“Brauche ich eine Cyberversicherung?“ Das ist eine Frage die so alt ist, seitdem es Versicherungen gibt. Die Standard-Antwort lautet: „Es kommt darauf an.“ Der „Deutsche“ neigt traditionell zu einer Überversorgung mit Versicherungen. Somit wäre man gut beraten, eine freiwillige Versicherung mit Bedacht zu überlegen. Bei den klassischen Pflichtversicherungen wie z. B. die Berufshaftpflicht-Versicherung oder die Haftpflichtversicherung beim Auto gibt es keine Diskussionen – sie müssen halt sein. Es stellt sich nur die Frage, welcher Versicherer soll es sein und welche Zusatzleistungen und Kosten kommen auf die Versicherungsnehmer zu.

Cyberversicherungen decken hauptsächlich das Restrisiko und somit die finanziellen Folgen von z. B. Cyberangriffen ab. Da der Deliktbereich „Cybercrime“ auch in Deutschland ein Wachstumsmarkt ist, gerät auch die Cyberversicherung mehr in den Fokus der potenziellen Opfer und auch der Angreifer.

Interessanterweise konnte man bereits beobachten, dass Cyberkriminelle – haben sie den Zugriff auf das Opfer-Netzwerk erhalten – bewusst nach Informationen zu Cyberversicherungen und Policen auf den Praxis-Computern suchen. Werden die Täter fündig, durchforsten sie die Versicherungsbedingungen nach der garantierten, maximalen Versicherungssumme und können so einen Erpressungsversuch bzw. Lösegeldzahlung realistischer kalkulieren und verlangen die oder eine ähnliche Summe für Ihre Erpressung. So steigt die Wahrscheinlichkeit, dass das Opfer auch das Lösegeld zahlt.

Hoher Schaden bedeutet gestiegene Beiträge

Die Cyberversicherung als solche ist noch relativ jung und die Versicherer machen zunehmend ihre Erfahrungen in dem Bereich. So haben die Versicherer im letzten Jahr etliche Schadensfälle gehabt und in der Summe war die Cyberversicherung wohl nicht kostendeckend. Die Versicherungsbranche ruft sogar nach dem Staat, sodass dieser sich doch bitte an den hohen Kosten beteiligen möge. Somit sind die Versicherungsbeiträge zum Vergleich 2022 für das Jahr 2023 angestiegen.

Weiterhin sollen einheitliche Cybersicherheitsstandards entwickelt werden. Es gibt zwar im Rahmen des Gesamtverbandes der Versicherer (GDV) Musterbedingungen für eine Cyberversicherungspolice, die aber für die Mitglieder unverbindlich sind. Versicherer stehen im Wettbewerb und grenzen sich gerne vom Mitbewerber ab. Das ist Marktwirtschaft. Die hat jedoch für den Versicherungsnehmer den Nachteil, dass die Verträge der verschiedenen Anbieter schwer vergleichbar sind bzw. viel Zeit für die Vergleiche aufgewendet werden müsste. Auch Vergleichsportale oder Veröffentlichungen der Verbraucherzentralen können nur bedingt helfen.

Die Cyberversicherungen sind regelrechte Pakete die Eigen- und Fremdschaden abdecken können. Die Schäden, die durch Datenschutzverletzungen z. B. bei Verlust oder bei Offenlegung von Patientendaten entstanden sind oder auch Kosten für die Wiederherstellung von Computersystemen und forensische Untersuchungen können als zusätzliche Leistung enthalten sein. Die Finanzierung von Endgeräten aufgrund nicht reparabler Cyberschäden (Kategorie Sachwerte) gehört in der Regel nicht zu den versicherten Leistungen und der Versicherungsnehmer kommt für die Kosten selber auf. Ob auch Bußgelder z. B. von der Landesdatenschutzbehörde in der Deckung inkludiert sind, müsste individuell geklärt werden.

Unser Informationsangebot für
ärztliche und psychotherapeutische Praxen

News

Bleiben Sie auf dem neuesten Stand und lesen Sie unsere Nachrichten aus dem Bereich des digitalen Gesundheitswesens.

Vorfälle & Incidents

Erfahren Sie, welche Datenpannen, Sicherheitslücken sowie technische und organisatorische Mängel in den Praxen offenkundig werden.

Interviews

Experten und Expertinnen werden über verschiedene Themen wie IT, IT-Security, Datenschutz, eHealth und Telematik interviewt.

Ausschlusskriterien einer Deckung

Wie wir selbst von Praxen erfahren haben, zahlt die Cyberversicherung nicht „Alles“, sondern hält sich an die individuellen Versicherungsbedingungen. Zum einen hat sich der Versicherungsnehmer an die Obliegenheiten zu richten. D. h. die Praxis hat Verhaltenspflichten zu erfüllen, um eine mögliche Deckung eines Schadens zu erreichen. Diese Obliegenheiten können sehr unterschiedlich ausfallen. In erster Linie geht es um die Einhaltung der geltenden Gesetze bzw. um die verpflichtenden IT-Security-Maßnahmen, die der Versicherer in den Vertrag aufgenommen hat.

Unserer Erfahrung zeigt, dass je konkreter die umzusetzenden Maßnahmen sind, desto bessere Leitplanken hat die Praxis um die Anforderungen im Detail zu erfüllen. Vorgeschriebene IT-Sicherheitsmaßnahmen die z. B. dem „Stand der Technik“ entsprechen sollen, sind so herrlich unkonkret, weil keine genaue Definition von diesem Stand der Technik festgeschrieben ist. Eine Obliegenheit „Stand der Technik“ wäre somit schwer erfüllbar und die Beweisführung seitens der Praxis wird schwierig.

Auch die Definition eines genauen Auslösers könnte zum Streitfall werden. Ab welchem Szenario genau greift die Cyberversicherung? Hier bedarf es auch konkrete Auslöser. Oftmals ist der sogenannte „Innentäter“- z. B. ein Mitarbeiter oder ein weiterer Niedergelassener in einer Praxisgemeinschaft – in den Cyberversicherungen unberücksichtigt, obwohl diese einen erheblichen Schaden beabsichtigt oder unbeabsichtigt auslösen können.

Angaben in der Risikobewertung

Vor dem Abschluss einer Cyberversicherung führt der Versicherer eine Risikobewertung der Gesundheitseinrichtung durch. In der Regel wird dies durch einen mehr oder weniger umfangreichen Fragebogen durchgeführt. Durch diese Erhebung wird der Stand der IT-Security in der Gesundheitseinrichtung erfasst & bewertet und beeinflusst somit auch die anfallende Jahresprämie. Bestandteil dieser Selbsterhebung ist z. B. der Jahresumsatz der Praxis, ob und welche sensiblen Daten die Praxis verarbeitet, Verarbeitung von Berufsgeheimnissen, ob eine Hardware-Firewall zur Segmentierung der Netzwerke vorhanden ist, ob Privatgeräte in der Praxis-IT eingesetzt werden usw..

Insbesondere die Verarbeitung von besonders schützenswerten Daten wie z. B. Patientendaten aus der Psychotherapie unterliegen speziellen rechtlichen Vorgaben und einer besonderen Sorgfaltspflicht. Zum Beispiel ist laut dem Art. 28 DSGVO der Verantwortliche (Praxisinhaber:In) für die Einhaltung der Vorschriften der DSGVO und weitere Vorschriften verantwortlich, wenn personenbezogene Daten im Auftrag durch Dritte erhoben, verarbeitet oder genutzt werden. Die Nutzung eines Praxisverwaltungsprogrammes in der Cloud wäre eine solche Auftragsverarbeitung, die unbedingt im Erhebungsbogen korrekt beantwortet werden muss.

Beispielhafte Frage: Nutzen Sie einen Dienstleister zur Datenverarbeitung (Auftragsverarbeitung nach Art. 28 DSGVO)?

Wichtig: Jede unvollständige oder falsch beantwortete Frage kann für die Praxis teuer werden. Im schlimmsten Falle ist die Deckung eines IT-Vorfalls nicht gewährleistet. Über relevante Änderungen oder Neuerungen sollte der Versicherer stets auf dem Laufenden gehalten werden.

Fazit

Da die Cybergefahren zur Massenkriminalität mutiert, die zunehmende Vernetzung innerhalb der Telematik fortschreitet, ein daraus ein resultierender Verlust der digitalen Selbstständigkeit bzw. der digitalen Patientendaten-Souveränität führt, hat die Praxis immer weniger Gestaltungsspielraum die IT-Sicherheit auf Ihre Bedürfnisse zuzuschneiden und die Risiken steigen. Eine Cyberversicherung kann somit eine sinnvolle Ergänzung sein.

Allgemein kann man zusammenfassend sagen, dass eine Cyberpolice das potentielle Restrisiko trägt. D. h., wenn trotz aller vorgeschriebenen und nachweislich umgesetzten Sicherheitsmaßnahmen ein IT-Vorfall zu beklagen wäre, dann ist eine Deckung zu erwarten. Somit taugt eine Cyberversicherung nicht als Ersatz für die notwendigen Investitionen in den Datenschutz und Datensicherheit.

Der Nachweis eines professionellen IT-Service mit Maßnahmen zur Aufrechterhaltung und kontinuierlichen Verbesserung der IT-Sicherheit wird in der Regel durch ein Testat oder Zertifikat belegt. So kann die Praxis im Ernstfall nachweisen, dass die erforderlichen Sicherheitsmaßnahmen nicht nur umgesetzt, sondern auch regelmäßig gepflegt und geprüft werden.

TIPP: Geben Sie bei Abschluss des Versicherungsvertrages Ihren zuständigen IT-Sicherheitsbeauftragen oder Datenschutzbeauftragen falls möglich an, sodass dieser im Ernstfall den Versicherungsfall mit betreuen/beurteilen könnte.

Haben Sie eine Frage?

Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.

Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.

Copyright 2024. daten-strom.Medical-IT-Services GmbH
Einstellungen gespeichert
Datenschutzeinstellungen

Diese Website verwendet Cookies, um Ihnen einen sicheren und komfortablen Website-Besuch zu ermöglichen. Entscheiden Sie selbst, welche Cookies Sie zulassen wollen.

Einige Cookies sind für die Funktionalität dieser Website notwendig (Erforderlich), andere Cookies dienen der Nutzung externer Medien (Extern).

Sie können der Nutzung aller Cookies zustimmen (Alle akzeptieren), technisch zwingend notwendige Cookies auswählen (Nur erforderliche Cookies erlauben) oder Ihre eigene Auswahl vornehmen und speichern (Auswahl akzeptieren).

Mehr Informationen finden Sie unter Datenschutz. Sie können die Datenschutz-Einstellungen für diese Website jederzeit nachträglich anpassen.

You are using an outdated browser. The website may not be displayed correctly. Close