Interview des Monats

Die VersicherungsPraxis24 im Gespräch mit:

 

Peter Graß, Cyberversicherungsexperte beim GDV

Vor Cyberangriffen ist niemand sicher

Autorin: Susanne Görsdorf-Kegel

Mit der zunehmenden Digitalisierung unserer Welt häufen sich die Angriffe auf elektronisch gespeicherte Daten und längst ist daraus ein neues Bedrohungspotenzial entstanden, wie die mediale Berichterstattung zeigt. Das betrifft aber nicht nur Großunternehmen und besonders exponierte Politiker, sondern es ist ein Phänomen, das sich durch die gesamte Gesellschaft zieht. Für die Versicherungswirtschaft bedeutet das, dass dadurch neue Risiken entstanden sind, auf die mit neuen Angeboten reagiert werden muss. Schon frühzeitig hat sich deshalb der Gesamtverband der Versicherungswirtschaft (GDV) damit beschäftigt. Vor kurzem hat er erneut eine aktuelle Studie vorgestellt, die sich mit den Cyberrisiken in Arztpraxen beschäftigt. Über deren Ergebnisse und generell über das Thema Cyberversicherung sprach die Versicherungspraxis24 mit Peter Graß, dem Cyberversicherungsexperten beim GDV.

Der GDV hat vor kurzem eine Untersuchung vorgestellt,  die sich mit den Cyberrisiken bei Arztpraxen befasst – was sind die wichtigsten Ergebnisse?

Graß: Das größte Problem für die Cybersicherheit von Arztpraxen liegt heute darin, dass Ärzte ihr Risiko unterschätzen. Viele unterliegen gefährlichen Irrglauben – der eine meint, seine Praxis sei zu klein, der zweite denkt, Patientendaten wären für Cyberkriminelle nicht interessant, der nächste hält seine Praxis für umfassend geschützt. Aber nichts davon stimmt, ganz im Gegenteil: Ärzte sind eine gut erpressbare Zielgruppe. Sie gehen mit sehr sensiblen Daten um und können ohne funktionierende IT kaum noch vernünftig arbeiten. Trotzdem gehen viele Ärzte mit dem Thema IT-Sicherheit geradezu fahrlässig um. Bestes Beispiel: Die von uns untersuchten Arztpraxen verwendeten zu 90 Prozent sehr leicht zu erratende Passwörter wie „Behandlung“ oder den Namen des Arztes, manche hatten gar keinen Passwortschutz. Das geht nicht!

Ist das in erster Linie ein Thema, für das sich die Ärzte interessieren sollten oder sind davon auch die Patienten betroffen?

Graß: Grundsätzlich haben Hacker zwei gute Möglichkeiten, Ärzte zu erpressen: Entweder sie legen die Systeme lahm, verschlüsseln alle Daten und fordern Lösegeld für die Entschlüsselung. Oder sie sperren die Patientendaten nicht einfach, sondern stehlen sie und drohen mit der Veröffentlichung. Das ist der Super-Gau, vor allem für das Vertrauensverhältnis zwischen dem Arzt und seinen Patienten. Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt, nicht umsonst stuft sie der Gesetzgeber als besonders schützenswert ein. Das Strafgesetzbuch sieht sogar Freiheitsstrafen vor, wenn vertrauliche Angaben von Patienten ohne deren Einwilligung öffentlich gemacht werden. Gerade deshalb bräuchten Ärzte, Apotheken und Kliniken besonders sichere Computersysteme.

Aber Arztpraxen sind ja in der Regel meist kleine Unternehmen mit begrenzten Möglichkeiten, in die IT zu investieren  – sind große Unternehmen eher vor Cyberrisiken geschützt?

Graß: Bei großen Konzernen kümmert sich in der Regel die eigene IT-Abteilung um die Cyberrisiken. Und trotzdem schaffen es Hacker auch dort immer wieder, in die Systeme zu kommen, wie jüngst das Beispiel von Norsk Hydro gezeigt hat. Im Mittelstand ist das Bild sehr uneinheitlich. Auf die reine Unternehmensgröße kommt es weniger an als auf die jeweils gelebte Risikokultur. Ist das Thema Chefsache? Werden die Mitarbeiter regelmäßig geschult und für die Risiken sensibilisiert? Gibt es klare Strukturen und Zuständigkeiten für die IT-Sicherheit und vielleicht sogar einen Plan für den Notfall? Dann sind natürlich auch die Chancen höher, Angriffe abzuwehren und die Folgen einer erfolgreichen Attacke zu minimieren.

Das Thema Cyberrisiken betrifft ja natürlich nicht nur Arztpraxen und Unternehmen aller Größenordnungen - wie sieht es denn beispielsweise mit den Risiken der Endverbraucher aus? Reicht es aus, wenn sie eine aktuelle Antiviren-Software auf ihrem Computer installiert haben?

Graß: Das ist schon mal ein guter Anfang – wenn dieser Schutz und auch das Betriebssystem regelmäßig aktualisiert werden. Viele Updates dienen dazu, gefundene Sicherheitslücken zu schließen und sollten daher so schnell wie möglich installiert werden. Das Wannacry-Virus zum Beispiel nutzte 2017 eine Sicherheitslücke aus, die bekannt war und für die es auch schon ein Update gab. Und trotzdem konnte das Virus noch sehr viele Systeme befallen.

Eine Möglichkeit, sich gegen die Folgen von Cyberangriffen zu schützen, ist sicher der Abschluss einer Cyberversicherung. Kann die grundsätzlich jeder abschließen oder gibt es Mindestanforderungen von Seiten der Versicherer an die Kunden, damit sie ihnen Deckung gewähren?

Graß: Jeder Versicherer entscheidet selbst und ganz individuell, welchen Kunden er unter welchen Bedingungen eine Cyberdeckung anbieten kann und möchte. Der GDV hat in seinen unverbindlichen Musterbedingungen aber mögliche Obliegenheiten genannt. Dazu gehört unter anderem, dass starke Passwörter verwendet werden, jeder Nutzer einen individuellen Zugang erhält, Updates unverzüglich eingespielt und regelmäßig Sicherungskopien aller Daten erstellt werden. Wer als potenzieller Kunde selbst überprüfen möchte, wie gut seine IT-Sicherheit ist, findet unter gdv.de/cybercheck einen Online-Cybersicherheitscheck. So kann man in wenigen Minuten herausfinden, wo Schwachstellen existieren und wie diese geschlossen werden können.

Diese Richtlinien für eine Cyberversicherung wurden ja bereits 2017 erarbeitet und vorgestellt – haben die sich mittlerweile auf dem Markt durchgesetzt und sind sie noch aktuell oder planen Sie eine Aktualisierung?

Graß: Unverbindliche Musterbedingungen des GDV haben zwei Funktionen: Erstens sind sie für Versicherer eine Art Gerüst, ein Bauplan. Jeder Versicherer kann damit Cyberpolicen für seine Kunden erstellen. Aber natürlich bieten die Versicherungen trotzdem nicht alle dasselbe an, dafür sorgt der Wettbewerb auf dem freien Markt. Und damit sind wir bei der zweiten Funktion: Die Musterbedingungen fungieren für Makler und für Kunden als eine Art „Ur-Meter“. An diesem „Ur-Meter“ können sich alle Marktteilnehmer orientieren und feststellen, ob ein konkretes Versicherungs-Angebot nur ein Teilstück des „Ur-Meters“ abbildet oder ob es vielleicht sogar darüber hinausragt. In diesem Sinne erfüllen die unverbindlichen Musterbedingungen mit den drei Bausteinen, nämlich der Eigenschaden-Versicherung, der Drittschaden-Versicherung und dem Service-Baustein ihren Zweck aus unserer Sicht sehr gut.

Wie sieht das Angebot an Cyberversicherungen auf dem deutschen Markt aktuell denn konkret aus – reicht es aus oder gibt es Schwachstellen und Lücken?

Graß: Das Angebot hat sich sehr dynamisch entwickelt. Wir zählen derzeit mindestens 40 Anbieter von Cyberversicherungen auf dem deutschen Markt, das Marktvolumen hat sich nach unserer Einschätzung im Vorjahr mindestens verdoppelt. Wir erwarten in diesem Segment auch in den kommenden Jahren starkes Wachstum. Wie dieses Wachstum genau ausfallen wird, können wir als Verband natürlich nicht vorhersagen.

Und wie sieht es mit dem Know-how der Vermittler aus – ist das Thema Schutz vor Cyberrisiken bei den Maklern schon angekommen?

Graß: Cyberrisiken sind ohne Zweifel ein Wachstumsfeld, das wissen auch die Vermittler. Allerdings gilt auch hier – wie auch bei allen anderen Parteien, d.h. Versicherern und Kunden, –  dass man sich ein gewisses Know-how aufbauen muss, um gut beraten zu können. Und das geht nicht von heute auf morgen.