Häufung von Cyber-Attacken: was kommt als nächstes?

Die Medien haben Hochkonjunktur mit Horrormeldungen: Tankstellen haben kein Benzin mehr, Supermärkte schließen und jetzt werden ganze Stadtverwaltungen lahmgelegt.
Immer häufiger ist der "Faktor Mensch" der Ausgangspunkt der Katastrophen: Sicherheits-Updates werden nicht rechtzeitig durchgeführt, digitale Schnittstellen werden fehlerhaft installiert oder aktualisiert, verseuchte USB-Sticks werden verwendet oder infizierte E-Mails werden geöffnet.
 Die Untersuchungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) machen es deutlich: bis zu 50% der Mitarbeitenden in einer Organisation sind nicht informiert, geschweige denn zu Informationssicherheit und Cyberschutz ausgebildet. Dabei können schon 20 Minuten pro Monat reichen, um mit cloudbasierten Coaching-Systemen die Mitarbeiter über Smart-Phones oder Tablets zu erreichen und professionell vorzubereiten: geringer Aufwand mit großer (Schutz)-Wirkung. Wann wird das erkannt und vor allem umgesetzt? Es ist wohl eine Minute vor 12. 

Leider werden die Cyberrisiken oftmals unterschätzt und ein Großteil der auftretenden Schäden verursachen unwissende Mitarbeiter. Es besteht dringender Handlungsbedarf. Die neuen cloudbasierten Managementsysteme helfen sofort weiter, sparen Zeit und sind sehr preiswert. Vorbeugen ist besser als heilen.

Die Digitalisierung im Gesundheitswesen leitet einen Paradigmenwechsel ein. Beschleunigt wird dieser lange überfällige Prozess durch die Herausforderungen der Pandemie. Der Gesetzgeber hat deutliche Zeichen gesetzt und gesetzliche Entwicklungen wie nie zuvor für die Digitalisierung im Gesundheitswesen eingeleitet.

Ärzte bieten inzwischen ihren Patienten Videosprechstunden an, verordnen Gesundheits-Apps, stellen Medikamentenrezepte elektronisch aus und jetzt bieten auch die gesetzlichen Krankenversicherungen die elektronische Patientenakte über die Ärzte an.

Die Telematikinfrastruktur als neue Plattform des Gesundheitswesens verändert die Arbeitswelt der 5,7 Millionen Beschäftigten im Healthcare-Bereich dramatisch. Technische Strukturen und Abläufe ändern sich. Das gilt auch für die Anforderungen an IT-Sicherheit und Cyberschutz.

Nach dem Digitale Versorgung Gesetz (DVG) ist die Kassenärztliche Bundesvereinigung (KBV) im Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verpflichtet worden, eine bindende Richtlinie zur Sicherung der sensiblen Patientendaten zu veröffentlichen. Diese tritt am 1. April 2021 in Kraft und regelt die technischen und organisatorischen Maßnahmen für Arzt-, Zahnarztpraxen, medizinische Versorgungszentren und Kliniken.

In der Richtlinie ist auch der Abschluss von Versicherungen zum Schutz vor Cyberschäden vorgesehen. Das Segment der Cyber-Versicherungen in der medizinischen Versorgung wird nach Ansicht der Fachleute der größte Wachstumsmarkt in der Versicherungsbranche in den kommenden fünf Jahren. Wachstumsraten zwischen 70% - 80% sind zu erwarten, da bislang nur etwa 12% der Ärzte eine ausreichende Cyber-Versicherung abgeschlossen haben.

Allerdings ist der Schutz für die Ärzte nur mit speziellen Präventions- und Monitoringsystemen gewährleistet, da die Anforderungen für IT-Sicherheit zu 70% branchenspezifisch und nicht vergleichbar mit beispielsweise dem KMU-Markt sind. Die klassische Phishing-Schutzmaßnahme spielt im Gesundheitswesen kaum eine Rolle, da über 90% der Mitarbeitenden keinen Zugang zu E-Mails in der Praxis oder Klinik haben. Dagegen liegen die IT-Sicherheitsrisiken in den Anwendungen von Videosprechstunden, Verordnungen von Gesundheits-Apps, Medizintechnik-Schnittstellen und sektorübergreifenden wissenschaftlichen Studien und Qualitätssicherheitsprojekten.

Bis 2025 wird das Prämienvolumen für Cyber-Versicherungen im Healthcare-Bereich die 200 Millionen Euro-Grenze überschreiten und damit 18% - 20% des Gesamtmarktes der Cyber-Versicherungen ausmachen.

Allerdings stellt dieser große Nischenmarkt auch hohe Anforderungen an die Beratung. Die klassischen Argumente für Cyberschutz für beispielsweise KMU und Selbstständige sind wenig relevant. Kenntnisse des medizinischen Umfelds sind erforderlich, um Ärzte zu sensibilisieren und seriös zu beraten.