Lohnen sich Cyber-Versicherungen für Apotheken?

Welchen Stellenwert haben Cyber-Versicherungen generell für Apotheken? Gegenüber der DAZ äußert sich ein Spezialist für Informationssicherheit, der unter anderem Arztpraxen und MVZ berät. Er persönlich hält Cyber-Versicherungen für nicht grundsätzlich verkehrt. Auch Apothekeninhaberinnen und -inhaber könnten von bestimmten Versicherungsleistungen profitieren, doch dies würde sie gleichzeitig nicht von der Verantwortung entbinden, sich gegen Datenverlust und -missbrauch zu schützen. „Sollten Kunden- und Patientendaten durch ein Leck oder einen Angriff verloren gehen, dann spielt Geld nur eine sekundäre Rolle“, so der Sicherheitsexperte. Vielmehr sollten Abwehrstrategien und Backup-Lösungen zuvor eingerichtet worden sein, um die Katastrophe überhaupt zu verhindern und das Ausmaß zu minimieren. Eine Investition in Cybersicherheit bedeute also mehr als nur den Abschluss einer Versicherung.         

Im Falle eines Falles seien Drittschäden wie die Schadensersatzforderungen von Kunden nur die eine Seite. Viel gravierender und länger andauernd würde der Image- bzw. Reputationsverlust auf das Unternehmen wirken. Darüber hinaus entstehen Kosten durch die Datenwiederherstellung und Systemrekonstruktion. Ob eine Versicherung tatsächlich einspringe, wenn der Apothekenbetrieb über Tage oder Wochen unterbrochen werden muss, hält der Experte für fraglich. Geht es um kriminelle Handlungen, also einen sogenannten Hacker-Angriff, müssten Betroffene unter Umständen zunächst die Kosten für die Analyse, Beweissicherung und Schadensbegrenzung selbst tragen. Außerdem entstehen Anwalts- und Prozesskosten. Hier sei die Cyber-Versicherung wie eine Rechtsschutzversicherung anzusehen, und daher sollte man nachprüfen, ob diese Leistungen bereits durch bestehende Rechtsschutzversicherungen angeboten werden.           

Einige Unternehmen machen offenbar einen großen Bogen um Cyber-Versicherungen

Der IT-Spezialist kennt einige Unternehmen, die einen großen Bogen um Cyber-Versicherungen machen und das Risiko von Cyber-Kriminalität lieber vollständig selbst tragen – „natürlich nicht, ohne zuvor in eine entsprechende Sicherheitsarchitektur investiert zu haben“, ergänzt er. Der Hintergrund: Sollten Kriminelle Lösegeld für die Herausgabe der gekidnappten Daten erpressen, dann zahlen die Unternehmen die Summe unmittelbar selbst aus einer zuvor eingerichteten (schwarzen) Kriegskasse. So müsste keine Versicherung oder Ermittlungsbehörde kontaktiert werden. Der Fall würde nicht öffentlich und ein Imageschaden könnte verhindert werden. Keinesfalls dürfe bei den betroffenen Unternehmen die Ansicht entstehen, dass es sich gar nicht um Lösegeld, sondern um eine Art Dienstleistungshonorar handle, weil der Datendiebstahl auf wichtige Schwachstellen im jeweiligen IT-System hinweisen würde.

Und der IT-Experte warnt darüber hinaus vor der naiven Vorstellung, Unternehmer und Datendiebe könnten ein symbiotisches Verhältnis führen: „Ein kompromittiertes System ist nicht mehr vertrauenswürdig! Alle Daten und alle Programme können manipuliert worden sein und dazu führen, dass Informationen weiterhin an Dritte weitergegeben werden.“ Daher müssten nach einem solchen Vorfall zwingend Maßnahmen durchgeführt werden. Vor diesem Hintergrund könnte eine Cyber-Versicherung, die all diese Leistungen abdeckt, durchaus nützlich sein, so der Spezialist für Informationssicherheit. Doch er rät Apothekeninhabern und -inhaberinnen, Cyber-Security als Ganzes zu betrachten und eher in effek­tive Sicherheitsmaßnahmen als in Versicherungen zu investieren.