Michael Quinche, 40-jährig (Bild), ist seit 2010 Versicherungsberater bei der Ärzteberatung ABC. Nach etlichen Berufsjahren im Informatikbereich wechselte er in die Versicherungs- und Finanzbranche. Er erwarb das Diplom des dipl. Finanzberater IAF(Interessengemeinschaft Ausbildung im Finanzbereich). Dank seiner beruflichen Erfahrung in der Informatik ist es ihm ein besonderes Anliegen, dass sich Arztpraxen der Cyberrisiken bewusst sind und dass sie diese im Rahmen ihres gesamten Versicherungspakets optimal versichern. Im Gespräch mit den «ABC-E-News» zeigt er auf, was im Bereich der Cyberrisiken und deren Absicherung besonders zu beachten ist.
Michael Quinche, weshalb sollte jede Arztpraxis und jede medizinische Einrichtung eine Cyberversicherung abschliessen?
Michael Quinche: Heute ist alles vernetzt. Durch die allgegenwärtige Vernetzung steigt das Risiko, dass man angegriffen wird. Zumal sich die Angreifer, die Hacker, laufend weiterentwickeln und eine regelrechte Industrie geschaffen haben. Mittlerweile kann jede interessierte Person im einschlägigen Teil des Internets Malware erwerben, mit der ohne grosse Kenntnisse sehr einfach Cyberangriffe ausgelöst werden können. Viele Unternehmen oder Arztpraxen denken, sie seien zu klein, um ein interessantes Ziel zu sein. Das ist falsch, denn die Angriffe werden auf die breite Masse abgefeuert, so dass es jedes Unternehmen, jede Arztpraxis und jede Privatperson treffen kann. Erst wenn ein Angreifer erfolgreich in ein Gerät oder ein System eingedrungen ist, schaut er sich um, mit wem er es zu tun hat. Das kann ein grosses Unternehmen sein oder eine Arztpraxis oder eine Privatperson. Bei jedem Opfer wird dann abgeschätzt, wie man es am besten erpressen kann.
Nehmen wir an, es habe eine Arztpraxis getroffen. Was bieten dann Cyberversicherungen in der Regel?
Michael Quinche: Nach einem Cyberangriff bieten die Cyberversicherungen mehrere Leistungen:
- Forensikkosten: Cyberversicherungen haben spezialisierte Teams, die bei einem Angriff versuchen, zu retten, was zu retten ist. Es wird gesucht, wo das Virus sich eingenistet hat, welche Geräte betroffen sind, und wie man das Virus allenfalls wieder entfernen kann.
- Krisenkommunikation: Die Cyberversicherung deckt die Kosten zur Information von Patienten und Kunden über das Ausmass des Cyberangriffs.
- Kosten für die Wiederherstellung der Systeme: Diese werden von der Cyberversicherung entschädigt. Auch wenn die Arztpraxis für eine Zeit geschlossen werden muss und in dieser Zeit ein Umsatzausfall entsteht, kann dieser Umsatzausfall versichert werden.
- Teilweise gibt es Versicherer, die auch die Lösegeldforderung versichern. Aber: Ob Lösegeld bezahlt wird, ist immer ein Entscheid, der zusammen mit der versicherten Arztpraxis gefällt wird.
- Auch das Umleiten von Überweisungen auf ein fremdes Konto kann in einer Cyberversicherung mitversichert werden.
- Zusätzlich können auch die Haftpflicht und Rechtsstreitigkeiten, beispielsweise beim Diebstahl von Patientendaten, versichert werden. Hier lohnt es sich jedoch zu prüfen, ob dies nicht bereits in der Berufshaftpflicht respektive in der bestehenden Rechtsschutzversicherung eingeschlossen ist.
- Einige Cyberversicherer bieten zusätzlich auch Tools an, mit denen die Mitarbeitenden im Bereich der Abwehr von Cyberangriffen geschult werden können.
Das alles sind Beispiele, was versichert werden kann. Natürlich ist immer der individuell gewählte Versicherungsschutz massgebend. Kommt dazu: Die Cyberversicherung arbeitet nach einem Cyberangriff mit dem IT-Partner der Arztpraxis zusammen und entschädigt diesen für Sonderaufwendungen.
Was unterscheidet die verschiedenen Cyberversicherungen im Markt?
Michael Quinche: Der am einfachsten zu erkennende Unterschied ist natürlich die Prämie. Doch man muss stets vorgängig überlegen, welche Punkte man wirklich versichern will. Anschliessend sollte man ein Angebot anfordern und nochmals prüfen, ob die gewünschten Deckungen eingeschlossen sind. Übrigens: Schon bei der Offertanfrage unterscheiden sich die Versicherer enorm. Die meisten Versicherer haben einen Fragebogen, den man ausfüllen muss, damit die Versicherung einem ein Angebot für die Cyberversicherung macht. Manche Versicherer haben hierbei Fragen, bei denen man zu Beantwortung seinen IT-Spezialisten beiziehen muss.
Gegen Cyberangriffe sollte man seine praxiseigene Informatik mit den jeweils modernsten Schutzmassnahmen selbst bestmöglich schützen. Was verlangen die Cyberversicherungen in diesem Bereich und gibt es Unterschiede?
Michael Quinche: In der Tat gibt es grosse Unterschiede, welche Schutzmassnahmen die Versicherer verlangen. Es ist enorm wichtig, die von der Cybersicherung verlangten «Obliegenheiten» zu kennen und entsprechend umzusetzen. Werden die verlangten Obliegenheiten» nicht eingehalten, kann es sein, dass der Versicherer die Kosten nach einem Cyberangriff nicht bezahlt. Dann bleibt man trotz bezahlter Prämie auf den Kosten sitzen. Grundsätzlich setzen meines Wissens alle Versicherer die folgenden «Obliegenheiten» voraus: Systeme und Programme durch die jeweils jüngsten Updates auf dem aktuellen Stand halten, aktiver Antivirenschutz, aktive Firewall, regelmässige Backups aller Daten an einem externen Standort, Zweifaktorauthentifizierung bei Überweisungen.
Es gibt Versicherer, die im Kleingedruckten noch eine Fülle weiterer Voraussetzungen haben. Diese Voraussetzungen sind im Sinne der IT-Sicherheit grundsätzlich sinnvoll. Doch in einer Arztpraxis sind diese häufig nicht mit einem realistischen Aufwand umsetzbar. Deshalb sollte man einen Versicherer mit «Obliegenheiten» wählen, die in der Arztpraxis problemlos umgesetzt werden können.
Ist bei den All Risk-Versicherungen für Arztpraxen und andere medizinische Einrichtungen die Cyberversicherung eingeschlossen?
Michael Quinche: Es gibt All Risk-Versicherungen, die einen gewissen Grundschutz für Cyberattacken einbeziehen. Dabei handelt es sich allerdings nicht um eine vollwertige Cyberversicherung: Die Versicherungssumme ist tiefer als bei einer Cyberversicherung. Und es sind nur die Wiederherstellungskosten und gegebenenfalls Mehrkosten versichert, nicht aber die weiteren Kosten wie der Umsatzausfall oder die Kosten für die Krisenkommunikation. Deshalb gilt: Man prüfe den von der All Risk-Versicherung gebotenen Cyberversicherungsschutz und überlege sich, ob eine zusätzliche Cyberversicherung sinnvoll ist.
Ihre ultimativen Ratschläge an die Arztpraxen und medizinischen Einrichtungen im Zusammenhang mit Cyberangriffen?
Michael Quinche:
- Die IT-Infrastruktur sichern: Die IT-Infrastruktur sollte regelmässig mit dem IT-Partner überprüft und abgesichert werden. Dabei sollte man auch auf neu erschienene Risiken achten. Ausserdem kann es auch ohne Attacken von aussen einen technischen Defekt geben, so dass die Informationstechnologie IT plötzlich nicht mehr funktioniert.
- Schulung und Sensibilisierung der Mitarbeitenden: Die Mitarbeitenden sind bei Cyberangriffen das häufigste Einfallstor für die Angreifer. Durch regelmässige Schulungen und Sensibilisierung können die Risiken minimiert werden.
- Notfallplan: In vielen Praxen gibt es eine Liste mit Notfallnummern für die Ambulanz, die Feuerwehr und so weiter. Doch gibt es auch einen Notfallplan, wer zu informieren ist, wenn plötzlich die Informationstechnologie IT ausfällt? Ist die Telefonnummer des IT-Partners für jedermann ersichtlich aufgeschrieben und in den Handys gespeichert? Sind die Passwörter analog vorhanden, so dass man bei Bedarf darauf zurückgreifen kann?
Lesen Sie auch: «Hackerangriff: Schützen Sie sich jetzt vor finanziellen Folgen!»