Hackerangriffe haben nach wie vor Konjunktur (siehe Infokasten). Angesichts des Risikos wäre zu erwarten, dass die meisten Krankenhäuser gegen Cyberangriffe versichert sind. Viele Gesundheitseinrichtungen haben jedoch keine entsprechende Police – weil sie entweder „nicht versicherungsfähig“ sind oder weil sie sich aus unterschiedlichsten Gründen gegen eine Cyberversicherung entschieden haben.

„Die Universitätsmedizin Frankfurt verfügt derzeit über keine Cyberversicherung. Nach einer erneuten Prüfung sind wir zu dem Schluss gekommen, dass aktuell keine für uns wirtschaftlich sinnvolle Versicherungsleistung am Markt verfügbar ist“, teilt Christoph Lunkenheimer, Pressesprecher der Unimedizin, mit. Das Frankfurter Universitätsklinikum war im Herbst 2023 Opfer eines Angriffs mit Erpressersoftware geworden und hat danach Vorkehrungen zur Cybersicherheit getroffen.

Ein Markt für Spezialisten 

Andere Krankenhäuser neigen nach einem Vorfall dazu, sich zu einer Versicherung durchzuringen. „Der Anteil der Unternehmen, auch im Gesundheitssektor, die sich um eine Cyberversicherung kümmern, nimmt zu“, sagt Johannes Vakalis, Senior-Fachbetreuer für den Vertrieb bei Ecclesia, einem unter anderem auf Kirchen und das Gesundheitswesen spezialisierten Versicherungsmakler. Allerdings bieten viele große Versicherer, die auch Krankenhäuser zu ihren Kunden zählen, keine Cyberversicherung an. „Ein namhafter Versicherer hat sich kürzlich aus dem Markt zurückgezogen, dafür kommen neue Anbieter dazu“, berichtet Johann Ulferts, Mitglied der Geschäftsleitung Funk Hospital-Versicherungsmakler. „Grundsätzlich bleiben genügend Risikoträger, die Cyberversicherungen anbieten können. Die entscheidende Frage ist dann jedoch, zu welchen Konditionen. Dies betrifft sowohl die Inhalte als auch den Preis.“

Der Anteil der Unternehmen, auch im Gesundheitssektor, die sich um eine Cyberversicherung kümmern, nimmt zu.

Günstig ist eine Cyberversicherung nicht. Die starke Zunahme der Schadenereignisse haben dazu geführt, dass sich die Prämien innerhalb kurzer Zeit verdoppelt oder sogar verdreifacht haben. Die Höhe der Versicherungsprämie ist abhängig von vielen Faktoren wie etwa dem Umsatz oder der Bettenzahl – eine Richtgröße, an der sich Hacker gerne orientieren: Je mehr Patienten behandelt werden, desto mehr Patientendaten gibt es zu erbeuten.

Auch der Reifegrad der IT-Sicherheit, die Höhe der gewählten Selbstbeteiligung oder die gewünschte Deckungssumme fließen in die Kalkulation der Versicherer ein. Viel hilft viel, gilt in diesem Fall nicht. „Die Prämie sollte angemessen und auch kaufmännisch sinnvoll sein“, sagt Georg Bögerl, Risikomanager Cybersecurity bei Ecclesia.

Die Prämie sollte angemessen und auch kaufmännisch sinnvoll sein.

„Es gibt Versicherer, die dieses Segment mit spitzen Fingern oder gar nicht anfassen“, bestätigt Dirk Bednarek, Leiter der deutschen Niederlassung des Krankenhaushaftpflicht-Spezialisten Relyens. Verantwortlich dafür sind nicht nur steigende Schadenzahlen oder hohe Prämien. Anders als etwa bei einer Leitungswasserversicherung besteht bei einer Cyberversicherung ein sogenanntes Kumulrisiko. Das bedeutet, dass viele Versicherungsnehmer eines Versicherers gleichzeitig einen Schaden erleiden können. Das ist zum Beispiel der Fall, wenn eine Hackergruppe mehrere Krankenhäuser in einer Stadt angreift oder dieselbe Software-Schwachstelle ausnutzt. Erschwerend für den Versicherer kommt hinzu, dass es keine Schadenshistorie gibt, auf deren Basis er kalkulieren kann. Dadurch ist die Cyberversicherung nicht vergleichbar mit anderen Versicherungssparten.

Für die Versicherungsunternehmen ist es schwierig, das Gefahrenpotenzial in den Krankenhäusern einzuschätzen. Wer eine Cyberversicherung in diesem Segment anbietet, muss sich gut auskennen. „Wir haben hier eine sehr komplexe Kombination aus verschiedensten Faktoren“, erläutert Silvia Seeger, Medizintechnik-Ingenieurin und Cyber Risk Managerin bei Relyens. Im Krankenhaus werden personenbezogene Gesundheitsdaten verarbeitet, die für einen Angreifer attraktiver sind als einfache personenbezogene Daten. Hinzu kommen Besonderheiten der Infrastruktur. Neben den klassischen IT-Gerätegruppen wie etwa PCs, Server oder Drucker gibt es in einem Krankenhaus auch medizintechnische Geräte und die Betriebstechnik, die oft mit veralteter und damit unsicherer Software betrieben werden. Auch der Mangel an Ressourcen wirkt sich auf die Sicherheit aus. Es gibt zu wenige Fachkräfte, die sich um die oftmals veraltete Infrastruktur kümmern, Überprüfungen vornehmen oder Mitarbeiterschulungen durchführen können. „Nicht zu vernachlässigen ist die Gefahr durch Lieferanten“, stellt Seeger fest. „Angriffe über die Lieferketten haben in den letzten Jahren stark zugenommen.“

Voraussetzungen 

Krankenhäuser, die eine Cyberversicherung abschließen möchten, müssen bestimmte Voraussetzungen erfüllen. Obligatorisch ist eine Basisabsicherung der Klinik-IT mit Virenschutz, Firewall, Datensicherung, Update-Management, 2-Faktor-Authentifizierung sowie Schulungen und Sensibilisierung der Mitarbeiter. „Wir ermitteln dann in einem Risikodialog mit dem Krankenhaus den Reifegrad des IT-Security-Levels“, erläutert Seeger. Die Absicherung der IT-Produkte funktioniert in der Regel sehr gut, so Seeger, weil es in diesem Bereich zahlreiche Anbieter und Standardprodukte gibt. Schwieriger sei es in den Bereichen Medizintechnik und Betriebstechnik, wo Gerätegruppen, die in der Vergangenheit nicht mit der IT technisch verknüpft waren, zunehmend vernetzt werden und dadurch besondere Anforderungen haben.

An den Maßnahmen, die in einem solchen Fall ergriffen wurden, können wir erkennen, welche Gedanken sich das Krankenhaus bereits zum Thema Informationssicherheit gemacht hat.

Wie geht ein Krankenhaus damit um, dass ein Medizingerät ein proprietäres Betriebssystem hat und der Hersteller nicht die Installation eines Virenschutzes erlaubt? „An den Maßnahmen, die in einem solchen Fall ergriffen wurden oder an den im Einsatz befindlichen Produkten können wir unter anderem erkennen, welche Gedanken sich das Krankenhaus bereits zum Thema Informationssicherheit gemacht hat“, erklärt Seeger. Dabei erwarten die Versicherer in der Regel keine perfekte Lösung – auch nicht, dass die IT-Sicherheit auf dem neuesten Stand ist. Der Versicherer gibt Hinweise, an welchen Stellen er Verbesserungspotenzial sieht und verlangt von den Krankenhäusern, dass diese ihre IT-Infrastruktur so absichern, dass sie ihr Kerngeschäft – die Patientenversorgung – stabil erbringen können.

„Viele Krankenhäuser greifen auf ein Information Security Management System (ISMS) zurück“, sagt Vakalis. In einem ISMS, das zur Definition, Steuerung und fortlaufenden Verbesserung der Informationssicherheit dient, sind bereits viele Fragen der Versicherer beantwortet. „Dadurch lässt sich leichter Transparenz herstellen“, so Vakalis. Das ISMS wird im Standard ISO/IEC 27001 definiert. Solche Zertifizierungen der IT-Security werden von den Versicherern zwar positiv bewertet, reichen aber nicht aus, weil sie die besonderen Schutzziele, die Patientensicherheit und Behandlungseffektivität, nicht berücksichtigen.

Mehr zum Thema:

ImageFlow/stock.adobe.com

CyberangriffeRetter in der Not – Cyber Incident Response Teams im Einsatz

Klinikum Ingolstadt

CyberkriminalitätIT-Sicherheitsvorfall am Klinikum Ingolstadt

vectorfusionart/stock.adobe.com

Johannesstift DiakonieKlinik-„Alltag“ im Zeichen des Hackerangriffs

Die Krankenhäuser müssen noch weitere Schutzziele absichern. Das bedeutet, dass sie klassisches Risikomanagement betreiben und dann schauen müssen, welches Restrisiko es gibt und wo zusätzlicher Schutzbedarf besteht. Zur Basisabsicherung gehören auch die Cyber-Awareness-Schulungen. Da Hacker ihre Vorgehensweise andauernd verändern, legen viele Versicherer Wert darauf, dass Anti-Phishing-Schulungen nicht nur einmalig beim Onboarding, sondern in regelmäßigen Abständen stattfinden. Geprüft wird auch, ob das Sicherheitsbewusstsein und die Verantwortlichkeit für die Cybersicherheit von der Führungsebene des Krankenhauses ausgehen, wie es die NIS-2-Richtlinie vorsieht.

Der Weg in die Versicherung 

„Viele Krankenhäuser müssen erst ihre Hausaufgaben machen, um versicherbar zu werden“, sagt Bednarek. Um das Sicherheitslevel zu erhöhen, sind nicht immer Investitionen erforderlich. Anstatt einen CT-Scanner zu ersetzen, nur weil das Betriebssystem zu alt ist, gibt es auch die Möglichkeit, das Netzwerk zu separieren und das Gerät in ein separiertes Netzwerk einzubinden. „Die Anforderungen sind tatsächlich umsetzbar, sonst würden sie gar nicht erst gestellt“, so Ulferts. „Eine Folgefrage ist dann, in welchem Zeitraum dies geschehen muss.“ Oft verhalten sich Versicherer flexibel, sichern das Risiko zunächst schon einmal ab und verlangen Auflagen, die innerhalb einer bestimmten Frist erfüllt
werden müssen.

Viele Krankenhäuser müssen erst ihre Hausaufgaben machen, um versicherbar zu werden.

Aktive Cyberversicherung 

Der Nutzen einer Cyberversicherung beschränkt sich nicht auf die Erstattung bei einem Angriff auf das Krankenhaus. Viele Versicherer bieten eine sogenannte aktive Cyberversicherung an. Das bedeutet, dass die Einrichtungen zusätzliche Leistungen erhalten – zur Prävention oder zur schnellen Behebung eines Schadens. Es lohnt sich daher, bei der Wahl des Versicherers auch auf diese zusätzlichen Leistungen zu achten.

Manche Versicherer arbeiten zum Beispiel mit Schulungsanbietern zusammen und stellen ihren Kunden ein bestimmtes Kontingent für Phishing-Schulungen zur Verfügung. Angeboten werden auch Beratungsleistungen, Softwaretools oder ein Kontingent für eine Hotline, die Sicherheitsmeldungen bewertet. Oftmals sichern sich Krankenhäuser über eine Cyberversicherung auch den Zugriff auf eine Notfall-Hotline und eine schnelle Eingreiftruppe (Incident Response Team) mit professionell geschultem Verhandlungsführer – eine Dienstleistung, die kurzfristig und ohne Vertrag schwer zu bekommen ist. Wer bereits einen Vertrag bei einem IT-Sicherheits- Dienstleister abgeschlossen hat, kann mit dem Versicherer vereinbaren, dass dieser die Kosten bei einem Einsatz übernimmt.