Wer zahlt bei Cyber-Angriffen? Alexander Müller, 22.05.2018 09:26 Uhr
Ohne IT-Unterstützung wäre eine Apotheke heute aufgeschmissen, doch moderne Technik schafft auch neue Risiken. Ein Ausfall der EDV oder gar eine Betriebsunterbrechung können große finanzielle Schäden verursachen. Gleichzeitig kommen Cyber-Angriffe auch in Apotheken immer häufiger vor. Inhaber sollten darauf achten, diese Risiken entsprechend abzusichern. Dafür gibt es nach Angaben der Macher jetzt erstmals eine apothekengerechte Cyber-Police.
Die Absicherung von Cyber-Risiken hat Berührungspunkte mit verschiedenen anderen Versicherungen: Haftpflicht und Betriebsunterbrechung sind die bekanntesten davon. Versichert wird insbesondere die Verletzung der Informationssicherheit, wie Versicherungsmakler Christina Ring aus Dresden erklärt. Er hat sich mit seinem Kollegen Kristian Adam sowie Karsten Winkelmann und Ralf Kellner aus Magdeburg, René Berger aus Schleiz und Michael Jeinsen aus Berlin im Netzwerk „Die ApothekenHelfer“ zusammengeschlossen und eine Police entwickelt, die den neuen Anforderungen gerecht werden soll.
Versichert sein müssen demnach nicht nur elektronische Angriffe auf das System, unberechtigte Zugriffe oder der Einfall von Schadsoftware, sondern auch eine Verletzung datenschutzrechtlicher Vorschriften durch eine Handlung (oder Unterlassung) des Apothekers. Ein Ersatz von Vermögenswerten – wenn sprichwörtlich das Konto leergeräumt wird – lässt sich dagegen nicht absichern.
Apotheker haben auf der technischen Seite den Vorteil genormter IT-Schnittstellen. Eine 100-prozentige Sicherheit gibt es aber auch für sie nicht, wie verschiedene Fälle belegen. Die PharmaCyb-Versicherung bietet eine Schaden-Hotline und garantiert die Bereitstellung eines IT-Forensikers im Schadenfall. Routine kann in so einem Fall hilfreich sein – vor allem nach der neuen Datenschutz-Grundverordnung (DS-GVO) mit ihrer 72-Stunden-Meldefrist. In der Kategorie Eigenschaden sind etwa die Kosten für eine Betriebsunterbrechung oder für die Datenwiederherstellung abgedeckt.
Viele Risiken lassen sich auch über andere Versicherungen absichern, geben die Macher unumwunden zu. Der Vorteil aus ihrer Sicht ist die mit dem Versicherer vereinbarte Vorrangigkeit ihrer Cyberrisk-Versicherung. Das erspare Gerangel zwischen verschiedenen Versicherern. Als Assekuradeur tritt die Firma riskpoint auf, ein Tochterunternehmen von Hansen & Klein. Die Ausschreibung der Police erfolgte über eine Versicherungsbörse.
Natürlich können Apotheker auch ihre bestehenden Versicherungen anpassen oder eine neue Cyber-Police abschließen. Dabei sollten sich einige Fragen stellen und gegebenenfalls mit ihrem Versicherer oder Makler besprechen. Dazu zählt, ob der Vertrag entsprechend den Musterbedingungen des Gesamtverbandes Deutscher Versicherungswirtschaft (GDV) erstellt wurde. Einheitliche Musterbedingungen, die von allen Versicherungen verwendet werden, sind gerichtsfest definiert – das hilft bei rechtlichen Auseinandersetzungen.
Wichtig ist auch, dass der Apotheker nur anteilig haftet, wenn er grob fahrlässig gehandelt hat und dadurch ein vermeidbarer Schaden entstanden ist. Ein „Alles oder Nichts-Prinzip“ bei dem sich der Versicherer in solchen Fällen komplett leistungsfrei stellen kann, gelte es zu vermeiden, warnt Versicherungsexperte Jeinsen.
Bestandteil jeder Police sollte sein, dass der Versicherer die Kosten zur Verteidigung, des entstandenen Schadens Dritter und etwaiger Folgekosten erstattet sowie Versicherungsschutz bei Schäden durch Übertragung von Malware gewährt. Eine Kostenübernahme sollte es für die Prävention sowie Schadenfeststellung, -beseitigung und -minderung geben. Und auch externe Vertreter sollten grundsätzlich mitversichert sein – auch ohne Anmeldung und Namensnennung.
Wichtig zu klären ist auch, was der Versicherer als „Computersystem“ definiert: Mögliche Fallstricke sind hier geleaste Geräte wie ein NIR-Spektrometer, das Kassensystem oder die Apotheken-Software. Auch die Kosten für aus Telefonhacking entstandenen Schaden sollte die Versicherung vertragsgemäß übernehmen, und zwar ausdrücklich auch für Smartphones, Tablets und ähnliche Geräte.
Der Apotheker muss die Datenrechtsverletzung erkennen, den zuständigen Behörden melden und gegebenenfalls einen IT-Forensiker einschalten, der sich auf Spurensuche im System begibt, um die Schwachstelle zu finden und womöglich Daten rettet und Schaden abwenden kann. Im Idealfall zahlt die Versicherung die Rechnungen der Dienstleister nebst sonstiger in der Apotheke angefallener Kosten wie Überstunden, Ersatz von IT-Geräten oder die Betriebsunterbrechung.