Heilberufler – Nach der Cyber-Attacke kommt der Staatsanwalt

Heilberufe haben wertvolle Daten

Daten, die in Apotheken oder Praxen anlaufen, sind im Vergleich zu denen aus Supermärkten um ein Vielfaches heikler. Denn in der Gesundheitsbranche kommen persönliche Daten, Finanz- und Gesundheitsdaten zusammen. Und das ist für Kriminelle wie oben bereits geschrieben sehr verlockend. Zur Erinnerung: Der Datensatz eines Krebspatienten zum Beispiel wird im Darknet für rund 800 Dollar verkauft. Datendiebstahl ist einträglich.

Dazu kommt, dass Gesundheitsdienstleister wie Arztpraxen und Apotheken üblicherweise schlechter gesichert sind als Großkonzerne oder staatliche Einrichtungen mit eigener IT-Sicherheitsabteilung. Die Gefahr aber ist fast schon allgegenwärtig: Schließlich können selbst Drucker, moderne Telefonanlagen, NIR-Spektrometer und andere scheinbar harmlose oder gar unverzichtbare Geräte wie zukünftig selbstbestellende Kommissionierautomaten oder das im Aufbau befindliche vernetzte System des E-Rezeptes Einfallstore für Datendiebe und Co. werden.

Apotheken und Arztpraxen sind für den Datenschutz verantwortlich. Sie sind in der Pflicht, einen Verstoß gegen Datenschutzrichtlinien – also auch bei Cyber-Attacken – genau zu prüfen und innerhalb von 72 Stunden zu melden – und zwar Aufsichtsbehörden und betroffenen Kunden beziehungsweise Patienten. Das heißt, der Apotheker oder die Ärztin hat nach Erkennen des Schadens nur 72 Stunden Zeit, einen Datenrechtsanwalt und einen IT-Forensiker zu finden, die die Schadenursachen untersuchen, Kundendaten sichern, eine vollständige Meldung absetzen und auch noch alle potenziell betroffenen Kunden oder Patienten schriftlich informieren.

72-Stunden-Frist muss eingehalten werden

Gelingt dies nicht, droht Ungemach: Nach den 72 Stunden kommt es laut DSGVO zur Pflichtabgabe an die Staatsanwaltschaft, diese entscheidet dann, ob sie den Fall verfolgt und ob aus einer Ordnungswidrigkeit ein Straftatbestand wird. Hintergrund dieser scharfen Regelung sind die besonders sensiblen Datensätze, die von Heilberufen verarbeitet werden. Und die 72-Stunden-Frist ist eine sportliche Herausforderung. Denn IT-Forensiker und entsprechende Fachanwälte gibt es nicht wie Sand am Meer. Dazu muss beachtet werden, dass nach einem großen Cyber-Angriff mit vielen Opfern diese wenigen Spezialisten sehr gesucht sind. Wer also zu spät kommt, erhält keine Unterstützung.

Deshalb empfiehlt es sich für Gesundheitsdienstleister, eine branchengerechte Cyber-Versicherung abzuschließen, die neben den üblichen finanziellen Schutz auch weitere Service-Leistungen bietet – vor allem die fristgerechte Vermittlung von IT-Spezialisten und qualifizierter Rechtsanwälte, damit die 72-Stunden-Frist eingehalten werden kann. Eine solche Absicherung ist eigentlich schon heute unverzichtbar und wird es in Zukunft noch mehr sein.

Dazu das Bundeskriminalamt:

Cyber-Angriffe haben ein enormes Schadenpotenzial. Sie können für Wirtschaftsunternehmen existenzbedrohend sein und haben bei Angriffen auf Kritische Infrastrukturen (KRITIS) wie Krankenhäuser oder Energieversorger schnell dramatische Auswirkungen auf die Bevölkerung. Solche Cyber-Angriffe mit beispielsweise Ransomware und DDoS haben in den letzten Jahren in Häufigkeit und Intensität deutlich zugenommen. Die Gefahr von Cyber-Angriffen durch hochprofessionell, global vernetzt agierende Täter wächst.

Über die Autoren

Christian Ring ist Versicherungskaufmann (IHK) und zertifizierter Berater Heilwesen (IHK). Er hat sich unter anderem auf den Cyber-Schutz für Heilberufler spezialisiert und dazu bedarfsgerechte Zielgruppenlösungen initiiert. Sein Praxis Know-how über Heilberufe bringt er regelmäßig im Rahmen der PharmAssec Akademien ein.
Kontakt: c.ring@medical-network-stiftung.de

Michael Jeinsen ist zertifizierter Berater Heilwesen, Pressesprecher der Medical Network Stiftung, Betreiber des Service- und Informationsportals für Heilberufe denphamed.de und im Hauptberuf Spezial-Versicherungs­makler für Heilberufe, insb. Apotheken. Er ist auch Fachbereichsleiter für Apothekenversicherungen im BVSV.
Kontakt: m.jeinsen@medical-network-stiftung.de

• <
• 1
• 2
• 3
• zur Startseite
• >