Cyberpolice

Attacken aus dem Internet

Wie sich Apotheken gegen Hacker, Viren und Malware richtig schützen

Es kommt eher selten vor, dass Apotheken gezielt aus dem Internet angegriffen werden. Das bedeutet aber nicht, dass Inhaber/innen die Internetkriminalität auf die leichte Schulter nehmen könnten. Ganz im Gegenteil: Gesundheitsdaten stehen bei Kriminellen hoch in Kurs. IT-Dienstleister geraten immer öfter ins Visier und damit mittelbar auch deren Kunden, wie etwa Apotheken. Und schließlich werden Apotheken immer wieder durch Schadprogramme lahmgelegt, die sich epidemieartig im Internet verbreiten. Gefahr droht aber noch von einer anderen Seite: Opfer von Cyber-Angriffen müssen aufwendigen Informationspflichten entsprechend der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) nachkommen, sonst drohen hohe Bußgelder. Deshalb sollten Apotheken über eine Cyber-Police verfügen, die auch dabei hilft, Meldepflichten zu erfüllen.

Sie benötigen eine branchengerechte Cyber-Police für Apotheken?
Dann fragen Sie unsere Experten.
Wir sind für Sie da

Kontakt

In Apotheken werden jeden Tag sensible Gesundheitsdaten verarbeitet. Schon allein aus diesem Grund spielt der Datenschutz in der Offizin eine große Rolle. Und da die sogenannte Cyber-Kriminalität seit Jahren als dynamische „Wachstumsbranche“ betrachtet werden muss, sind Apotheker/innen gezwungen, Datensicherheit als Chefsache zu behandeln. Zu groß sind die Risiken, von Kunden verklagt oder von Aufsichtsbehörden mit exorbitanten Bußgeldern belegt zu werden. Zur Erinnerung: Nach der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) können Verletzungen des Datenschutzes mit Bußgeldern von bis zu vier Prozent des Jahresumsatzes geahndet werden. Eine Verletzung liegt unter anderem dann vor, wenn nach einer Cyber-Attacke Behörden und betroffene Kunden nicht innerhalb von 72 Stunden über den Vorfall korrekt informiert werden. Daher empfehlen wir unseren Kunden nur Versicherungen, die neben der Gewährung eines bedarfsgerechten Versicherungsschutzes auch die korrekte Abwicklung von Meldepflichten veranlassen. Wir haben hier im Verbund mit Versicherern ein apothekengerechtes Konzept – PharmCyb – entwickelt.

Cybergefahren nehmen zu

Seit Jahren nimmt die Internetkriminalität zu. Doch nicht nur das:
Attacken aus dem virtuellen Raum werden zunehmend ausgeklügelter und intelligenter ausgeführt. Von einer „Wachstumsbranche“ zu sprechen, ist daher nicht falsch. „Cybercrime ist eines der sich am dynamischsten verändernden Kriminalitätsphänomene. Täter passen sich flexibel an technische und gesellschaftliche Entwicklungen an, agieren global und greifen dort an, wo es sich aus ihrer Sicht finanziell lohnt“, fasst das Bundeskriminalamt (BKA) die Situation zusammen.

Unser Tipp: Halten Sie Ihre Computerprogramme immer aktuell. Nicht nur Virenscanner und Firewall, sondern auch alle anderen Programme, die auf Ihren Apotheken-Rechnern installiert sind.

Von der „Porno-Apotheke“ bis zur Erpresser-Software

Gezielte Attacken auf Apotheken sind eher selten. Eine Ausnahme bildet der Fall der in Medien mitunter sogenannten „Porno-Apotheke“ in München. Im Herbst 2016, zur besten Wiesn-Zeit, wurde eine Apotheke in der Münchner Innenstadt von einem Täter mit einem Smartphone gehackt. Der Täter manipulierte die Monitore im Schaufensterbereich, sodass dort ein pornografischer Film in Dauerschleife gezeigt wurde. Das Ganze war vermutlich als Scherz gedacht, verursachte aber bei der Apotheken-IT Schäden, die den Betriebsablauf massiv behinderten.

Eine viel größere Gefahr für Apotheken stellen Schadprogramme dar, die nicht gezielt eine bestimmte Einrichtung attackieren, sondern möglichst viele Computersysteme weltweit infizieren sollen. Insbesondere Erpresser-Software (Ransomware) sorgte hier in den vergangenen Jahren für immense Schäden. Immer wieder befanden sich auch Apotheken unter den Geschädigten. Eine weitere Gefahr stellen Angriffe auf IT-Dienstleister dar. Solche Unternehmen sind für Internet-Kriminelle besonders attraktiv, weil bei einer erfolgreichen Attacke zugleich die Sicherheitsvorkehrungen von Kunden der betroffenen IT-Dienstleister ausgehebelt werden können. Man kann hier von einem Domino-Effekt sprechen: Fällt der IT-Dienstleister, fallen seine Kunden gleich mit. Ein Beispiel für solche Attacken ist der Hackerangriff auf die Compugroup Medical Deutschland AG Ende 2021. Kurz vorher war der PVS-Hersteller Medatixx Opfer einer Ransomware-Attacke geworden.  

Das sollte Ihre Cyber-Versicherung können

Ein für Apotheken geeigneter Cyber-Schutz muss den Schutz von Betriebshaftpflichtversicherungen, Inhaltsversicherungen (oder technischen Versicherungen) und Rechtsschutzversicherungen erweitern. Darüber hinaus sollte er unbedingt vier weitere Komponenten beinhalten:

  • eine Revision der IT-Sicherheit in der Apotheke,
  • eine Erhebung des Sachstandes im Datenschutz- und QM-Bereich,
  • eine hinreichende Absicherung des Restrisikos bei Datenschutzverletzungen und
  • zwingend den sofortigen Zugriff auf alle notwendigen externen Dienstleister (z. B. IT-Forensik, Fachanwälte für juristisch sichere Pflichtmeldungen).

 Der Versicherungsumfang kann wie folgt zusammengefasst werden:

;

Haftpflichtversicherung

Im Bereich der Haftpflichten sollte Versicherungsschutz bestehen für den Fall, dass der Versicherungsnehmer wegen einer Informationssicherheitsverletzung, die einen Vermögensschaden zur Folge hat, aufgrund gesetzlicher Haftpflichtbestimmungen privatrechtlichen Inhalts von einem Dritten auf Schadensersatz in Anspruch genommen wird. Dabei kommt es nicht darauf an, ob die Informationssicherheitsverletzung beim Versicherungsnehmer, mitversicherten Unternehmen oder beim Anspruchsteller eingetreten ist.

  • Je nach Bedarf sind folgende Ergänzungen sinnvoll:

    • Schutz bei Persönlichkeitsrechts- und Namensrechtsverletzungen,
    • Schutz bei Urheber- und Markenrechtsverletzungen sowie daraus resultierende Verstöße gegen das Wettbewerbsrecht und eine
    • Versicherung gegen PCI-Vertragsstrafen durch einen E-Payment Service Provider.

     

    IT-Attacken können immer zu Schäden an Hard- und Software des Opfers führen. Deshalb muss es auch einen Schutz für die attackierte Apotheke selbst geben – insbesondere auf mögliche Ertragsausfälle sollte geachtet werden.

Betriebsunterbrechung

Als versicherte Betriebsunterbrechung sollte gelten, wenn infolge der Informationssicherheitsverletzung elektronische Daten oder informationsverarbeitende Systeme des Versicherungsnehmers nicht zur Verfügung stehen oder nicht die übliche Leistung erbringen und daraus ein Unterbrechungsschaden entsteht. Zum Unterbrechungsschaden sollte der entgangene Betriebsgewinn gehören und die fortlaufenden Kosten, die im Zeitraum der Betriebsunterbrechung durch den Versicherungsnehmer nicht erwirtschaftet werden können. In der Regel werden Versicherer die zeitliche Dauer einer versicherten Betriebsunterbrechung begrenzen. Der versicherte Zeitraum sollte daher so groß wie möglich sein.

  • Je nach Bedarf sinnvolle Ergänzungen im Versicherungsumfang sollten folgendes absichern:

    • Ausfall des IT-Dienstleisters,
    • technische Hard- oder Softwarefehler in den Systemen des Versicherungsnehmers,
    • Wiederherstellung von Daten,
    • Kosten des Austauschs von Hardware und
    • Schutz bei Cyber-Erpressung.

Service und Assistance-Leistungen

Idealerweise bietet Ihr Versicherer zusätzlich zum Versicherungsschutz noch Assistance-Leistungen an, die Sie im Schadensfall von lästigen und fehlerträchtigen Pflichten und zusätzlichen Kosten befreien. Dabei handelt es sich um:

  • die Bereitstellung einer Notrufnummer für den Krisenfall,
  • die Durchführung der gesetzlich geforderten Meldungen innerhalb von 72 Stunden,
  • IT-Forensik/Schadenfeststellung,
  • Benachrichtigungen und bei Bedarf Call-Center-Leistungen.
  • Sofern nötig: Krisenkommunikation und PR-Maßnahmen sowie
  • Rechtsberatungskosten bei behördlichen Ermittlungen.

Sie benötigen eine apothekengerechte Cyber-Versicherung? Wir haben eine branchenspezifische Lösung mit Versicherern entwickelt. Jetzt Informationen anfordern.

Kontaktieren Sie uns gern

6 + 8 =