Cyberversicherung im Gesundheitswesen

In der Regel enden Attacken damit, dass Daten verschlüsselt und vorher als weiteres Druckmittel abgegriffen werden. Anschließend werden IT-Systeme blockiert, Internetseiten abgeschaltet und Zugänge gesperrt. Der Zugriff auf die Patientenakten ist nicht mehr möglich, oft sind auch Buchungssysteme für Operationen, Zugriffe auf bildgebende Systeme (Röntgen) usw. gesperrt. In der Folge müssen mitunter Eingriffe verschoben, Patient*innen verlegt, Behandlungen auf Papier dokumentiert, die Materialwirtschaft offline erfasst und die Kommunikation zeitweise auf das Telefon beschränkt werden. Die Hacker*innen fordern anschließend ein erhebliches Lösegeld zur Entschlüsselung. Täter sind zumeist professionelle und international agierende Hackergruppen.

Die verursachten Kosten unter anderem durch Betriebsunterbrechung, Zahlungsausfälle, Datenwiederherstellung und Lösegeldzahlung können beträchtlich sein. Mögliche rechtliche Konsequenzen etwa aufgrund von Datenschutzverstößen, strafrechtlichen Ermittlungen bei Lösegeldzahlung und Schadensersatzverpflichtungen der verantwortlichen Personen kommen erschwerend hinzu.

Neben der technischen Abwehr, die auch durch § 8a BSIG in Verbindung mit der BSI-KritisV und § 75 SGB V zumindest für einige Krankenhäuser teilweise vorgegeben ist und durch die geplante Umsetzung der NIS2-Richtlinie erweitert wird, gelangt auch zunehmend die wirtschaftliche Absicherung in Form einer Cyberversicherung in den Fokus.

Versicherungspolicen nicht standardisiert

Eine Cyberversicherung ist eine freiwillige Versicherung für Unternehmen, die Schäden im Zusammenhang mit Hackerangriffen oder sonstigen Akten von Cyberkriminalität absichert. Versicherter Gegenstand sind in der Regel (je nach Gestaltung) Vermögensschäden, die durch eine Informationssicherheitsverletzung verursacht wurden.

Es handelt sich um eine noch junge Versicherungssparte mit nicht standardisierten vertraglichen Gestaltungen, bei der Komponenten u. a. einer Haftpflicht-, Sach-, Betriebsunterbrechungs-, Vertrauensschaden- und Datenversicherung miteinander kombiniert werden. Die konkreten inhaltlichen Ausgestaltungen der Policen und die vereinbarten Leistungen weichen mitunter deutlich voneinander ab.

Umfang des Versicherungsschutzes

Die Entschädigungsleistung ist je Versicherungsfall durch die Versicherungssumme begrenzt. Umfasst versichert sind in der Regel Eigen- und Drittschäden. Im Rahmen der eigenen Schäden werden insbesondere der Unterbrechungsschaden sowie die Kosten zur Wiederherstellung von Daten ersetzt. Die Berechnung der Entschädigungsleistung richtet sich nach dem vereinbarten Tagessatz für die Dauer der betrieblichen Unterbrechung.

Hinsichtlich der Drittschäden entspricht die Cyberversicherung im Wesentlichen den Bestimmungen einer Haftpflichtversicherung. Demnach ersetzt die Versicherung den Schaden, der dadurch entsteht, dass der Versicherungsnehmer wegen einer Informationssicherheitsverletzung aufgrund gesetzlicher Haftpflichtbestimmungen von einem Dritten in Anspruch genommen wird.

Daneben sind regelmäßig auch sog. Servicekosten erfasst wie z. B. Schadensfeststellungskosten und Aufwendungen für Krisenkommunikation. Ein wesentliches Leistungsmerkmal der Cyberversicherung ist die Bereitstellung umfangreicher Assistance-Leistungen im Schadensfall wie z. B. einer 24-h-Hotline zur Meldung von Cybervorfällen. Einzelne Anbieter stellen den Versicherungsnehmern dabei unmittelbar technischen Support durch Incident-Response- und IT-Forensik-Dienstleister zur Verfügung.

Rechtliche Fragestellungen tauchen hierbei vor allem auf, wenn die zusätzlichen Serviceleistungen des Versicherers zu einer Schadensausweitung oder fehlerhaft nicht zu der gewünschten Schadensbegrenzung führen.

Risikofragen, Obliegenheiten und Regresse

Von herausragender Bedeutung sind bei der Cyberversicherung die vorvertraglich gestellten Risikofragen, deren Beantwortung mitunter IT-technische Expertise und rechtliche Beratung erfordern. Eine unzutreffende Beantwortung kann bei einem späteren Schadensfall aufgrund der Verletzung vorvertraglicher Anzeigepflichten zu Deckungseinschränkungen führen.

Damit der Schutz der Versicherung greift, muss der Versicherungsnehmer zudem zahlreiche Obliegenheiten erfüllen. So wird oftmals als versicherungsvertragliche Obliegenheit auferlegt, dass alle Nutzer*innen individuelle Zugänge und komplexe Passwörter erhalten oder dass im Falle der mobilen Verwendung der Geräte besondere Schutzmaßnahmen mithilfe der 2-Faktor-Authentifizierung o. Ä. ergriffen werden. Darüber hinaus sind häufig ein Schutz gegen schädliche Software durch ein Antivirenprogramm und ein wöchentlicher Sicherungsprozess der Daten auf physischen Datenträgern einzurichten. Eine Verletzung dieser Obliegenheiten kann zu einer teilweisen bis hin zur vollständigen Kürzung der Versicherungsleistung führen.

Ferner bestehen sowohl im Eigenschaden- als auch im Drittschadenbaustein besondere versicherungsvertragliche Ausschlüsse.

Folglich sieht sich der Versicherungsnehmer einem sehr umfangreichen Katalog an Obliegenheiten und Ausschlüssen gegenüber, die eingehend rechtlich geprüft werden sollten.

Dies gilt auch nach Eintritt eines Schadensfalls. Hier stellen sich zahlreiche rechtliche Fragen, von der Einhaltung regulatorisch-behördlicher Mitteilungspflichten über die versicherungsvertragliche Deckungsprüfung bis hin zur strafrechtlichen Prüfung im Zusammenhang mit möglichen Lösegeldzahlungen. Zudem stehen Regressmöglichkeiten des Cyberversicherers gegen Organmitglieder (z. B. wegen mangelnder Sicherungsmaßnahmen) im Raum, die durch die Umsetzung der NIS2-Richtlinie ausgeweitet werden dürften.

Fazit

Insgesamt ist die Cyberversicherung ein nahezu unverzichtbares Element im Rahmen einer Absicherung gegen Cyberrisiken, die eine geeignete technische Abwehr keineswegs obsolet macht, sondern diese sogar voraussetzt. Bei der Gestaltung und auch im Schadensfall sind sowohl eine rechtliche Prüfung (z. B. datenschutzrechtlich, versicherungsvertraglich, medizinrechtlich, strafrechtlich) und Beratung als auch eine IT-technische Unterstützung dringend anzuraten.

Dies ist ein Beitrag aus unserem Healthcare-Newsletter 4-2024. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.