Die Auswirkungen von Cyberangriffen sind in der Krankenhausbranche mittlerweile allzu bekannt – ein Vorfall in den IT-Systemen kann den gesamten klinischen Betrieb empfindlich lange zum Erliegen bringen. Die Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber) des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) geben einen guten Überblick der üblichen Vertragsklauseln. Obwohl die Bedingungen der einzelnen Versicherer davon abweichen können, dienen die AVB des GDV dennoch als Richtschnur.

Dort wird eine „Informationssicherheitsverletzung“ definiert als „eine Beeinträchtigung der Verfügbarkeit, Integrität [oder] Vertraulichkeit von elektronischen Daten des Versicherungsnehmers oder von informationsverarbeitenden Systemen, die [der Versicherungsnehmer] zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt“. Im Grunde genommen sind also alle Informationen erfasst, die nicht ausschließlich auf Papier festgehalten sind. Die Versicherer schränken die Absicherung jedoch weiter ein, indem sie bestimmte Gefahren explizit ausschließen (z. B. Schadensereignisse, die ihren Ursprung in Krieg, politischen Gefahren oder Terrorhandlungen haben).

Im Folgenden werden einige ausgewählte Aspekte betrachtet, die Krankenhäuser bei der Bewertung des Nutzens einer Cyberversicherung berücksichtigen sollten. Dieser Überblick ersetzt jedoch nicht die Beratung durch Versicherungsexperten und Fachjuristen sowie die Einbindung von Spezialisten für Cybersicherheit.

Die regulatorischen Vorgaben für Krankenhäuser

In den Musterbedingungen des GDV findet sich ein Satz, der es im Krankenhauskontext in sich hat: Der Versicherungsnehmer hat „alle gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherheitsvorschriften einzuhalten“. Das stellt die Abwägung zwischen Versicherungsschutz und gründlicher Vorsorge auf den Kopf: Nur wer seine Organisation gründlich und vollständig gemäß den gesetzlichen Vorgaben absichert, kann überhaupt mit einer Versicherungsleistung rechnen, wenn es dennoch zu einem Vorfall kommt.

Unabhängig von der Versicherungssituation sind Krankenhäuser dazu verpflichtet, ihre digitalen Systeme auf einem hohen Sicherheitsniveau abzusichern. Die Grundlagen dafür sind insbesondere im Paragrafen 8a BSIG und im Paragrafen 75c Sozialgesetzbuch V (SGB V) festgelegt. Daneben gibt es weitere Vorschriften, wie beispielsweise Artikel 27 Absatz 6 des Bayerischen Krankenhausgesetzes, der „besondere Schutzmaßnahmen“ bei der Übermittlung von Daten verlangt, oder Paragraf 307 Absatz 1 SGB V, der die Nutzer der Telematikinfrastruktur bei Inbetriebnahme, Wartung und Verwendung ihrer Bestandteile in die Pflicht nimmt.

Die Regulierungssituation für Krankenhäuser ist bereits stark und wird voraussichtlich durch die bevorstehende Umsetzung der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS 2 Directive)noch anspruchsvoller, insbesondere für kleinere Häuser, die bisher nicht so stark im Fokus der Aufsichtsbehörden standen wie die KRITIS-Häuser.

Der Stand der Technik

Die Regelungen des 8a BSIG und des 75c SGB V verlangen eine Absicherung nach dem „Stand der Technik“. Doch was bedeutet das genau? Maßnahmen entsprechen in der abstrakten juristischen Formulierung dem Stand der Technik, wenn die zugrunde liegende Technologie zum relevanten Zeitpunkt auf dem neuesten, aber gesicherten Erkenntnisstand von Wissenschaft und Technik beruht, sich in der Praxis bereits bewährt hat und in ausreichendem Maß zur Verfügung steht. Für die Praxis können die Ausführungen des branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus (B3S) und auch Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik zu bestimmten Technologien herangezogen werden.

Der Stand der Technik steht immer in Zusammenhang mit der Angemessenheit, also dem ausgewogenen Verhältnis zwischen Aufwand und den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen. Von den Krankenhäusern dürfen daher nur verhältnismäßige Maßnahmen erwartet werden. Allerdings beziehen sich die Paragrafen 8a BSIG und 75c SGB V nicht auf die wirtschaftliche Situation oder individuelle Zumutbarkeit für ein Krankenhaus, sondern auf die Folgen, die durch die Beeinträchtigung der Krankenversorgung oder die Sicherheit der Patientendaten entstehen.

Der pauschale Verweis auf gesetzliche Sicherheitsvorschriften ist eine übliche Klausel in Versicherungsverträgen, stellt Krankenhäuser jedoch vor ein Dilemma. Sie stehen wieder am Anfang, wenn es um die Informationssicherheit geht: Um Versicherungsschutz zu erhalten, müssen sie angemessen abgesichert sein. Über die Frage, ob dieser pauschale Verweis auf diese gesetzlichen Vorschriften für Krankenhäuser eine zulässige Klausel im Versicherungsvertrag ist, wurde von der Rechtsprechung bislang nicht auf höchstrichterlicher Ebene entschieden. Bis auf Weiteres ist der Verweis daher der Maßstab für die Absicherung.

Die Beweislast im Versicherungsfall

Im Falle eines Cyberangriffs werden in der Regel alle verfügbaren Ressourcen für die Wiederherstellung des Betriebs eingesetzt. Die Dokumentation der Ereignisse gerät dabei oft in den Hintergrund. Doch bei der Abwicklung des Schadens mit einem Versicherer ist es wichtig, gut dokumentiert zu haben, wie die Absicherung vor dem Angriff aussah, über welche Eintrittspfade die Angreifer ins System gelangt sind und welche Maßnahmen zur Schadensminimierung und Bewältigung ergriffen worden sind. Der Stand der technischen und organisatorischen Absicherung vor dem Schadenseintritt kann beispielsweise durch regelmäßige Audits dokumentiert werden.

Maßnahmen zur Schadensminimierung und Bewältigung können durch eine strukturierte Ereignisdokumentation des Notfallmanagements festgehalten werden, die insbesondere Entscheidungen und den Informationsstand zum Zeitpunkt der Entscheidung erfassen sollte. Auch die Frage, ob ein Schadensfall durch das individuelle Verhalten von Mitarbeitern oder die Vernachlässigung von Organisationspflichten durch Führungskräfte oder die Geschäftsführung entstanden sein könnte, kann Gegenstand der Aufarbeitung sein.

Vorsicht bei individuellen Schnittstellen und Softwarelösungen

Die AVB Cyber sowie die Versicherungsbedingungen einiger Versicherer nennen besondere Ausschlussgründe und schließen etwa die Zahlung aus, wenn „ungetestete oder für den Einsatzzweck nicht freigegebene“ Systeme verwendet werden. Hier besteht Gefahr, in der branchenüblichen Praxis, individuell programmierte Softwarelösungen, selbstgebaute Schnittstellen oder Sonderlösungen von KIS-Herstellern in der Systemlandschaft einzusetzen. Auch die Anbindung externer Stellen, wie Dienstleister für die Befundung bildgebender Verfahren, Laboruntersuchungen oder Funktionsstellen, die eigene Kommunikationsserver mit Anbindung nach außen in Betrieb haben, muss kritisch betrachtet werden.

All diese Lösungen sind zwar üblich und für den täglichen Krankenhausbetrieb notwendig, aber es sollte nicht nur mit Blick auf den Versicherungsschutz darauf geachtet werden, dass diese Lösungen und Schnittstellen einem geregelten und dokumentierten Test- und Qualitätssicherungsprozess unterliegen, bevor sie eingesetzt werden.

Eine stetig zunehmende Zahl an Cybervorfällen hat zu einem erhöhten Bewusstsein und vermehrter Regulierung auch in der Krankenhausbranche geführt. Cyberversicherungen, obwohl als Lösung angepriesen, decken nicht alle potenziellen Gefahren und Risiken ab. Es ist daher entscheidend, dass Krankenhäuser nicht nur auf diese Versicherungen vertrauen, sondern auch gängige Sicherheitsstandards umsetzen. Eine Cyberversicherung kann eine Ergänzung der Risikovorsorge sein, ersetzt oder kompensiert jedoch nicht die sorgfältige Absicherung nach dem Stand der Technik.