Mit der Cyber-Versicherung Löcher stopfen

Die Zeit der Tests und Pilotprojekte ist vorbei: Ab dem 1. September wird das E-Rezept stufenweise eingeführt. Beginnen wird der Rollout in Westfalen-Lippe und Schleswig. Damit werden sich etliche Handlungsabläufe und Routinen in Apotheken ändern müssen. So wird z.B. der tägliche Stapel von Papierrezepten in absehbarer Zeit immer kleiner werden und im Gegenzug die digitale Rezeptbearbeitung an Bedeutung gewinnen. Und es kommen auch ganz neue Risiken auf Sie als Apothekeninhaber bzw. -leiter zu. Versicherungen, die nicht an die neue Entwicklung angepasst werden, können Apotheken kaum einen adäquaten Schutz bieten.

Was bedeutet die Einführung des E-Rezepts nun konkret für die Versicherung von Apotheken? Grundsätzlich müssen zwei Risikoszenarien betrachtet werden:

• Schäden im Zusammenhang mit dem E-Rezept, die die Apotheken – also den Versicherungsnehmer – treffen, und
• Schäden bei Dritten.

Wahrscheinlich werden Versicherer die neuen Risiken im Rahmen von Cyber-Versicherungen absichern. Diese werden dann Lücken bei der Betriebsunterbrechungsversicherung, der Inhaltsversicherung/Werteversicherung sowie der Haftpflichtversicherung, die durchs E-Rezept entstehen, abdecken. Denn genau das ist die Aufgabe einer Cyber-Versicherung: Löcher in anderen Versicherungen zu stopfen. Als Apothekenleiter/-inhaber sollten Sie also darauf achten, dass die entsprechenden Anpassungen in ihrer Cyber-Police tatsächlich vollzogen werden.

Die wichtigsten Schadenszenarien im Zusammenhang mit E-Rezepten sind folgende:

• Verlust von E-Rezepten,
• Betriebsunterbrechungen aufgrund eines technischen Ausfalls,
• Datenschutzverletzungen.

Betrachten wir zuerst das Risiko für Apotheken selbst: Gefährlich kann es immer dann werden, wenn E-Rezepte von einer Apotheke abgerufen wurden, die mit dem Vorgang verbundenen Daten (das E-Rezept-Bundle) aber noch nicht an das Apothekenrechenzentrum geschickt wurden. Kommt es vor der Übertragung zu einem Hackerangriff, oder fällt die Technik aus einem anderen Grund (z.B. Brandschaden) aus, dann liegt das Risiko bei der Apotheke.

Einen solchen Schadensfall könnte man mit einem "Inkassoschaden" gleichsetzen. Dazu ein Beispiel für einen solchen Versicherungsfall: Ein Apotheker hat E-Rezepte im Wert von 150.000 € auf seinem Rechner, die noch nicht an das Rechenzentrum übermittelt wurden. Aufgrund eines Hackerangriffs gehen diese verloren. In einem solchen Fall würde der Apotheker ohne angepassten Versicherungsschutz den Schaden selbst tragen, weil

• kein Sachschaden vorliegt, und
• das Rechenzentrum erst haftet, wenn die Rezepte eingelöst wurden.

Unserem Apotheker bliebe in einem solchen Fall nur noch die Möglichkeit, einen IT-Forensiker zu engagieren, um die verlorenen E-Rezepte zurückzuholen. Marktüblich wäre es zwar, dass eine Cyber-Police die Kosten für einen IT-Forensiker begleicht. Doch wo soll der Apotheker einen solchen Experten herbekommen? Hier beweisen Cyber-Versicherungen ihre Qualitäten, die auch Unterstützungsleistungen wie die Vermittlung von Spezialisten anbieten. Solche "Assistance"-Leistungen sind bei Cyber-Attacken insofern kein überflüssiges Beiwerk, sondern oft dringend notwendig. Auch solche Leistungen sollten Versicherungsnehmer daher beim Vertragsabschluss prüfen.

Selbstverständlich ist die grundsätzliche Aufgabe einer Versicherung, verlorene E-Rezepte in Höhe des Ausfalls, den der Versicherungsnehmer erleidet, zu ersetzen. Das sicherzustellen, ist für diesen Schadensfall die Aufgabe einer angepassten Cyber-Versicherung.

Unter Umständen ist das aber gar nicht so einfach. So ist damit zu rechnen, dass es Versicherer gibt, welche die zu versichernden Risiken genau kennen wollen. In solchen Fällen ist eine individuelle Risikoanalyse der Apothekenwarenwirtschaft notwendig. In diesem Fall sind Sie als Apothekeninhaber gefragt und müssen aktiv werden. Anders sieht es aus, wenn der Versicherer seinen Versicherungsumfang von sich aus den neuen digitalen Gegebenheiten anpasst.

Wie könnte das in der Praxis konkret aussehen? Nehmen wir das zweite Schadenszenario – die Betriebsunterbrechung. Damit die Kosten einer durch einen Hackerangriff erzwungenen Betriebsunterbrechung rechtssicher versichert sind, sollten in den AGB unter "Schäden von außen" unbedingt "Netzwerksicherheitsverletzungen, Informationssicherheitsverletzungen" oder konkret "Cyber-Angriffe" genannt werden. Derzeit geht mindestens ein Versicherungsanbieter auf dem deutschen Markt bereits so vor.

Unser Tipp: Achten Sie insbesondere bei der Cyber-Police darauf, ob das E-Rezept explizit versichert ist und in den Versicherungsbedingungen namentlich erwähnt wird – gute Anbieter sind bereits "E-Rezept ready"! Der auslösende Moment für den Versicherungsschutz ist stets die Netzwerk- oder eine andere IT-Sicherheitsverletzung.

Der Verlust von Daten führt oft auch zu Datenschutzverletzungen. Damit wären wir beim dritten Schadensszenario – der Haftung – angekommen. Da Gesundheitsdaten zu den sensibelsten Daten gehören, die das deutsche Rechtssystem kennt, handelt es sich hier um alles andere als ein nebensächliches Risiko. Betroffene Kunden können im Fall einer Datenschutzverletzung von der Apotheke eine finanzielle Wiedergutmachung fordern. Und die kann exorbitant hoch ausfallen. Dazu ein Praxisbeispiel: Aufgrund einer Datenschutzverletzung wird öffentlich bekannt, welche Medikamente der Bürgermeister einer Kommune nimmt, und in der Folge wird die Karriere des Politikers zerstört. Forderungen aufgrund solcher Fälle sollten von einer Cyber-Versicherung ohne Frage abgesichert sein.

"Das ist genau die Aufgabe einer Cyber-Versicherung: Löcher in anderen Policen – beim E-Rezept sind das die Betriebsunterbrechungs-, die Werte- und Haftpflichtversicherung – zu stopfen."

Selbstverständlich kommen für Cyber-Kriminelle noch andere Angriffspunkte jenseits von Apotheken infrage. So dürften Rechenzentren, Krankenkassen, die Telematikinfrastruktur (TI) und die Gematik mit Sicherheit "interessante Ziele" für Cyber-Angriffe darstellen. Haben die Angreifer Erfolg, kann die Verarbeitung von E-Rezepten in Apotheken ebenfalls blockiert sein, obwohl diese gar nicht direkt angegriffen wurden. Einen Versicherungsschutz für Apotheken gibt es in solchen Fällen (bislang) nicht.

Es gibt aber eine Ausnahme: Sollten die Hacker erst in die TI oder an einer anderen Stelle eindringen und über diesen Weg die Apotheke infiltrieren, dann hat eine "Netzwerksicherheitsverletzung" oder "Informationssicherheitsverletzung" stattgefunden. Entstehende Schäden sollten in solchen Fällen abgesichert sein.

Es gibt im Zusammenhang mit dem E-Rezept sicher noch einige weitere Schadensszenarien. Doch die hier genannten – Rezeptverlust, Betriebsunterbrechung und Datenschutzverletzung – dürften die mit Abstand wichtigsten sein. Hier sollte der Versicherungsschutz sicher stehen – und das ganz besonders nach dem 1. September.

Keinen Versicherungsschutz gibt es für den Fall, dass die Internetverbindung ausfällt. Diesem Risiko können Sie dadurch vorbeugen, dass sie sich zwei Provider leisten. So kann beim Ausfall eines Anbieters einfach zu dem anderen gewechselt werden. Mit solchen Redundanzen lässt sich eine Betriebsunterbrechung in der Regel abwenden.

Oliver Scholl, Mitglied der Geschäftsleitung, PharmAssec GmbH, 73230 Kirchheim unter Teck, oliver.scholl@pharmassec.de