Dirk Bednarek
Executive Director Deutschland, Relyens Mutual Insurance Niederlassung Deutschland, Düsseldorf
Versicherungsbetriebswirt (DVA) mit mehr als 25 Jahren Erfahrung in der Versicherungswirtschaft; seit 2021 Excecutive Director und Niederlassungsleiter der Relyens Niederlassung Deutschland
Relyens ist ein auf die Absicherung von Gesundheitseinrichtungen spezialisierter Versicherungsverein auf Gegenseitigkeit mit Hauptsitz in Lyon und führender Anbieter von Versicherungslösungen und Risikomanagementstrategien für Krankenhäuser in Europa.
Cyberangriffe auch auf Krankenhäuser in Deutschland nehmen zu. Welche Szenarien sind denkbar und wie vorbereitet sind die Kliniken?
Wir unterscheiden im Grunde zwei Szenarien. Einerseits den gezielten Angriff mit ausgereiften Strategien auf vulnerable Stellen und andererseits den Zufallstreffer, der sozusagen dem Prinzip der großen Masse folgt. Nach wie vor machen über 50 Prozent der Angriffe sogenannte Ransomware-Attacken aus, die zur Verschlüsselung kritischer Patientendaten führen. Allerdings gibt es einen neuen Trend bei Ransomware-Attacken, bei dem Cyberkriminelle auf die Verschlüsselung verzichten und sich ausschließlich auf den Datendiebstahl konzentrieren. Diese Entwicklung wird als "Datenexfiltration" bezeichnet, wobei die Angreifer die gestohlenen Daten auf ein entferntes System unter ihrer Kontrolle übertragen. Die Kliniken befinden sich auf einem sehr unterschiedlichen IT-Sicherheitsniveau. Während besonders größere Kliniken unter die KRITIS-Verordnung fallen und dadurch einer Nachweispflicht über die Umsetzung von technischen und organisatorischen IT-Sicherheitsmaßnahmen nach dem Stand der Technik unterliegen, besteht bei kleineren Kliniken teilweise noch starker Nachholbedarf.
„Krankenhäuser sind oft nicht versicherbar in der Cyberversicherung“ lautet eine Ihrer Thesen im Forum „Die Digitale Gefahr“. Warum?
Die komplexe und damit schwer zu schützende IT-Infrastruktur und die oft veralteten Systeme machen Krankenhäuser zu leichten Zielen für Cyberkriminelle. Daher ist es wichtig, Mindestmaßnahmen zu ergreifen, um den immer professioneller werdenden Angreifern entsprechendes entgegenzusetzen. Zum Beispiel Multi-Faktor-Authentifizierung oder andere Maßnahmen der Organisation und Sensibilisierung. Auch das Thema End-of-Life beschäftigt uns. Sind diese Mindeststandards nicht hinreichend erfüllt, gelten betroffene Kunden zunächst als nicht versicherbar, bis dann das erforderliche Sicherheitsniveau mittels eines gemeinsam definierten Aktionsplans hergestellt ist.
Können Sie mögliche Lösungen, die Sie am 3. April präsentieren, anreißen? Was sind mögliche Ansätze und Akteure?
Wir müssen berücksichtigen, dass Cyberkriminalität ein Geschäftsmodell ist und die Angreifer in gut organisierten Netzwerken agieren.
Auf der anderen Seite ist die Stärke der Versicherungswirtschaft eben auch genau diese Gemeinschaft, die wir dem entgegenzusetzen haben, und diese Gemeinschaft hört nicht an den Grenzen Deutschlands auf. Wir werden zusammen mit unserem Partner MunichRe einen Blick in die Zukunft wagen, auf das, was wir in anderen Ländern sehen, was uns mit einer gewissen Zeitverzögerung auch erreichen wird und worauf wir uns heute schon vorbereiten können. Der Austausch von Wissen und Best Practices wird uns fit machen für die kommenden Herausforderungen.