Warum birgt eine Cyberattacke persönliche Risiken für das Management?  

Für den Vorstand eines Klinikums, aber auch anderer Unternehmen sind die rechtlichen und finanziellen Folgen von Cyberattacken besonders heikel. Zumal in der EU-Richtlinie NIS-2 die persönliche Haftung von Geschäftsführern und Vorständen festgelegt wird. Folgende Aspekte schildern das multidimensionale Risiko von Cyberattacken, das weit über die unmittelbaren Auswirkungen des Angriffs hinausgeht.

Rechtliche Aspekte: 

1. Datenschutzverletzungen: Krankenhäuser verarbeiten eine enorme Menge an sensiblen Patientendaten, deren Schutz durch die Datenschutz-Grundverordnung (DSGVO) in der EU streng geregelt ist. Bei einem Cyberangriff, bei dem Patientendaten kompromittiert werden, könnte der Vorstand für Verstöße gegen diese Datenschutzbestimmungen verantwortlich gemacht werden, was zu erheblichen Bußgeldern führen kann. 

2. Haftungsrisiken: Sollte der Angriff auf eine Vernachlässigung der Sorgfaltspflicht zurückzuführen sein, etwa durch unzureichende Sicherheitsmaßnahmen oder mangelnde Vorsorge für solche Ereignisse, könnten Vorstandsmitglieder persönlich haftbar gemacht werden. Dies kann zivilrechtliche Klagen nach sich ziehen, einschließlich Schadensersatzforderungen von Patienten oder Partnern. 

3. Nichteinhaltung von Vorschriften: Im Gesundheitswesen gelten strenge regulatorische Anforderungen, einschließlich der Notwendigkeit, bestimmte Sicherheitsstandards zu erfüllen. Die Nichteinhaltung kann nicht nur zu Geldstrafen führen, sondern auch die Lizenz des Krankenhauses zur Erbringung medizinischer Dienstleistungen gefährden. 

Finanzielle Aspekte: 

1. Wiederherstellungskosten: Die Kosten für die Wiederherstellung der IT-Systeme, das Entfernen von Malware, das Wiederherstellen von Daten und die Verstärkung der Sicherheitsinfrastruktur können enorm sein. Diese Ausgaben können den Finanzhaushalt des Unternehmens erheblich belasten. 

2. Betriebsunterbrechung: Ein Cyberangriff kann zu einer erheblichen Betriebsunterbrechung führen, die den Verlust von Einnahmen zur Folge hat. Für ein Krankenhaus, das auf kontinuierliche Betriebsabläufe angewiesen ist, können die finanziellen Verluste durch abgesagte Operationen, Behandlungen und andere Dienstleistungen beträchtlich sein. 

3. Reputationsverlust: Die öffentliche Wahrnehmung eines Krankenhauses, das Opfer eines Cyberangriffs wurde, kann zu einem langfristigen Vertrauensverlust führen. Dies kann zukünftige Einnahmen beeinträchtigen, da Patienten möglicherweise entscheiden, ihre Gesundheitsversorgung anderswo zu suchen. 

4. Versicherungskosten: Nach einem Cyberangriff könnten die Prämien für Cyber-Versicherungen steigen. Zudem könnten Versicherer strengere Sicherheitsmaßnahmen fordern oder bestimmte Deckungen einschränken.