Bereits in den frühen Morgenstunden des 19. Juli meldeten sich die ersten betroffenen Apotheken, die das CGM Lauer-System nutzen. Im Laufe des Tages kamen Berichte über Ausfälle bei weiteren Warenwirtschaftssystemen, Flughäfen und Kliniken hinzu. Anfangs wurde ein groß angelegter Cyberangriff vermutet, doch es stellte sich schnell heraus, dass ein Softwarefehler bei CrowdStrike die Ursache war. CrowdStrike, ein führender Anbieter im Bereich Cybersicherheit, hatte durch ein fehlerhaftes Update diese weitreichenden Probleme verursacht.
Komplexität des Versicherungsschutzes
Die Frage nach dem Versicherungsschutz in solchen Fällen ist äußerst komplex. Cyberversicherungen decken üblicherweise IT-Sicherheitsverletzungen ab, die durch unberechtigte Zugriffe entstehen. Der Vorfall am 19. Juli war jedoch kein unberechtigter Zugriff, sondern ein Softwarefehler. Daher greift der herkömmliche Versicherungsschutz nicht. Zwar könnte CrowdStrike theoretisch haftbar gemacht werden, doch erscheint das Prozesskostenrisiko im Verhältnis zur Schadenshöhe oft nicht gerechtfertigt.
Einige Cyberversicherungen bieten Zusatzklauseln wie „Betriebsunterbrechung infolge von technischen Problemen“ an. Diese Klauseln werden Apotheken jedoch häufig verwehrt und der Versicherungsfall ist eng definiert. Beispielsweise muss die Fehlfunktion von einem IT-Systemteil ausgehen, der der alleinigen Kontrolle des Versicherten unterliegt. Auch „erweiterter Cyberbetrug“ und Datenschutzverletzungen sind häufig versichert, doch all diese Klauseln greifen nicht bei einem simplen Softwarefehler.
Einfluss auf die Cyberversicherungsbranche
Obwohl dieser Vorfall keinen versicherten Cyberschaden darstellt, bleibt die Cyberversicherungsbranche stark gefordert. Laut dem Branchenverband Bitkom entstehen der deutschen Wirtschaft jährlich Schäden von über 200 Milliarden Euro durch Datendiebstahl, Spionage und Sabotage. Einige Versicherer haben sich aus dem Markt zurückgezogen, während andere neue Annahmerichtlinien oder Vertragspflichten eingeführt haben.
Erfordernis eines umfassenden Risikomanagements
Der IT-Ausfall vom 19. Juli 2024 verdeutlicht die Notwendigkeit eines umfassenden Risikomanagements, das über den reinen Versicherungsschutz hinausgeht. Unternehmen müssen ihre IT-Infrastruktur regelmäßig überprüfen und aktualisieren, um solche Fehler zu minimieren. Notfallpläne, die eine schnelle Reaktion ermöglichen, sind essenziell. Die Zusammenarbeit mit unabhängigen Versicherungsvermittlern, die die spezifischen Risiken des Unternehmens kennen und maßgeschneiderte Versicherungslösungen anbieten können, ist von unschätzbarem Wert.
Fazit und Empfehlungen
Das Fazit lautet: Nicht jedes finanzielle Risiko ist versichert. Apothekeninhaber müssen relevante Risiken identifizieren und diese über die Zeit und das Kollektiv einer Versicherung bestmöglich ausgleichen. Eine individuell angepasste Versicherung, die die spezifischen Bedürfnisse der Apotheke berücksichtigt, ist hierbei entscheidend. Ein unabhängiger Versicherungsvermittler kann von großem Vorteil sein, da er die Interessen der Apotheke gegenüber den Versicherern vertritt und den Markt sowie die spezifischen Risiken versteht.
Von Engin Günder, Fachjournalist