Wie geht die sich immer weiter digitalisierende Gesellschaft und Wirtschaft mit den Bedrohungen durch Cyber-Risiken um? Und warum sollten gerade Ärzte, Anwälte und Unternehmer sich mit dem Thema befassen?

In naher Zukunft werden Rechtsanwälte nicht nur mit ihren Mandanten und Gegnern, sondern mit der vollständigen Umsetzung der besonderen elektronischen Akte (beA) auch mit den Gerichten elektronisch kommunizieren. Im Bereich Gesundheit nutzen Ärzte Telemedizin und Patienten werden mit der elektronischen Patientenakte neue Kommunikationsmöglichkeiten nutzen. Und Unternehmer können mit der Verwaltung elektronisch kommunizieren. Der Kreis der Kommunikation (Datenaustausch in jede Richtung) schließt sich sozusagen.

Ein Auslöser für die Beschleunigung der intensivierten Digitalisierung in Deutschland war Covid-19 beziehungsweise Corona, ein anderer Auslöser sind die die nunmehr technischen Möglichkeiten und die geschaffenen gesetzlichen Grundlagen. Deutschland soll und will online sein. Schon in wenigen Monaten werden digitale Kommunikationen verpflichtend sein. Die Jahre 2021 und 2022 werden Meilensteine in der Umsetzung digitaler Nutzungen sein (ERV-Gesetz ab 1.1.2022, PDSG ab 1.1.2021 und das OZG bis Ende 2022 verpflichtend).

Unter dem Blickwinkel der sich exponenziell ausbauenden Digitalisierung einerseits, stellt sich die Frage, inwieweit Kanzleien, Praxen und Unternehmen auf der anderen Seite in ihrem Risikomanagement die Schattenseite der Digitalisierung bereits berücksichtigt haben. Bauen die Verwender personenbezogener Daten, wie Rechtsanwälte oder Ärzte und Unternehmen in gleichem Maße – besser: in ausreichendem Maße – ihre IT-Sicherheitsarchitektur aus beziehungsweise sichern sie sich in gleichem Maße wie die Digitalisierung voranschreitet, vor den Folgen von Informationsschäden ab?

Ein Gespräch zwischen Hans-Peter Schwintowski, Professor für Versicherungsrecht an der Humboldt Universität zu Berlin, und Mike Amelang, Versicherungsmakler und Co-Gründer von Cyberassistance.de, soll darüber Erkenntnisse bringen.

Mike Amelang: Herr Schwintowski, das Schlagwort Digitalisierung hört sich leicht und modern an. Man schaut auf den Nutzen. Über welchen Umfang sprechen wir, wenn wir über den weiteren Ausbau der Digitalisierung zum Beispiel in einer Rechtsanwaltskanzlei reden? Wohin geht die Reise?

Hans-Peter Schwintowski: Anwälte werden in Zukunft erheblich verbesserte Suchsysteme und Sprachprogramme einsetzen. Die Büro-Organisation wird sich grundlegend ändern. Es wird zunehmend Assistenzsysteme geben, die den Anwalt bei seiner täglichen Arbeit entlasten und unterstützen.

Amelang: Man kann also festhalten, dass die Abhängigkeit von der Datennutzung noch um ein Vielfaches gesteigert wird. Wo liegen aus Ihrer Sicht die „eigentlichen“ Risiken im digitalen Alltag für Anwaltskanzleien?

Schwintowski: Die digitalen Risiken liegen vor allem darin, dass sensible Daten von Mandanten in Anwaltskanzleien ausgespäht werden.

Amelang: Angenommen das IT-System wird infiltriert mit typischen Schäden, wie Datenabschöpfung, Erpressung, Ausfall und den Wiederherstellungskosten. Die Umfänge eines Schadens werden auch durch die umfangreichere Technik, welche benutzt wird, immer größer. Die Nutzung von Smartphones, iPads, Laptops und Homeoffice-Umgebungen ist neben den Geschäftsservern eine Selbstverständlichkeit geworden. Meine Frage: Angenommen ein Cyber-Schaden läge in Ihrer Kanzlei vor. Sie bekommen Kenntnis darüber und sollen das Problem lösen. Können Sie beschreiben welche Gedanken und Gefühle Ihnen in diesem Moment durch Ihren Kopf gehen würden?

Schwintowski: Meine Hauptfrage würde sein, wie ich meine Mandanten schützen kann und ob ich alles im Vorfeld getan habe, was zum Schutz der sensiblen Daten notwendig gewesen ist. Ich hoffe, dass ich einen kühlen Kopf behalten könnte, weil ich gut vorgesorgt habe.

Amelang: Schäden, wie eben geschildert können recht hohe Schadenfolgen nach sich ziehen. Die bestehenden Betriebssachversicherungen sichern solche Schäden nicht ab. Und nun?

Schwintowski: Wenn das Kind in den Brunnen gefallen ist, wird es zu spät sein. Ich hoffe aber, dass die Kanzlei durch eine gute Cyber-Deckung vorgesorgt hat.

Amelang: Es ist ein Paradoxon: trotz der intensiven Nutzung der Digitalisierung können sich viele Unternehmen kaum vorstellen, welchen Umfang Cyber-Schäden anrichten können. Weshalb können sich Unternehmer das Risiko und die damit verbunden Kosten und Aufwände und damit verbundenen Notwendigkeiten nicht vorstellen?

Schwintowski: Ich glaube, der Hauptgrund liegt darin, dass viele Kanzleien Cyber-Probleme in größerem Umfang noch nicht erlebt haben, so dass sie schwer aus eigener Erfahrung einschätzen können, wie groß der Schaden werden kann.

Amelang: Die Dunkelziffer bei Cyber-Schäden ist bekanntlich recht hoch. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, und die Versicherer gehen davon aus, dass bereits jeder Anwender – ob privat oder beruflich – mit Schadsoftware und Cyber-Attacken in Berührung kam und jeder zweite Anwender einen mehr oder weniger großen Schaden erlitt. Was kann aus Ihrer Sicht eine Rechtsanwaltskanzlei, ein Praxisinhaber oder Unternehmer denn selbst tun, um sich vor den Cyber-Gefahren zu schützen beziehungsweise, um mit der exponenziellen digitalen Entwicklung Schritt zu halten.

Schwintowski: Nach meiner Erfahrung muss man sich mit Cyber-Experten zusammensetzen, um über sinnvolle Risikobegrenzungskonzepte nachzudenken. Ganz wichtig ist, dass in diesem Zusammenhang nicht nur eine finanzielle Absicherung stattfindet, sondern der schnelle und garantierte Zugriff auf Cyber-Spezialisten, die über umfangreiche Erfahrungen zur Abwehr von Angriffen verfügen, eröffnet ist.

Amelang: Es gibt Bereiche, in denen selbst der beste Schutz keine Wirkung hat oder ein Schutz nicht möglich ist. Die Cyber-Versicherung ist Absicherung gegen die finanziellen Folgen von Cyber-Attacken beziehungsweise sogenannte Informationsschäden. Zudem bietet die Cyber-Versicherung vielfältige Assistance-Leistungen. Was halten Sie von dieser neuen Art von Absicherung?

Schwintowski: Sie haben völlig recht, die modernen Cyber-Schutzkonzepte bieten vor allem auch Zugriff auf Cyber-Spezialisten. Das benötigen in Zukunft Unternehmen und Kanzleien.

Amelang: Überraschend ist, dass Cyber-Versicherungen noch ein Schattendasein fristen. Smart-Home, Smart-Car, Home-Schooling im privaten Bereich und Homeoffice, Bring-your-own-Device, beA, elektronische Patientenakte und so weiter zeigen auf der beruflichen Ebene ein ungebremstes Nutzungsverhalten. Worin könnten die Gründe liegen, dass Cyber-Versicherungen noch nicht als Absicherungsinstrument wahrgenommen werden? Liegt es daran, dass wir Menschen nur archaische Gefahren wie Feuer und Wasser verinnerlicht haben? So sind Büros und Praxen gegen die Sachgefahren, wie Einbruch, Feuer und Wasser (selbstverständlich) versichert, obwohl Einbrüche zurückgehen, aber Cyber-Kriminalität mittlerweile die weltweit umsatzstärkste Sparte ist.

Schwintowski: Ich glaube nicht, dass Menschen nur archaische Gefahren als Risiken begreifen. Aber in der Geschichte der Menschheit spielten diese Erfahrungen eine herausragende Rolle – erst die Brände in London und in Hamburg haben zu der Feuerversicherung der Moderne geführt. Über Cyber-Risiken wird viel gesprochen – aber nicht allzu viele Unternehmen und Kanzleien haben die zerstörerische Kraft dieser Risiken bisher unmittelbar erfahren müssen. Deshalb ist es so wichtig, über diese Gefahren zu sprechen – Beispiele zu dokumentieren und immer wieder klarzumachen, dass Cyber-Risiken existenzvernichtend sein können.

Amelang: Auch Rechtsanwälte, Ärzte und Unternehmer sind trotz der besonderen Kategorien von personenbezogenen Daten noch zurückhaltend in Bezug auf eine Cyber-Versicherung. Frei nach dem Song: „Das Herz sagt ja, und der Kopf sagt nein.“ Welche Berufsgruppe könnte eigentlich in der Zukunft auf einen solchen Versicherungsschutz noch verzichten?

Schwintowski: In der digitalisierten Welt wird es nur wenige Berufsgruppen geben, die gar keinen Cyber-Risiken ausgesetzt sind. Klassische Musiker, Bildhauer, Schauspieler, vielleicht auch Sportler oder kleine Handwerksbetriebe könnten dazu gehören. Aber auch diese Berufsgruppen werden miteinander vernetzt sein, sodass es sich anbietet, in jedem Falle einmal ein Cyber-Risikoprofil zu entwickeln und darauf aufbauend im Einzelfall zu fragen, welchem Cyber-Risiko das einzelne Unternehmen eigentlich ausgesetzt ist. Die Entwicklung standardisierter Cyber-Risikoprofile, die als Grobraster angelegt werden könnten, wäre, aus meiner Sicht, für die Praxis sehr hilfreich.

Amelang: Die sich offensichtlich immer weiter vernetzende Welt wird gerade auch nach den fortschreitenden neuen Vernetzungen nicht nur den bekannten, sondern auch neuen Bedrohungen gegenüberstehen. Das Thema Cyber-Sicherheit und die damit verbundenen Handlungsaufforderungen werden für alle Berufe und natürlich auch im Privatleben in der Zukunft ein wichtiges Thema darstellen. Neue Risiken verlangen neue Lösungen. Es bleibt wichtig, über diese Veränderungen zu reflektieren und die Maßnahmen ins Visier zu nehmen. Es gilt ein Bewusstsein zu entwickeln, dass sich den Risiken stellt, im Vorfeld entsprechende Maßnahmen ergreift und nach Verwirklichung des Risikos Lösungen bereithält. Herr Schwintowski, ich bedanke mich für das Gespräch.