Cyberversicherung für Apotheken
Schweizer Apotheken sind weit mehr als Verkaufsstellen für Medikamente — sie sind hochvernetzte Gesundheitsdienstleister. Elektronische Rezepte, Kundendossiers, Medikationshistorien, Warenwirtschaftssysteme und die Anbindung an Krankenkassen machen Apotheken zu einem attraktiven Ziel für Cyberkriminelle. Die verarbeiteten Gesundheitsdaten gehören zu den sensibelsten Datenkategorien überhaupt.
Warum sind Apotheken besonders gefährdet?
Apotheken verarbeiten täglich besonders schützenswerte Personendaten im Sinne des nDSG: Rezeptinformationen, Medikationshistorien, Diagnosen und Krankenkassendaten. Der Verlust oder die Offenlegung dieser Daten kann für Betroffene schwerwiegende Konsequenzen haben — von Diskriminierung bis zu Erpressung.
In der Schweiz gibt es rund 1’800 Apotheken, die meisten davon kleine und mittlere Betriebe mit begrenzten IT-Ressourcen. Viele nutzen vernetzte Warenwirtschaftssysteme, die mit Grossisten, Krankenkassen und dem elektronischen Patientendossier (EPD) verbunden sind. Jede dieser Schnittstellen ist ein potenzielles Einfallstor.
Besonders kritisch: Apotheken unterliegen dem Medizinalberufegesetz und dem Heilmittelgesetz. Ein Datenverlust kann nicht nur finanzielle, sondern auch berufsrechtliche Konsequenzen haben. Zudem ist die Verfügbarkeit von Apotheken für die medizinische Grundversorgung essenziell — ein Ausfall kann die Patientensicherheit direkt gefährden.
Typische Angriffsszenarien
Szenario 1: Ransomware legt Apothekenkette lahm
Eine Schweizer Apothekenkette mit 12 Filialen wird von Ransomware getroffen. Die zentrale Warenwirtschaft, alle Kassensysteme und die elektronische Rezeptverarbeitung werden verschlüsselt. Die Apotheken können nur noch Notverkäufe gegen Barzahlung durchführen — Rezeptmedikamente können nicht abgegeben werden, da die Interaktionsprüfung ausfällt. Die Angreifer fordern CHF 200’000. Der Ausfall dauert acht Tage. Gesamtschaden inkl. Umsatzverlust, Datenwiederherstellung und behördlichen Auflagen: CHF 680’000.
Szenario 2: Patientendaten im Darknet veröffentlicht
Ein Angreifer nutzt eine Schwachstelle in der Apothekensoftware einer Berner Apotheke und exfiltriert die Kundendossiers von 8’500 Patienten — inkl. Medikationshistorien, Diagnosen, AHV-Nummern und Krankenkassendaten. Die Daten werden im Darknet angeboten. Besonders brisant: Darunter befinden sich Daten zu HIV-Medikationen, Psychopharmaka und Suchttherapien. Die betroffenen Patienten müssen informiert werden. Mehrere Betroffene reichen Klage ein. Gesamtkosten: CHF 420’000.
Szenario 3: Manipulation des Warenwirtschaftssystems
Cyberkriminelle verschaffen sich Zugang zum Warenwirtschaftssystem einer Zürcher Apotheke und manipulieren die Bestelldaten und Lagerbestände. Über mehrere Wochen werden unnötige Grossbestellungen von hochpreisigen Medikamenten im Wert von CHF 180’000 an eine fingierte Lieferadresse umgeleitet. Gleichzeitig werden die tatsächlichen Lagerbestände manipuliert, sodass kritische Medikamente nicht rechtzeitig nachbestellt werden. Gesamtschaden: CHF 260’000.
Typische Schadensummen
| Schadensart | Typischer Betrag |
|---|---|
| Ransomware (Einzelapotheke) | CHF 100’000 – 300’000 |
| Ransomware (Apothekenkette) | CHF 300’000 – 1’000’000 |
| Patientendaten-Diebstahl | CHF 200’000 – 800’000 |
| Warenwirtschafts-Manipulation | CHF 100’000 – 400’000 |
| Betriebsunterbruch (pro Tag) | CHF 10’000 – 40’000 |
| Berufsrechtliche Verfahren | CHF 50’000 – 200’000 |
Was deckt die Cyberversicherung?
Eine Cyberversicherung für Apotheken bietet massgeschneiderten Schutz:
- Betriebsunterbruch: Ertragsausfall bei Ausfall von Warenwirtschaft, Kassen und Rezeptverarbeitung
- Patientendaten-Schutz: Haftpflicht bei Verlust besonders schützenswerter Gesundheitsdaten
- Forensik: Untersuchung von Angriffen auf Apothekensoftware und vernetzte Systeme
- Benachrichtigungskosten: Information aller betroffenen Patienten gemäss nDSG
- Regulatorische Verfahren: Kosten bei Verfahren durch Gesundheitsbehörden und EDÖB
- Krisenmanagement: Patientenkommunikation und PR-Beratung
- Lösegeldzahlungen: Verhandlung und ggf. Deckung bei Ransomware
- Warendiebstahl: Deckung bei Manipulation von Bestellungen und Lagerbeständen
Checkliste: Ist Ihre Apotheke geschützt?
- Sind Patientendossiers verschlüsselt gespeichert und der Zugriff beschränkt?
- Gibt es Multi-Faktor-Authentifizierung für Apothekensoftware und Warenwirtschaft?
- Werden alle Systeme regelmässig aktualisiert (inkl. Kassensoftware)?
- Sind Backups aller Patientendaten und Warenwirtschaftsdaten vorhanden?
- Werden Mitarbeitende regelmässig in Cybersicherheit und Datenschutz geschult?
- Gibt es einen Notfallplan für den Ausfall der elektronischen Rezeptverarbeitung?
- Ist die Verbindung zu Grossisten und Krankenkassen abgesichert?
- Besteht eine Cyberversicherung mit Deckung für Gesundheitsdaten?
Falls Sie mehrere Punkte nicht bejahen können, besteht akuter Handlungsbedarf.
Nächster Schritt: Lassen Sie sich beraten
Die BTAG Versicherungsbroker AG in Bern kennt die regulatorischen und operativen Herausforderungen von Schweizer Apotheken. Als unabhängiger Broker findet BTAG die passende Cyberversicherung — ob für eine Einzelapotheke oder eine Apothekenkette — mit besonderem Fokus auf den Schutz von Gesundheitsdaten.
Fordern Sie jetzt eine unverbindliche Offerte an und schützen Sie Ihre Apotheke, Ihre Patientendaten und Ihren Betrieb vor Cyberangriffen.