Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Cybersicherheit braucht Aufklärung, Apotheken brauchen Schutz, Verantwortung braucht Versicherung

Apotheken unterschätzen digitale Risiken, setzen zu spät auf Prävention und müssen neue Standards zur Absicherung ihrer Systeme durchsetzen

Apotheken-News von heute

Cybersicherheit in Apotheken ist längst keine Frage mehr technischer Ausstattung oder optionaler Zusatzleistung, sondern ein zwingender Bestandteil unternehmerischer Verantwortung, da digitale Risiken nicht nur durch externe Angreifer, sondern vor allem durch interne Unachtsamkeit, veraltete Systeme und fehlendes Problembewusstsein entstehen, wodurch nicht nur Patientendaten in Gefahr geraten, sondern auch rechtliche Verpflichtungen aus der Datenschutz-Grundverordnung ausgelöst werden, die im Schadensfall innerhalb von 72 Stunden drei voneinander unabhängige Reaktionspflichten verlangen, deren Versäumnis nicht nur mit hohen Bußgeldern geahndet wird, sondern auch zum Entzug des Versicherungsschutzes führen kann, sofern keine präventiven Maßnahmen dokumentiert sind, weshalb jede Apotheke – unabhängig von Größe, Lage oder Spezialisierung – heute in der Pflicht steht, technische Schutzstrukturen, ein geschultes Team und einen rechtskonformen Notfallplan zu etablieren, um sowohl regulatorischen Anforderungen als auch versicherungsrechtlichen Obliegenheiten gerecht zu werden, denn spätestens mit der Einführung des E-Rezepts, der digitalen Rezeptübermittlung durch Botendienste und der zunehmenden Vernetzung mit Plattformanbietern ist der Apothekenalltag in einer digitalen Risikozone angekommen, in der Vertrauen, Sicherheit und Datenhoheit zur zentralen Führungsaufgabe werden.

Noch immer hält sich in vielen Apotheken der Glaube, Cybersicherheit sei ein Thema für Konzerne, IT-Dienstleister oder internationale Logistikplattformen, aber nicht für kleine Betriebe mit Offizincharakter. Diese Vorstellung ist gefährlich. Denn digitale Angriffe erfolgen heute nicht mehr nur gezielt, sondern oft massenhaft, automatisiert und durch Systeme, die Schwachstellen identifizieren, egal wie groß oder klein das Ziel ist. Jede Apotheke, die mit digitalen Daten arbeitet, Rezepte verarbeitet, mit Dienstleistern kommuniziert oder online mit Krankenkassen, Ärzten oder Großhändlern verbunden ist, ist potenziell angreifbar. Dass dies keine theoretische Bedrohung ist, zeigen die Fallzahlen deutlich. Laut dem Digitalverband Bitkom waren allein im Jahr 2024 über 80 Prozent aller befragten Unternehmen in Deutschland von Datendiebstahl, digitaler Sabotage oder Spionage betroffen. Und auch wenn nicht alle Angriffe erfolgreich waren, verursachten sie Schäden, die oft existenzgefährdend wurden.

Versicherungsexperte Seyfettin Günder spricht von einem flächendeckenden Defizit im Gesundheitswesen, wenn es um digitales Risikobewusstsein geht. Insbesondere Apotheken unterschätzten die Kombination aus technischer Verwundbarkeit, menschlicher Unachtsamkeit und regulatorischem Druck. Immer noch gebe es Betriebe, die Patientenprofile unverschlüsselt abspeichern, Passwörter offen auf Schreibtischen liegen lassen oder keine Back-up-Systeme verwenden, obwohl sie gesetzlich dazu verpflichtet wären, ihre Daten gegen Verlust, Missbrauch und unbefugte Zugriffe zu schützen. Besonders brisant wird es dann, wenn E-Rezepte ins Spiel kommen. QR-Codes, die auf Mobiltelefonen zwischengespeichert oder per Messenger verschickt werden, können in fremde Hände geraten, ohne dass es der Absender bemerkt. In genau solchen Fällen greift die Datenschutz-Grundverordnung mit voller Härte. Sie verlangt eine strukturierte Reaktion binnen 72 Stunden nach Bekanntwerden eines Datenschutzverstoßes.

Das bedeutet konkret, dass jede Apotheke im Falle eines vermuteten oder bestätigten Datenlecks gleich drei verschiedene Meldepflichten auszulösen hat: die zuständige Aufsichtsbehörde muss informiert werden, betroffene Patienten müssen in Kenntnis gesetzt werden und es muss intern dokumentiert werden, welche Schritte zur Behebung und Vermeidung des Problems eingeleitet wurden. Geschieht das nicht oder zu spät, drohen Bußgelder, die selbst bei fahrlässigen Verstößen empfindlich hoch ausfallen können. Noch problematischer wird es, wenn der Verstoß auf organisatorische Nachlässigkeit oder fehlende technische Sicherung zurückzuführen ist.

Ein konkreter Fall zeigt, wie banal die Ursache und wie gravierend die Konsequenz sein kann. Eine junge PTA postet am ersten Arbeitstag ein Bild aus dem Verkaufsraum. Auf dem Bildschirm hinter ihr sind Patientendaten zu erkennen. Das Bild geht online, wird geteilt, gespeichert, gefunden. Es folgen Beschwerden, Aufsichtsverfahren, interne Ermittlungen. Die Apotheke steht plötzlich im Mittelpunkt einer Datenschutzdebatte, obwohl kein Hacker im Spiel war, sondern nur ein nicht geschulter Mitarbeiter, der aus Unwissenheit handelte. Für Seyfettin Günder ist klar: Solche Vorfälle sind kein Einzelfall, sondern systemische Symptome eines fehlgeleiteten Selbstverständnisses. Apotheken sind keine analogen Schutzräume mehr. Sie sind datenverarbeitende Gesundheitszentren, die professionell, sicher und rechtlich einwandfrei funktionieren müssen – und zwar rund um die Uhr.

Immer häufiger kommen deshalb Cyberversicherungen ins Spiel. Doch auch hier herrscht vielfach ein Irrglaube. Denn viele Apotheken verlassen sich auf ihre Betriebshaftpflichtversicherung, ohne zu prüfen, ob diese überhaupt digitale Schäden abdeckt. In den meisten Fällen lautet die Antwort: nein. Selbst sogenannte All-Risk-Policen enthalten oft Ausschlüsse für Schäden, die durch Datenverluste, Hackerangriffe oder Systemausfälle verursacht wurden. Das bedeutet, dass eine Apotheke, die durch einen simplen Trojaner lahmgelegt wird, mitunter nicht nur den Umsatz der Ausfalltage verliert, sondern auch die Wiederherstellungskosten, Anwaltskosten, Krisenkommunikation und potenzielle Schadenersatzforderungen selbst tragen muss.

Günders Ansatz ist daher umfassend gedacht. Technische Schutzmaßnahmen wie die regelmäßige Aktualisierung aller Systeme, der Einsatz zertifizierter Firewalls und die konsequente Trennung interner von externen Netzwerken müssen ebenso selbstverständlich sein wie fortlaufende Schulungen des Personals zu Datensicherheit, Passwortvergabe, Phishing-Erkennung und rechtssicherer Kommunikation. Zugleich braucht es eine Versicherung, die auf die spezifischen Anforderungen von Apotheken zugeschnitten ist – mit Leistungen, die über klassische IT-Schäden hinausgehen und auch juristische Hilfe bei Datenschutzverstößen, Kompensation bei Betriebsausfall und im Idealfall Unterstützung bei Erpressungslagen durch Ransomware umfassen.

Entscheidend ist jedoch, dass eine solche Versicherung nur greift, wenn die Apotheke ihre sogenannten Obliegenheiten erfüllt. Das heißt: Es muss nachgewiesen werden können, dass angemessene technische und organisatorische Schutzmaßnahmen getroffen wurden, dass Mitarbeitende regelmäßig geschult wurden und dass ein Notfallplan existiert, der im Falle eines digitalen Angriffs aktiviert werden kann. Fehlt dieser Nachweis oder wird er erst nach einem Schadenereignis lückenhaft erbracht, verweigern Versicherer im Ernstfall die Leistung.

Ein besonders sensibles Thema sind inzwischen die digitalen Schnittstellen zu externen Systemen. Ob Rezeptserver, Großhandelsportale oder Botendienstapps – jede Schnittstelle ist eine potenzielle Schwachstelle. Wenn der Botendienstfahrer das Rezept digital fotografiert, es auf dem privaten Smartphone speichert und anschließend über ein unsicheres Netzwerk an die Apotheke übermittelt, liegt bereits ein Datenschutzverstoß vor. Wer in diesem Moment nicht über klare interne Regelungen, technische Zugriffskontrollen und rechtskonforme Prozesse verfügt, bewegt sich außerhalb des versicherbaren Rahmens.

Hinzu kommt, dass Apotheken häufig mit Software arbeiten, die zwar betriebswirtschaftlich notwendig, aber sicherheitstechnisch nicht mehr aktuell ist. Veraltete Betriebssysteme, nicht autorisierte Erweiterungen oder fehlende Patches bieten Angreifern Einfallstore, die mit wenigen Klicks ausgenutzt werden können. In vielen Fällen genügen bereits automatisierte Tools, um diese Schwachstellen im Netz zu finden und auszubeuten – völlig unabhängig davon, ob die Apotheke als Ziel ausgewählt wurde oder nicht.

Cybersicherheit in Apotheken bedeutet also nicht, auf Angriffe zu warten und dann zu reagieren, sondern eine durchgängige, strategische Sicherheitsarchitektur aufzubauen, die Technik, Mensch und Versicherung zu einem belastbaren Schutzsystem verbindet. Diese Architektur muss gelebt, verstanden, dokumentiert und regelmäßig aktualisiert werden. Sie beginnt nicht bei der Firewall, sondern im Kopf – bei der Einsicht, dass Verantwortung für Patientendaten, für Versorgungsaufträge und für rechtliche Standards nicht delegierbar ist.

Eine Apotheke ohne digitalen Schutz ist heute wie eine Offizin ohne Türschloss. Die Frage ist nicht mehr, ob ein Schaden entsteht, sondern wann. Wer also auf Sicht fährt, riskiert nicht nur seine Existenz, sondern auch das Vertrauen derer, die am empfindlichsten auf Datenverluste reagieren: die Patientinnen und Patienten. Es ist Zeit, dass Cybersicherheit in Apotheken nicht länger als technische Spezialfrage behandelt wird, sondern als Führungsaufgabe – mit der gleichen Ernsthaftigkeit wie die Qualitätssicherung in der Arzneimittelabgabe. Nur so bleibt das, was eine Apotheke ausmacht, auch im digitalen Raum geschützt.

Von Engin Günder, Fachjournalist

Zurück zur Übersicht