Telefon: +49 911 1335-1335

Cyber-Versicherung

Police gegen Datendiebe

WiM_0318_Illu_web © Anton Atzenhofer

Datenklau, Viren und andere Cyber-Attacken: So kann man Risiken in der digitalen Wirtschaft versichern.

Industrie 4.0, E-Commerce und Internet der Dinge verändern die Wirtschaft durchgreifend. Die digitale Welt sorgt für mehr Effizienz, vernetzte Kommunikation und höheren Komfort, bringt aber auch neue Risiken mit sich, die für Unternehmen existenzbedrohend sein können. Die Geschäftsführer und IT-Verantwortlichen werden durch eine Vielzahl von Bedrohungen umgetrieben: Datendiebstahl und Datenmissbrauch, Distributed Denial of Service-Attacken (DDoS), unzählige Formen von „Malware“ (wie Viren) oder „Ransomware“ (Cyber-Erpressung) sind einige Beispiele. Ein Angriff lässt sich nie ganz ausschließen, selbst wenn IT-Sicherheit, Datenschutz und Risikomanagement im Betrieb auf höchstem Niveau sind. Durch spezielle Cyber-Versicherungen lassen sich zumindest die Folgen von Schäden mildern.

In Deutschland bieten derzeit knapp 20 Versicherer solche Policen an, darunter auch ausländische Anbieter aus Großbritannien, Frankreich, der Schweiz und vor allem den USA, wo diese Versicherungsform schon länger als in Deutschland angeboten wird. Dort schließen Unternehmen eine solche Police auch viel häufiger ab als in Deutschland, wo die Unternehmen noch sehr zurückhaltend sind. Möglicherweise sind sie auch verunsichert, weil die Bedingungswerke hierzulande zum Teil noch recht unterschiedlich ausgestaltet sind. Zwar hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) im vergangenen Jahr Musterbedingungen veröffentlicht, die sich aber noch nicht durchgesetzt haben. Deshalb stellt sich die Frage, was Unternehmen beim Abschluss einer solchen Versicherung beachten sollten.

Grundsätzlich ersetzen die Versicherungen die finanziellen Folgen des Verlusts, der Beschädigung oder des Missbrauchs von Daten, wobei sie – anders als die bekannten Versicherungsformen – sowohl den Eigen- als auch den Fremdschaden (Haftpflichtschaden) des Versicherungsnehmers abdecken. In der Praxis ausgesprochen hilfreich sind flankierende IT-Serviceleistungen: So kann der Versicherer präventiv z. B. bei der Erstellung einer betrieblichen Notfallplanung mitwirken oder er erstattet im Krisenfall die Kosten, die für IT-Forensiker, Krisenberater oder Verhandlungsführer anfallen.

Grundsätzlich eignet sich die Cyber-Versicherung für jeden, der sein Geld mit Hilfe IT-gestützter Technik verdient. Besonders hohe Risiken haben beispielsweise Betreiber von Webshops oder Industriebetriebe, deren Produktionsanlagen mit browser-vernetzten Steuerungen ausgestattet sind.

Welche Police versichert was?

Vor dem Abschluss einer Cyber-Versicherung empfiehlt sich die Prüfung, ob das zu versichernde Risiko eventuell schon durch eine bereits bestehende Versicherung abgedeckt ist (z. B. Vertrauensschaden-, Betriebshaftpflicht-, Berufshaftpflicht-, Sach- oder Elektronikversicherung). Für diese Versicherungsformen gelten jeweils grundlegende Deckungsvoraussetzungen, die sich in aller Regel von denen der speziellen Cyber-Versicherung unterscheiden. Beispiel: Bei der Vertrauensschadenversicherung wird vorausgesetzt, dass der Täter (Mitarbeiter, Vertrauensperson oder Hacker) mit Bereicherungsabsicht gehandelt hat. Dagegen ist das Tatmotiv bei der Cyber-Versicherung unerheblich, es genügt also der Nachweis eines Vermögensschadens. Definitiv nicht als Cyber-Schaden gelten sogenannte „CEO Frauds“ (auch „Fake President“-Attacken genannt), bei denen sich die Betrüger meist über Online-Kanäle als Führungskräfte des angegriffenen Unternehmens ausgeben. Diese Betrugsfälle können aktuell noch über die Vertrauensschadenversicherung abgedeckt werden.

Ein weiteres Beispiel dafür, dass auch andere Vertragsarten Cyber-Risiken teilweise abdecken: Zur Betriebs- und Produkthaftpflicht bieten einige Versicherer sogenannte „IT-Vermögensschaden-Zusatzklauseln“ an, die sich – bei einer Haftpflicht – naturgemäß nur auf Schäden beziehen, die Dritten entstehen. Daneben sind Eigenschäden über Sach- und technische Versicherungen (für Elek- tronik- und/oder Maschinen-Risiken) versicherbar, allerdings nur in Bezug auf Kosten für die Wiederherstellung von Hardware, Daten und Programmen sowie die daraus resultierenden Ertragsausfälle wegen einer Betriebsunterbrechung. Je nachdem, wie man die Verträge ausgestaltet, können verschiedene Sachen und Gefahren einbezogen werden. In der Sachversicherung sollte auch der möglicherweise hohe Selbstbehalt je Schadenfall beachtet werden.

Noch nicht allgemein erhältlich sind in Deutschland Deckungselemente, die an der Schnittstelle zwischen Produkthaftungs- und IT-Risiko liegen. Dazu zählen etwa Schäden, die Dritten dadurch entstehen, dass Kriminelle in die Steuerungssoftware von Produkten eingreifen oder dass die Fernwartung von Anlagen sabotiert wird. Damit derartige „Produkt-IT-Haftungsrisiken“ abgedeckt sind, muss mit dem jeweiligen Haftpflichtversicherer im Einzelfall eine individuelle Deckungserweiterung vereinbart werden. Die Cyber-Versicherungen, die derzeit auf dem Versicherungsmarkt sind, können hier nicht helfen.

Eine Cyber-Versicherung gliedert sich – wie alle anderen Versicherungen auch – in einen allgemeinen Teil (Vorschriften u. a. zu Anzeigepflichten, Beitragszahlung sowie Dauer und Kündigung des Versicherungsvertrags), in die „besonderen Bedingungen“ (Definition der versicherten Risiken, versicherten Leistungen und Ausschlüsse) und in das Deklarationsblatt mit den vereinbarten Deckungsmerkmalen (Versicherungssumme, Selbstbehalt sowie Beitragssatz).

Eigen- und Fremdschaden

Im Bedingungswerk unterscheiden die einzelnen Cyber-Versicherungen zwischen Eigen- und Fremdschaden: Unter „Eigenschaden“ fallen Kosten, um verlorene Daten und Programme wiederherzustellen und um – soweit vereinbart – Ertragsausfälle wegen einer Betriebsunterbrechung auszugleichen. Auch weitere Aufwendungen, die bei einem Cyber-Angriff nötig werden können (z. B. für IT-Forensik, Öffentlichkeitsarbeit, anwaltliche Beratung und – optional – sogar für „Lösegelder“, damit Kriminelle gekaperte IT-Zugänge wieder freigeben) zählen dazu. „Fremdschaden“ ist der Vermögensschaden, der einem Dritten entsteht durch eine Datenrechts- oder eine andere Cyber-Rechtsverletzung, die der Versicherungsnehmer zu verantworten hat. Datenrechtsverletzung bedeutet, dass der Versicherte gegen Datenschutzgesetze wie das Bundesdatenschutzgesetz (BDSG) oder die EU-Datenschutz-Grundverordnung (DSGVO 2018) verstoßen hat und dadurch einen Vermögensschaden anrichtet.

Cyber-Rechtsverletzungen sind Schäden, die vom Computersystem des Versicherungsnehmers ausgehen und durch die andere geschädigt werden. Das kann der Fall sein, wenn das Computersystem von Angreifern dazu missbraucht wird, um Dritte mit Computerviren, Schadprogrammen, Denial-of-Service-Angriffen oder Verletzungen des Persönlichkeitsrechts zu schaden.

Je nach Anbieter, Deckungskonzept und individueller Risikobewertung können auf Wunsch auch folgende Risiken versichert werden: Ertragsausfall infolge IT-Betriebsunterbrechung, Ausfall der Cloud, Lösegelder und individuelle Vertragsstrafen.

In den meisten Bedingungen der Cyber-Versicherungen sind folgende Schadenereignisse ausdrücklich nicht versichert:

  • Krieg, Bürgerkrieg und Terrorakte
  • Vertragsstrafen (soweit nicht ausdrücklich vereinbart)
  • Vorsatz bzw. wissentliche Nichtbeachtung von Vorschriften durch einen Repräsentanten des Versicherungsnehmers
  • Ansprüche aus dem Kartell-, Wettbewerbs- oder Patentrecht
  • ordnungs-, zivil-, öffentlich-rechtliche oder sonstige hoheitliche Strafen bzw. ähnliche Zahlungspflichten
  • vertragliche Erfüllungspflichten, Garantiezusagen
  • Schäden aus Produkten, Arbeiten oder sonstigen Leistungen

Ermittlung der Risiken

Unternehmen, die von einem Versicherer ein verbindliches Angebot einholen wollen, müssen einen Fragebogen zu ihren Cyber-Risiken beantworten. Ob der Versicherer zum Vertragsschluss bereit ist, entscheidet sich danach, wie er das Cyber-Risiko sowie das Niveau der IT-Sicherheit beim Antragsteller einschätzt. Manche Versicherer gewähren einen Versicherungsschutz erst dann, wenn sie das Risikomanagement des Betriebs eingehend geprüft haben und wenn ein unzureichender IT-Schutz nachgebessert wurde. Andere Anbieter legen einen weniger strengen Maßstab an, verhalten sich dafür aber möglicherweise im Schadenfall restriktiv. Beispiel „Obliegenheitsverletzung“: Manche Deckungskonzepte setzen als technische Obliegenheit den „Stand der Technik“ voraus, was in der Praxis eine komplikationslose Schadenregulierung zumindest erschweren dürfte.

Zusammenarbeit mit externen IT-Dienstleistern

Wichtig zu wissen: Die Cyber-Versicherer arbeiten in aller Regel mit externen Dienstleistern zusammen, die auf IT-Sicherheit spezialisiert sind. Diese werden aktiv, um vor dem Vertragsabschluss die Risiken zu analysieren, nach Vertragsabschluss präventiv das Risikomanagement zu optimieren und im Schadensfall die Schadensfolgen zu bemessen und zu beseitigen: Der Versicherungsnehmer hat also einen fachkundigen Beistand an seiner Seite. Das Know-how dieser Experten dürfte in aller Regel für die Versicherungskunden sehr nützlich sein, um die eigenen Sicherheitsstandards weiter zu entwickeln. Außerdem können die Spezialisten bei zusätzlichem Beratungsbedarf zu günstigeren Konditionen engagiert werden, als dies ohne den vorgeschalteten Versicherungsvertrag möglich ist.

Fazit: Cyber-Risiken können für die Unternehmen existenzbedrohend sein. Deshalb haben ein professionelles Risikomanagement und ein permanenter IT-Sicherheitsprozess oberste Priorität. Das verbleibende Restrisiko kann durch eine Cyber-Versicherung abgedeckt werden. Dem Vertragsabschluss sollte eine sorgfältige Risikoanalyse vorausgehen, die von Fachleuten begleitet wird. Da der Versicherungsmarkt relativ unübersichtlich ist, empfiehlt sich die Einschaltung eines unabhängigen Versicherungsmaklers.

Matthias Möllmann ist Prokurist und Vertriebsleiter bei der Bavaria-Assekuranz Versicherungsmakler GmbH in Nürnberg (m.moellmann@bavaria-assekuranz.de).
Autor/in: 

Von Matthias Möllmann; Illustration: Anton Atzenhofer

 

WiM – Wirtschaft in Mittelfranken, Ausgabe 03|2018, Seite 29

 
Device Index

Alle Ansprechpartner/innen auf einen Blick