Die Versicherung von Cyberrisiken

Die weltweite Vernetzung der Unternehmen bringt neben Vorteilen auch Risiken mit sich: Virusinfektionen, Datenverlust, Spionage und Cyber-Attacken können für die Unternehmen teuer werden.

Der Versicherungsmarkt für Cyberrisiken ist noch jung. Der Gesamtverband der deutschen Versicherungswirtschaft (GDV) hat insoweit noch keine Musterbedingungen vorgelegt, an welchen seine Verbandsmitglieder sich orientieren könnten. Derzeit bieten am deutschen Versicherungsmarkt ca. 15 Versicherer auf Basis jeweils eigener Bedingungen Versicherungsschutz an. Es sind bisher kaum versicherte Schäden eingetreten. Naturgemäß gibt es noch keine Rechtsprechung zu dieser jungen Versicherungssparte. Sämtliche Marktteilnehmer - Versicherer auf der einen und Versicherungsnehmer sowie Versicherungsmakler auf der anderen Seite - befinden sich noch in der Findungsphase.

Diese Artikel verfolgt das Ziel, Unternehmen, die über den Abschluss einer Cyber-Versicherung nachdenken, eine erste Orientierung zu geben.

Der Risikotransfer auf Versicherer steht am Ende der Kette des Riskmanagements

Vorab soll darauf hingewiesen werden, dass sinnvollerweise über den Einkauf von Versicherungsschutz erst dann nachgedacht werden kann, wenn im Vorfeld entsprechende Vorbereitungen getroffen worden sind.

Die Sprinkleranlage zur Begrenzung des Feuerrisikos in der Feuerversicherung ist die Fire-Wall zur Begrenzung der Cyber-Risiken in der Cyber-Versicherung. Wobei hier wie dort selbstverständlich weitere Sicherheitsmaßnahmen zur Anwendung kommen müssen. Der Versicherungsinteressent muss die Beschaffenheit seines Firmennetzwerkes kennen und organisatorische wie auch technische Maßnahmen zur Vermeidung von Schäden getroffen haben. IT-Sicherheit allein reicht zur Vorbeugung nicht aus. Notwendig sind Netzwerk-Sicherheitsrichtlinien und entsprechende Prozesse, die von der Geschäftsleitung unterstützt werden. Die Prozesse müssen getestet, eingeführt und regelmäßig aktualisiert werden.

Erst im Anschluss daran ist an eine Versicherung des noch zu bestimmenden Restrisikos zu denken.

Einordnung der Cyber-Versicherung in das vorhandene Versicherungssystem

Die Cyber-Versicherung lässt sich als neue Versicherungssparte in das vorhandene System der Klassifikation der Versicherungen einordnen.

Nicht Allgefahrenversicherung, sondern Versicherung benannter Gefahren

Zum ersten Verständnis macht es Sinn, sich zu vergegenwärtigen, dass die Cyber-Versicherung nicht pauschal Versicherungsschutz gegen sämtliche Gefahren, die aus der weltweiten Vernetzung mittels Internets resultieren, bietet. Als Versicherung benannter Gefahren gewährt sie nur dann Versicherungsschutz, wenn die Versicherung gegen eine bestimmte Gefahr ausdrücklich mit dem Versicherer vereinbart worden ist.

Nicht zuletzt deswegen muss sich der Versicherungsnehmer - wie oben bereits angesprochen - im Vorfeld des Abschluss des Versicherungsvertrages Klarheit verschaffen, welche Risiken er auf den Versicherer übertragen will.

Schadenversicherung und nicht Summenversicherung

Die Cyber-Versicherung ist eine Schadenversicherung. Bei einer Schadenversicherung ersetzt der Versicherer den entstandenen Schaden bzw. leistet für diesen bis zur vereinbarten Versicherungssumme. Schadenversicherungen dienen somit einer konkreten Bedarfsdeckung. Im Gegensatz zur Summenversicherung muss der Versicherungsnehmer dem Versicherer nicht nur den Eintritt des Versicherungsfalles, sondern auch den Eintritt eines Schadens der Höhe nach belegen.

Vor Abschluss des Versicherungsvertrages sollten Versicherer und Versicherungsnehmer vereinbaren, wie zum Beispiel im Falle einer Spionage der Schaden nachgewiesen werden kann. Wird zum Beispiel ein neu entwickeltes Produkt gleichzeitig von einem Konkurrenten auf den Markt gebracht, ist es nicht so einfach, den Schaden genau zu beziffern. Das Gleiche gilt – nicht nur im Bereich der Cyber-Versicherung – wenn es um den Nachweis des Schadens aus einer Betriebsunterbrechung geht. Es bietet sich daher an, in den Cyber-Versicherungsbedingungen die Methoden zur Berechnung des Schadens zu regeln und im Einzelfall Beweiserleichterungen für den Versicherungsnehmer zu formulieren.

Die einzelnen versicherbaren Schäden

In Cyber-Versicherungen wird unterschieden zwischen Eigen- und Drittschäden oder auch zwischen materiellen und immateriellen Schäden.

Eigenschäden

Im Wesentlichen sind Eigenschäden des Versicherungsnehmers über seine klassischen Versicherungen gedeckt. Eigenschäden können sich auf der Aktiv- wie auf der Passivseite der Bilanz auswirken.

Die Versicherung von Eigenschäden kommt in erster Linie in Betracht, wenn es um die Absicherung der Folgen z.B. einer Betriebsunterbrechung geht. Die Versicherung der Betriebsunterbrechung ist zwar auch Gegenstand der Sachversicherung des Unternehmens. Die Versicherung der Folgen einer Betriebsunterbrechung erfolgt dort aber in der Regel im Falle der Beschädigung der Gebäude aufgrund Feuers oder anderer versicherter Gefahren. Vorliegend geht es um die Betriebsunterbrechung aufgrund des Ausfalls des Firmennetzwerkes.

Eine weitere Position der Eigenschadendeckung sind Informationskosten. Unternehmen sind aufgrund des Bundesdatenschutzgesetzes verpflichtet, im Fall eines Verlustes von personenbezogenen Daten nicht nur die zuständige Behörde, sondern auch sämtliche Betroffenen zu informieren. In den letzten Jahren sind Fälle bekannt geworden, in denen Hacker auf Datensätze Millionen Betroffener Zugriff nahmen. Entsprechend hoch können Informationskosten sein, die das Unternehmen treffen. Informationspflichten und gegenüber dem nationalen Recht verschärfte Sanktionen für den Fall der unterlassenen oder unzureichenden Information sieht auch der Entwurf der geplanten Datenschutz-Grundverordnung der EU vor.

Als Eigenschaden kommen des Weiteren die Kosten der Datenwiederherstellung im Falle eines Datenverlusts in Betracht.

Drittschäden

Einhergehend mit einer Abnahme der industriellen Fertigungstiefe verfügen Unternehmen regelmäßig über weitrechende Daten Dritter, insbesondere Kundendaten. Personenbezogene Daten Dritter unterliegen dem Datenschutz. Werden zu schützende Daten Dritter öffentlich, drohen gravierende Reputationsschäden. Auch können Systemausfälle beim Versicherungsnehmer erhebliche Schäden bei Dritten verursachen. Dies liegt daran, dass die gegenseitige Systemabhängigkeit zusammenarbeitender Unternehmen steigt (ständige Verfügbarkeit von Informationen, Produkten oder Dienstleistungen). Durch Outsourcing sind Unternehmen von fremden Strukturen abhängig. Kommt es beispielsweise bei einem Logistikdienstleister zu einem Systemausfall, kann dies die Produktion oder den Vertrieb des Auftraggebers beeinträchtigen.

Die Cyber-Versicherung ist eine Multiline-Versicherung

Unter einer Multiline-Versicherung ist ein gebündeltes oder verbundenes Versicherungsvertragswerk mit modularerem Versicherungsschutz zu verstehen. Bei den verbundenen Vertragswerken können die einzelnen Module nur gemeinsam abgeschlossen und gekündigt werden. Die derzeit vorhandenen Cyber-Versicherungen erlauben den Abschluss von Risiken im Wege des Baukasten-Prinzips. Je nachdem welcher Versicherungsschutz erforderlich ist. Der Versicherungsschutz kann auf gleichem Wege auch nur teilweise wieder abgestellt werden. Die Cyber-Versicherung ist demnach ein gebündeltes Versicherungsprodukt.

Versicherungssparten in der Cyber-Versicherung

Die einzelnen Versicherungssparten, die sich in der Cyber-Versicherung wieder finden, sind so neu nicht. Neu ist allein deren Zusammenstellung und deren Bezug auf das Cyberrisiko.

In gewissem Umfang besteht Cyber-Versicherungsschutz zugunsten der meisten Unternehmen zumeist bereits über die Betriebsunterbrechungs-, die Rechtsschutz-, die Haftpflicht-, die Vertrauensschadensversicherung sowie die D&O Versicherung. Schließlich kann auch bereits eine Erpressungsversicherung bestehen.

Der Versicherungsnehmer muss daher zunächst schauen, was er bereits in seinen herkömmlichen Policen versichert hat. Erst im Anschluss daran kann die Entscheidung über das Ob und den Umfang des Zukaufs weiterer Versicherungsbausteine unter einer Cyber-Versicherung erfolgen. Denkbar ist auch, dass der Versicherungsnehmer keinen neuen Versicherungsvertrag abschließt, sondern seine vorhandenen Versicherungsverträge um Bausteine zur Absicherung des Cyberrisikos ergänzt.

Die derzeit am Markt befindlichen separaten Cyber-Versicherungen sehen vor, dass der anderweitig für das gleiche Risiko bestehende Versicherungsschutz vorgeht. Insoweit hat die Cyber-Versicherung den Charakter einer Konditionsdifferenz- und Summendifferenz-Versicherung.