Neues aus der Versicherungspraxis

Ein klarer Fall für die Cyber-Versicherung?
Wann greift eine Cyber-Versicherung? Welche Versicherungsfälle werden unterschieden und lassen sich diese auf einen gemeinsamen Nenner bringen? Viele Fragen, wir geben Antwort.

Im Kern geht es in der Cyber-Versicherung um Informationssicherheit und damit einhergehend um Datensicherheit. Daten, sprich gespeicherte Informationen, sollen stets verfügbar, vertraulich und integer sein. Ist dies nicht uneingeschränkt der Fall, können Unternehmen erhebliche finanzielle Verluste erleiden. Ein Risiko, das eine Cyber-Versicherung abdeckt. Wird die Informationssicherheit von Daten verletzt, spricht man vom Versicherungsfall. Die Ursachen dafür sind vielfältig – ein Hacker-Angriff ebenso wahrscheinlich wie eine Sabotage durch Mitarbeiter oder eine Infektion des betrieblichen IT-Netzwerkes mit Schadsoftware.

Die Cyber-Deckung umfasst dabei zwei Typen des Versicherungsfalles: Informationssicherheitsverletzungen und Datenschutzrechtsverletzungen. Der größte gemeinsame Nenner der in den einzelnen Produkten unterschiedlich beschriebenen Gefahrenszenarien ist die unberechtigte Nutzung der versicherten Informations- und Kommunikationstechnologie (kurz: IKT) des Unternehmens. Wie die unberechtigte Nutzung beziehungsweise Sabotage des IT-Systems erfolgte, ob durch einen externen Dritten – einen Hackerangriff beispielsweise – oder durch einen internen Angreifer, ist unerheblich.

  • Im Fall der Informationssicherheitsverletzung bieten Cyber-Versicherer üblicherweise eine Deckung im Umfang benannter Gefahren. Das bedeutet, dass es für den Deckungsschutz nicht ausschließlich darauf ankommt, dass eine Informationssicherheitsverletzung vorliegt, sondern auch darauf, durch welche Gefahr diese entstanden ist. In den Bedingungswerken werden entsprechende ursächliche Szenarien abgegrenzt, die den Versicherungsfall auslösen können. Wichtig ist auch, dass sich der Versicherungsfall ausschließlich auf elektronisch gespeicherte Daten begründet, ein Bezug zur IKT des versicherten Unternehmens ist also unabdingbar.
  • Anders sieht es beim Versicherungsfall Datenschutzrechtsverletzung aus: Zwar beschränken die Musterbedingungen des GDV zur Cyberrisiko-Versicherung auch hier den Versicherungsschutz auf elektronisch gespeicherte Daten, in den Bedingungswerken der meisten etablierten Anbieter ist man hiervon jedoch schon lange abgerückt und bietet für den Datenschutzvorfall Deckung auch im Zusammenhang mit nicht elektronisch gespeicherten Daten. Die klassische Papierakte ist hier ebenfalls vom Versicherungsschutz umfasst, für viele Branchen ein relevantes Detail.

Der Versicherungsfall Datenschutzrechtsverletzung wird einschlägig durch eine Datenschutzrechtsverletzung nach anwendbarem Recht ausgelöst. Ein Anpassungsbedarf bestehender Deckungen vor dem Hintergrund des erfolgten Wechsels vom Bundesdatenschutzgesetz (BDSG) zur Datengrundschutzverordnung (DGSVO) ist hinsichtlich der Beschreibung des Versicherungsfalles daher meist nicht gegeben. Die meisten Versicherer erweitern den Versicherungsfall Datenschutzrechtsverletzung um Fälle einer Datenvertraulichkeitsverletzung, die Erweiterung ist in der Regel nur für die Fälle der erwähnten, nicht elektronisch gespeicherten Daten relevant, da sie für elektronisch gespeicherte Informationen meist über die Informationssicherheitsverletzung bereits abgebildet wird.

Übrigens: Einige Versicherer bieten keine oder nur eingeschränkte Deckung für nicht zielgerichtete, sogenannte Streuangriffe. Gemeint sind Attacken, die sich nicht gegen ein durch Kriminelle oder Hacktivisten gezielt identifiziertes Unternehmen richten, sondern jeden treffen können und schnell eine flächendeckende Reichweite erzielen. Aus Gründen der Kumulkontrolle werden diese Szenarien nicht voll in den Versicherungsschutz einbezogen.

(Weitere) Auslöser des Versicherungsfalls

Stichwort Bedienfehler
Nicht zuletzt aus Wettbewerbsgründen haben Versicherer in den letzten Monaten den Gefahrenkatalog ihrer Cyber-Produkte um weitere Szenarien ergänzt. Die Aufnahme des Bedienfehlers als versicherte Gefahren ist mittlerweile in vielen Bedingungswerken erfolgt und führt immer wieder zu Irritationen. Ein Beispiel: Öffnet ein Mitarbeiter einen mit einer Schadsoftware bestückten Anhang einer E-Mail unbekannter Herkunft, handelt es sich nicht um einen Bedienfehler. Auf den ersten Blick mag dies überraschen. Doch in diesem Fall ist nicht das Öffnen der E-Mail schadensursächlich, sondern der externe Angriff, der durch das Bestücken der E-Mail mit Schadsoftware und ihren Versand erfolgte. Versicherungsschutz für das beschrieben Szenario ist daher regelmäßig auch dann gegeben, wenn in dem zugrunde liegenden Vertrag  die Mitversicherung des Bedienfehlers nicht vereinbart ist. Bedienfehler bedeutet also: um durch eine Handlung oder eine Unterlassung die Informationssicherheitsverletzung auszulösen, ist kein anderer Umstand notwendig. Doch Achtung. Nicht überall, wo Bedienfehler drauf steht ist auch Bedienfehler drin. Es gibt Produkte im Markt, die zwar eine Mitversicherung des Bedienfehlers bewerben, diesen jedoch nur dann abdecken, wenn er zu einem Cyber-Angriff führt – ein Mehrwert ist in diesem Fall nicht gegeben.

Empfehlung: Da Deckung für Informationssicherheitsverletzungen durch interne Angriffe ja bereits besteht, lohnt es sich zu vergegenwärtigen, worin der Unterschied eines Bedienfehlers zu einer unberechtigten Nutzung der versicherten IKT durch Mitarbeiter liegt. Unberechtigte Nutzung bedeutet, dass Mitarbeiter über ihre Berechtigung hinaus handeln; dies umfasst z.B. Fälle der bewussten unberechtigten Aneignung und Nutzung fremder Passwörter oder des böswilligen, sabotierenden Handels innerhalb des eigenen Kompetenzrahmens. Dagegen passiert der Bedienfehler möglicherweise grob fahrlässig, doch stets ungeplant und damit ohne Schädigungsabsicht.

Stichwort Programmierfehler
Vom Bedienfehler abzugrenzen ist der Programmierfehler, der aktuell in Alleinstellung von nur einem Anbieter als versicherte Gefahr angeboten wird. Eine sinnvolle Abgrenzung zum Bedienfehler ist schwierig und wird durch die Versicherer sehr unterschiedlich gehandhabt. Die angebotenen Abgrenzungslinien betreffen vor allem die Frage, ob Mitarbeiter der IT-Abteilung des Versicherten immer ‚programmieren’ oder auch ‚bedienen’ und was genau den Unterschied ausmacht, wenn sie beides tun.

Stichwort Technische Störung
Auch technische Störungen können bei einigen Anbietern als auslösender Faktor für eine Informationssicherheitsverletzung in der Cyber-Police versichert werden. Dies ist vor allem deshalb interessant, weil diese sachschadenunabhängige Gefahr lange Jahre No-Go-Area für Sachversicherer und insbesondere die Versicherer der technischen Zweige war. Offenbar hat die per se sachschadenungebundene Ausrichtung der Cyber-Versicherung hier neue Wege geöffnet. Auch wenn der Umfang der bei den Versicherern stets näher eingegrenzten versicherten technischen Störungen – dazu zählen Hard- oder Softwarefehler, interne Netzwerkfehler, Überhitzung, Über- oder Unterspannung, Ausfall oder Störung der Klimaanlage – noch nicht weit reicht und die Deckung häufig auf besondere Entschädigungspositionen und auch der Höhe nach beschränkt ist, zeichnet sich dennoch eine Entwicklung zu einer Erweiterung der Cyber-Versicherung um technische Störungen ab.

 

Unsere Webseite verwendet Cookies. Mehr erfahren

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen