Schutz vor Hacker-Angriffen durch Cyberversicherungen
Nicht zuletzt durch die aktuellen Hacker-Angriffe auf deutsche Politiker – die Tageszeitungen berichten – ist das Thema „Cyberrisiken“ in aller Munde. Die Digitalisierung (Stichworte: Industrie 4.0 und Big Data) schreitet unaufhaltsam voran. Damit einher geht auch eine Kriminalitäts- und Risikoverlagerung in die digitale Welt. Unternehmen können durch Hacker-Angriffe (z.B. IT-Ausfälle, Datenspionage/-diebstahl/-missbrauch) wirtschaftlich schwer geschädigt werden.
Unternehmen sind gegen „Netzattacken“ allerdings oftmals nicht, oder nur unzureichend, geschützt. Zwar verfügen die meisten Unternehmen über eine Sach- und Haftpflichtversicherung, manche auch zusätzlich noch über eine D&O (Directors and Officers Liability Insurance) und/oder Vertrauensschadenversicherung, diese decken die aus Cyberrisiken resultierenden Schäden aber nur unzureichend ab. Sachversicherungen basieren in der Regel auf dem Konzept eines – bei Cyberschäden nicht existierenden – materiellen Schadens, d.h. es bedarf einer Substanzbeeinträchtigung infolge eines chemischen oder physischen Ereignisses. Haftpflichtversicherungen wiederrum decken insbesondere keine Eigenschäden des Versicherungsnehmers ab, die aber häufig Folge einer Cyberattacke sind.
Überblick
Mit einer Cyberversicherung kann der Versicherungsschutz erweitert werden. Sie wird mittlerweile von vielen Versicherern angeboten. Eine Auflistung von 38 Versicherern, die Cyberrisiken decken, bietet der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) im Internet an. Der GDV hat zudem im Jahr 2017 unverbindliche Musterbedingungen für eine Cyberversicherungspolice entwickelt, die auf die Bedürfnisse von Unternehmen mit einem Umsatz bis 50 Millionen Euro und einer Größe bis 250 Mitarbeiter zugeschnitten ist. Die Bedingungen sind unverbindlich und können von Versicherern fakultativ verwendet werden.
Gegenstand der Cyberversicherung sind nach den GDV Musterbedingungen („AVB Cyber“) Vermögensschäden, die durch eine sog. Informationssicherheitsverletzung verursacht worden sind. Eine Informationssicherheitsverletzung ist eine Beeinträchtigung der Verfügbarkeit, Integrität und/oder Vertraulichkeit von elektronischen Daten (dazu zählen auch Software und Programme) des Versicherungsnehmers oder von informationsverarbeitenden Systemen, die der Versicherungsnehmer zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt.
Gedeckt werden im Umfang eines in den Bedingungen vorgesehenen „Bausteinprinzips“ – und das ist der Vorteil einer Cyberversicherung – Vermögensschäden sowohl in Gestalt von Eigenschäden als auch von Drittschäden. Eigenschäden sind z.B. wirtschaftliche Schäden des Versicherungsnehmers durch Betriebsunterbrechung – der Versicherer zahlt hierfür beispielsweise einen vereinbarten Tagessatz – oder Kosten der Datenwiederherstellung und System-Rekonstruktion, die der Versicherer übernehmen kann. Drittschäden können beispielsweise Schadensersatzforderungen von Kunden wegen Datenmissbrauch und/oder Lieferverzug sein. Der Cyberversicherer entschädigt in diesem Fall berechtigte Forderungen und wehrt unberechtigte Forderungen ab. Als weiterer Baustein können Service-Leistungen vom Versicherungsschutz umfasst sein. Dazu können z.B. die Übernahme von Kosten von IT-Forensik-Experten zur Analyse, Beweissicherung und Schadenbegrenzung, von Anwälten für IT- und Datenschutzrecht zur Erfüllung der Informationspflichten oder von PR-Spezialisten für Krisenkommunikation zur Eindämmung des Imageschadens zählen. Was im Einzelnen versichert ist und was nicht, folgt aber stets aus dem jeweiligen Versicherungsvertrag.
Fazit
Vor allem für den Mittelstand lohnt es sich mehr denn je, über den Abschluss einer Cyberversicherung nachzudenken. Die Gefahr von Cyberrisiken wird dadurch naturgemäß zwar nicht gebannt, die wirtschaftlichen Folgen nach einem Angriff können aber zumindest abgefedert werden.
7. Januar 2019