03881 IT-Sicherheit und Cyberversicherung – was schützt wirklich?
|
Angesichts alltäglicher Horrormeldungen über sog. „Cyberangriffe” hat die Nachfrage nach Cyberversicherungen erheblich zugenommen. Der Beitrag erläutert zunächst, was mit ihnen überhaupt versichert wird, wann ein Versicherungsfall vorliegt und welche Obliegenheiten den Versicherungsnehmer treffen. Anschließend werden die einzelnen Leistungen der Versicherer dargestellt sowie die Bedeutung der unterschiedlichen Geldbeträge, die in der Versicherungspolice auftauchen. Den Abschluss bilden praktische Hinweise zum Umgang mit den „Antragsfragebogen” der Versicherungsmakler, ohne die sich heute keine Cyberversicherung mehr abschließen lässt. Arbeitshilfen: von: |
1 Einleitung
Die Cyberversicherung ist ein vergleichsweise junges Geschöpf und eine Reaktion auf die stetig zunehmenden sog. „Cyberangriffe”. Obwohl der Begriff „Cyber” heutzutage in aller Munde ist, sagt er wenig über Inhalt und Bedeutung der Cyberversicherung aus. „Cyber” wird üblicherweise eher unspezifisch für alles verwendet, was irgendwie mit Computern, dem Internet oder virtuellen Umgebungen zu tun hat. Allerdings dient eine Cyberversicherung weder im Sinne einer Sachversicherung dazu, die genannten Gegenstände zu versichern, noch dazu, sich gegen etwaige Gefahren zu versichern, die von diesen Gegenständen ausgehen.
Wie der Name nicht sogleich erkennen lässt, deckt die Cyberversicherung vielmehr nur in ganz bestimmten Situationen Vermögensschäden beim Vermögensschäden absichern
Versicherungsnehmer oder dessen Geschäftspartnern ab. Die regelmäßig erfassten Konstellationen haben gemeinsam, dass das schadensauslösende Ereignis häufig aus irgendeiner Form von „Cyberangriff” besteht, d. h. einem absichtlichen Versuch eines Dritten, auf Computersysteme und Daten eines Unternehmens oder einer Behörde in für diese nachteiliger Weise einzuwirken. Daraus ergibt sich eine Besonderheit der Cyberversicherung: Wie bei der Elementar-Schadensversicherung gegen Feuer, Überschwemmung oder Blitzeinschlag kann der eigentliche Schädiger nicht zur Rechenschaft gezogen werden, denn der „Hacker” oder ein vergleichbarer Bösewicht befindet sich meistens außerhalb der Reichweite der Strafverfolgungsbehörden. Das bedeutet zugleich, dass der Versicherer anders als etwa bei der regulären Haftpflichtversicherung nicht automatisch jemanden hat, den er nach der Auszahlung der Versicherungssumme in Regress nehmen kann.
Versicherungsnehmer oder dessen Geschäftspartnern ab. Die regelmäßig erfassten Konstellationen haben gemeinsam, dass das schadensauslösende Ereignis häufig aus irgendeiner Form von „Cyberangriff” besteht, d. h. einem absichtlichen Versuch eines Dritten, auf Computersysteme und Daten eines Unternehmens oder einer Behörde in für diese nachteiliger Weise einzuwirken. Daraus ergibt sich eine Besonderheit der Cyberversicherung: Wie bei der Elementar-Schadensversicherung gegen Feuer, Überschwemmung oder Blitzeinschlag kann der eigentliche Schädiger nicht zur Rechenschaft gezogen werden, denn der „Hacker” oder ein vergleichbarer Bösewicht befindet sich meistens außerhalb der Reichweite der Strafverfolgungsbehörden. Das bedeutet zugleich, dass der Versicherer anders als etwa bei der regulären Haftpflichtversicherung nicht automatisch jemanden hat, den er nach der Auszahlung der Versicherungssumme in Regress nehmen kann.
Ergänzungsprodukt
Aus dem engen Anwendungsbereich der Cyberversicherung ergibt sich, dass sie stets nur ein Ergänzungsprodukt zu einem bereits bestehenden Versicherungsgrundschutz sein kann. Dieser besteht im Unternehmensbereich je nach Geschäftsfeld zumeist aus einer oder mehreren Sachversicherungen (z. B. Maschinenversicherung, Elektronikversicherung, Elementarversicherung), Haftpflichtversicherungen (z. B. Betriebshaftpflicht, Produkthaftpflicht, D&O-Versicherung), einer Betriebsunterbrechungsversicherung sowie sonstigen spezifischen Versicherungsprodukte (z. B. Transportversicherung oder Rechtsschutzversicherung).
Aus dem engen Anwendungsbereich der Cyberversicherung ergibt sich, dass sie stets nur ein Ergänzungsprodukt zu einem bereits bestehenden Versicherungsgrundschutz sein kann. Dieser besteht im Unternehmensbereich je nach Geschäftsfeld zumeist aus einer oder mehreren Sachversicherungen (z. B. Maschinenversicherung, Elektronikversicherung, Elementarversicherung), Haftpflichtversicherungen (z. B. Betriebshaftpflicht, Produkthaftpflicht, D&O-Versicherung), einer Betriebsunterbrechungsversicherung sowie sonstigen spezifischen Versicherungsprodukte (z. B. Transportversicherung oder Rechtsschutzversicherung).
Kriterien für einen Abschluss
Der Abschluss einer Cyberversicherung macht grundsätzlich dann Sinn, wenn
Der Abschluss einer Cyberversicherung macht grundsätzlich dann Sinn, wenn
| • | das Unternehmen beim Tagesgeschäft auf das Funktionieren seiner IT-Infrastruktur angewiesen ist und |
| • | die vorhandenen Versicherungen „Cyberrisiken” gar nicht abdecken oder etwaige Ersatzleistungen deutlich geringer sind und |
| • | nach vorsichtiger Prognose die laufenden Kosten einer solchen Versicherung unter dem zu erwartenden Aufwand für einen befürchteten Cyberschaden bzw. dessen Versicherungsdeckung liegen. |
2 Grundlagen
Auf dem Markt für Cyberversicherungen tummeln sich mittlerweile eine Menge Anbieter mit einer großen Zahl unterschiedlicher Produkte. Der Vergleich zwischen ihnen ist nicht einfach, da sich die einzelnen Versicherungen bei ihren Leistungen, vor allem aber hinsichtlich der Gestaltung der Marketing- und Vertragsunterlagen, deutlich unterscheiden. Es ist für den Abschlussinteressenten häufig erst nach längerem Studium und ggf. nach fachkundiger Beratung möglich, die für ihn passende Versicherung zu finden. Schon an dieser Stelle wird daher geraten, sich in jedem Fall genug Zeit zu nehmen und die verschiedenen Versicherungsbedingungen vor einem Vertragsabschluss genau zu prüfen.
AVB Cyber des GDV
Die nachfolgende Darstellung soll in kompakter Form die für die Auswahl einer Cyberversicherung notwendigen Grundkenntnisse vermitteln. Sie orientiert sich dabei an den Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber) [1]. Es handelt sich dabei um unverbindliche Musterbedingungen des Gesamtverbands der Versicherer, die einen Großteil der zu beachtenden Regeln enthalten und an denen sich fast alle Versicherungsunternehmen bei ihren eigenen Bedingungen orientieren. Die AVB Cyber dürfen daher als repräsentativ gelten. Gleichwohl sei nochmal darauf hingewiesen, dass weder sie noch die folgenden Erläuterungen den Anspruch auf Vollständigkeit und universale Anwendbarkeit erheben.
Die nachfolgende Darstellung soll in kompakter Form die für die Auswahl einer Cyberversicherung notwendigen Grundkenntnisse vermitteln. Sie orientiert sich dabei an den Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber) [1]. Es handelt sich dabei um unverbindliche Musterbedingungen des Gesamtverbands der Versicherer, die einen Großteil der zu beachtenden Regeln enthalten und an denen sich fast alle Versicherungsunternehmen bei ihren eigenen Bedingungen orientieren. Die AVB Cyber dürfen daher als repräsentativ gelten. Gleichwohl sei nochmal darauf hingewiesen, dass weder sie noch die folgenden Erläuterungen den Anspruch auf Vollständigkeit und universale Anwendbarkeit erheben.
2.1 Versicherungsgegenstand
Sinn und Zweck
Wer nicht regelmäßig mit Versicherungen zu tun hat, wird sich mit der Vielzahl besonderer Begrifflichkeiten zunächst schwertun. Man kommt aber nicht umhin, sich zumindest mit einigen von ihnen näher auseinanderzusetzen. Wie bei jeder Versicherung steht auch bei der Cyberversicherung der Versicherungsgegenstand im Mittelpunkt. Einfach ausgedrückt, bezeichnet er Sinn und Zweck der Versicherung.
Wer nicht regelmäßig mit Versicherungen zu tun hat, wird sich mit der Vielzahl besonderer Begrifflichkeiten zunächst schwertun. Man kommt aber nicht umhin, sich zumindest mit einigen von ihnen näher auseinanderzusetzen. Wie bei jeder Versicherung steht auch bei der Cyberversicherung der Versicherungsgegenstand im Mittelpunkt. Einfach ausgedrückt, bezeichnet er Sinn und Zweck der Versicherung.
AVB Cyber A1-1
Gegenstand der Cyberversicherung ist der Schutz vor bzw. der Ersatz von Vermögensschäden, die durch eine Informationssicherheitsverletzung verursacht worden sind (AVB Cyber A1-1).
Gegenstand der Cyberversicherung ist der Schutz vor bzw. der Ersatz von Vermögensschäden, die durch eine Informationssicherheitsverletzung verursacht worden sind (AVB Cyber A1-1).
2.1.1 Vermögensschäden
AVB Cyber A1-3
Vermögensschäden werden negativ dadurch abgegrenzt, dass es sich weder um Personenschäden (Tötung, Körperverletzung oder Gesundheitsbeschädigung von Menschen) noch um Sachschäden (Beschädigung, Zerstörung oder Abhandenkommen von Sachen) handelt (AVB Cyber A1-3). Anders gewendet, schlagen sich Vermögensschäden beim Versicherungsnehmer unmittelbar finanziell, d. h. in seinem Vermögen, nieder. Im unternehmerischen Bereich zeigen sich solche Schäden zumeist in Form von entgangenem Gewinn, höheren Kosten oder Forderungen Dritter infolge des schadenauslösenden Ereignisses.
Vermögensschäden werden negativ dadurch abgegrenzt, dass es sich weder um Personenschäden (Tötung, Körperverletzung oder Gesundheitsbeschädigung von Menschen) noch um Sachschäden (Beschädigung, Zerstörung oder Abhandenkommen von Sachen) handelt (AVB Cyber A1-3). Anders gewendet, schlagen sich Vermögensschäden beim Versicherungsnehmer unmittelbar finanziell, d. h. in seinem Vermögen, nieder. Im unternehmerischen Bereich zeigen sich solche Schäden zumeist in Form von entgangenem Gewinn, höheren Kosten oder Forderungen Dritter infolge des schadenauslösenden Ereignisses.
2.1.2 Informationssicherheitsverletzung
Das „Cyber” in der Cyberversicherung rührt daher, dass der jeweilige Vermögensschaden gerade durch eine sog. Informationssicherheitsverletzung verursacht worden sein muss.
AVB Cyber A1-2
Dieser neugeschaffene Begriff bezeichnet eine Beeinträchtigung der
Dieser neugeschaffene Begriff bezeichnet eine Beeinträchtigung der
| • | Verfügbarkeit (= Möglichkeit des jederzeitigen Zugriffs durch den Berechtigten), |
| • | Integrität (= Unversehrtheit von System und Daten) oder |
| • | Vertraulichkeit (= keine Preisgabe von Informationen an Unbefugte) |
von elektronischen Daten (einschließlich Software) des Versicherungsnehmers oder von informationsverarbeitenden Systemen, die er zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt (AVB Cyber A1-2). Knapp ausgedrückt, dient die Cyberversicherung damit dem Schutz der IT-Infrastruktur des Versicherungsnehmers, auf die er geschäftlich angewiesen ist.
2.1.3 Menschlicher Auslöser
Keine technischen Störungen
Der Versicherungsschutz wird dadurch allerdings erheblich eingeschränkt, dass er – obwohl der Versicherungsgegenstand dies noch nicht erkennen lässt – nur Informationssicherheitsverletzungen erfasst, die Folge eines Angriffs oder zumindest einer menschlichen Handlung sind. Damit werden rein technisch bedingte Störungen oder Ausfälle von vornherein ausgeschlossen.
Der Versicherungsschutz wird dadurch allerdings erheblich eingeschränkt, dass er – obwohl der Versicherungsgegenstand dies noch nicht erkennen lässt – nur Informationssicherheitsverletzungen erfasst, die Folge eines Angriffs oder zumindest einer menschlichen Handlung sind. Damit werden rein technisch bedingte Störungen oder Ausfälle von vornherein ausgeschlossen.
Katalog von Ereignissen
Die Musterbedingungen enthalten einen abschließenden Katalog von Ereignissen, deren Eintritt von der Cyberversicherung abgedeckt wird (AVB Cyber A1-2.4):
Die Musterbedingungen enthalten einen abschließenden Katalog von Ereignissen, deren Eintritt von der Cyberversicherung abgedeckt wird (AVB Cyber A1-2.4):