AssCompact suche
Home
Assekuranz
2. August 2018
Wann liegt ein Versicherungsfall in der Cyberversicherung vor?

Wann liegt ein Versicherungsfall in der Cyberversicherung vor?

Die Absicherung von Cyberrisiken darf heute in der Beratung von Gewerbe- und Industrieunternehmen nicht fehlen. Unsicherheiten bestehen hierbei aber weiterhin, sagt Von Sabine Pawig-Sander, geschäftsführende Gesellschafterin der Erichsen GmbH, auch bei der Frage, wann ein Cyberversicherungsfall vorliegt.

Im Kern geht es in der Cyberversicherung um Informationssicherheit. Daten, also gespeicherte Informationen, sollen stets verfügbar, vertraulich und integer sein. Ist dies nicht uneingeschränkt der Fall, können Unternehmen erhebliche finanzielle Verluste erleiden; diese gilt es über eine Cyberversicherung abzudecken.

Der Versicherungsfall in der Cyberversicherung liegt vor, wenn die Informationssicherheit von Daten verletzt ist. Dies kann verschiedene Ursachen haben, beispielsweise einen Hackerangriff, eine Sabotage durch Mitarbeiter oder eine Infektion des betrieblichen IT-Netzwerks mit Schadsoftware.

Einteilung in zwei Grundtypen

Die Cyberdeckung bietet Versicherungsschutz auf zwei Standbeinen, es gibt sozusagen zwei Grundtypen des Versicherungsfalls: Informationssicherheitsverletzungen und Datenschutzrechtsverletzungen.

Für Informationssicherheitsverletzungen bieten Cyberversicherer in der Regel eine Deckung im Umfang „benannter Gefahren“. Sie grenzen in ihren Bedingungswerken die verschiedenen Szenarien ein, deren Eintritt eine Informationssicherheitsverletzung versicherter Daten verursachen und damit den Versicherungsfall auslösen kann. Für den Deckungsschutz kommt es also nicht nur darauf an, dass eine Informationssicherheitsverletzung vorliegt, sondern auch, wie – durch welche „Gefahr“ – sie entstanden ist.

Wie die Versicherer denken

Größter gemeinsamer Nenner der in Versichererprodukten unterschiedlich beschriebenen Gefahrenszenarien ist eine unberechtigte Nutzung der versicherten Informations- und Kommunikationstechnologie (IKT) des Unternehmens. Dabei ist es meist unerheblich, ob die unberechtigte Nutzung durch einen externen Dritten – Hacker & Co. – erfolgte oder ein interner Angreifer das versicherte IT-System sabotierte.

Einige Versicherer bieten keine oder nur eingeschränkte Deckung für nicht zielgerichtete Angriffe: Streuangriffe, die sich nicht gegen ein durch Kriminelle oder Hacktivisten ganz gezielt als „lohnend“ ausgewähltes Unternehmen richten, sondern jeden treffen können und so rasant schnell eine flächendeckende Reichweite erreichen, sollen aus Gründen der Kumulkontrolle nicht voll in den Versicherungsschutz einbezogen werden.

Erweiterung der Gefahrenkataloge

Nicht zuletzt aus Wettbewerbsgründen haben Versicherer in den letzten Monaten die Gefahrenkataloge ihrer Cyber­produkte um weitere Szenarien ergänzt:

Der Bedienfehler

Die Aufnahme des Bedienfehlers als „versicherte Gefahr“ ist mittlerweile in vielen Bedingungswerken erfolgt und führt immer wieder zu Irritationen. Öffnet beispielsweise ein Mitarbeiter einen mit einer Schadsoftware bestückten Anhang einer Mail unbekannter Herkunft, so handelt es sich – auf den ersten Blick vielleicht überraschenderweise – nicht um einen Bedienungsfehler. Doch nicht das Öffnen der Mail durch den Mitarbeiter ist hier schadenursächlich, sondern der externe Angriff, der durch das Bestücken der Mail mit Schadsoftware und ihren Versand durch einen unbekannten Angreifer erfolgte. Versicherungsschutz für das beschriebene Szenario ist daher regelmäßig auch dann gegeben, wenn in dem zugrunde liegenden Vertrag die Mitversicherung des Bedienfehlers nicht vereinbart ist. Bedienfehler bedeutet, dass kein anderer Umstand dazu kommen muss, um durch ein Handeln oder Unterlassen die Informationssicherheitsverletzung auszulösen.

Da Deckung für Informationssicherheitsverletzungen durch interne Angriffe ja bereits besteht, lohnt es sich zu vergegenwärtigen, worin der Unterschied eines Bedienfehlers zu einer unberechtigten Nutzung der versicherten IKT durch Mitarbeiter liegt. Unberechtigte Nutzung bedeutet, dass Mitarbeiter über ihre Berechtigung hinaus handeln; dies umfasst zum Beispiel Fälle der unberechtigten Aneignung und Nutzung fremder Passwörter oder des böswilligen, sabotierenden Handelns innerhalb des eigenen Kompetenzrahmens. Dagegen passiert der Bedienfehler möglicherweise grob fahrlässig, aber stets unbeabsichtigt und also ohne Schädigungsabsicht.

Der Programmierfehler

Vom Bedienfehler abzugrenzen ist der Programmierfehler, der aktuell in Alleinstellung von nur einem Anbieter als „versicherte Gefahr“ angeboten wird. Eine sinnvolle Abgrenzung zum Bedienungsfehler ist schwierig und wird durch die Versicherer sehr unterschiedlich gehandhabt. Die angebotenen Abgrenzungslinien betreffen vor allem die Frage, ob Mitarbeiter der IT-Abteilung des Versicherten immer „programmieren“ oder auch „bedienen“ und wenn sie beides tun, was genau den Unterschied ausmacht.

Technische Störungen

Auch „technische Störungen“ können bei einigen Anbietern als auslösender Faktor für eine Informationssicherheitsverletzung in der Cyberpolice versichert werden. Dies ist vor allem deshalb interessant, weil diese „sachschadenunabhängige Gefahr“ lange Jahre No-go-Area für Sachversicherer und insbesondere die Versicherer der technischen Zweige war. Offenbar hat die per se sachschadenungebundene Ausrichtung der Cyberversicherung hier neue Wege geöffnet. Der Umfang der bei den Versicherern stets näher eingegrenzten versicherten technischen Störungen ist zwar noch nicht sehr weitgehend – Hard- oder Softwarefehler, interne Netzwerkfehler, Überhitzung, Über- oder Unterspannung, Ausfall oder Störung der Klimaanlage – und die Deckung ist häufig auf besondere Entschädigungspositionen und auch der Höhe nach beschränkt. Es zeichnet sich jedoch eine Entwicklung zur Erweiterung der Cyberversicherung ab.

Ein wichtiger Unterschied

Wichtig für den Versicherungsfall „Informationssicherheitsverletzung“ in der Cyberversicherung ist, dass er sich ausdrücklich nur auf elektronisch gespeicherte Daten bezieht, ein Bezug zur IKT des versicherten Unternehmens also unabdingbar ist.

Anders beim zweiten Standbein der Cyberversicherung: dem Versicherungsfall „Datenschutzrechtsverletzung“. Zwar beschränken die Musterbedingungen des GDV zur Cyberrisikoversicherung auch hier den Versicherungsschutz auf elektronisch gespeicherte Daten, in den Bedingungswerken der meisten etablierten Anbieter ist man hiervon jedoch schon lange abgerückt und bietet für den Datenschutzvorfall Deckung auch im Zusammenhang mit nicht elektronisch gespeicherten Daten. Die klassische Papierakte ist hier ebenfalls vom Versicherungsschutz umfasst. Für nicht wenige Branchen ist dies sehr wichtig.

Der Versicherungsfall „Datenschutzrechtsverletzung“ wird einschlägig durch eine Datenschutzrechtsverletzung nach anwendbarem Recht ausgelöst. Ein Anpassungsbedarf bestehender Deckungen vor dem Hintergrund des erfolgten Wechsels vom Bundesdatenschutzgesetz (BDSG) zur Datenschutzgrundverordnung (DSGVO) ist hinsichtlich der Beschreibung des Versicherungsfalles daher meist nicht gegeben.

Die meisten Versicherer erweitern den Versicherungsfall „Datenschutzrechtsverletzung“ um Fälle einer Datenvertraulichkeitsverletzung. Die Erweiterung ist in der Regel nur für die Fälle der erwähnten nicht elektronisch gespeicherten Daten relevant, da sie für elektronisch gespeicherte Informationen meist über den Fall der Informationssicherheits­verletzung bereits abgebildet wird.

Es bleibt abzuwarten, wie sich Markt und Produkte der Cyberversicherung noch weiter entwickeln werden.

Den Artikel lesen Sie auch in AssCompact 07/2018, Seite 54 f.

 
Ein Artikel von
Sabine Pawig-Sander