Diese Website verwendet Cookies.

Mit der Einwilligung stimmen sie der Nutzung zu.

MaklerIntern - Archiv durchsuchen

Hier finden Sie ausgewählte Artikel aus den MaklerIntern-Ausgaben der letzten Jahre.
Nutzen sie zur Artikel-Filterung die Kategorien, Autoren und Stichwörter.

Cyber-Risiken und Cyber-Versicherung

Dr. Sven Erichsen | 20. Jänner 2020 | Recht

Abgrenzung und/oder Ergänzung zu anderen Versicherungssparten Teil 4

Cyber-Risiken werden bisher nur ausschnittsweise und begrenzt über die bestehenden Haftpflicht-, Sach- oder Vertrauensschadenversicherungen abgedeckt. Der Versicherungsschutz für Cyber-Risiken in diesen Sparten ist unzureichend, da

■   die Versicherungsfalldefinition Cyber-Vorfälle nicht erfasst
■   oder Ausschlüsse einschlägig sind und
■   im Schadenfall stets mehrere Versicherer zu involvieren wären.

Im Folgenden wird als Teil 4 unserer Serie zur Cyber-Versicherung das Verhältnis zur Vertrauensschaden-Versicherung (VSV) beschrieben.

Das Eigentum von Unternehmen – egal ob materiell oder immateriell – kann durch kriminelle Machenschaften von Mitarbeitern oder außenstehender Dritter auch ohne Cyber-Attacken geschädigt werden. Daran können auch die besten Sicherheitsvorkehrungen nichts ändern.

Die Vertrauensschaden-Versicherung ersetzt Unternehmen Vermögensschäden, die von Mitarbeitern oder Dritten vorsätzlich verursacht werden. Die Vertrauensschaden-Versicherung greift bei Schäden durch Diebstahl, Unterschlagung, Betrug, Untreue, Computerbetrug oder sonstigen vorsätzlichen Handlungen, die nach den gesetzlichen Bestimmungen über unerlaubte Handlungen zum Schadensersatz verpflichten. Ersetzt werden Schäden im Rahmen der Versicherungssumme, die dem Versicherungsnehmer durch Vertrauenspersonen selbst oder von Dritten zugefügt werden. Für Schäden, die dem Versicherungsnehmer von außenstehenden Dritten durch unmittelbare und rechtswidrige Eingriffe in seine elektronische Datenverarbeitung, d.h. durch Cyber-Angriffe zugefügt werden, besteht Deckungsschutz, soweit der Dritte sich dabei am Vermögen des Versicherungsnehmers bereichert hat.

Vertrauensschaden- und Cyber-Versicherungen überschneiden sich also in einigen wesentlichen Aspekten. In beiden Versicherungen werden Kosten von IT-Forensik, Rechtsberatung oder Krisenmanagement übernommen.

Die Cyber-Versicherung übernimmt darüber hinaus auch fahrlässig verursachte Schäden sowie Betriebsunterbrechungen. Ferner werden die teilweise sehr hohen Kosten für die Benachrichtigung von durch einen Datenschutz-Vorfall Betroffener übernommen.

Die Cyber-Versicherung ist ferner insbesondere Assistance-Deckung, d.h. Rat und Tat in der Krise, Notfallteam und Krisenmanagement sind wesentliche Leistungen. Diese Unterstützungsfunktion ist besonders wichtig und ein Kernelement der Deckung. Bei einem Cyber-Vorfall ist die Cyber-Versicherung nicht lediglich zahlender Versicherer, sondern wird ein wertvoller Partner im professionellen Umfang mit der Krise sein. Die Vertrauensschaden-Versicherung entschädigt demgegenüber erst im Nachhinein; die Entschädigungsleistung beinhaltet so z.B. auch keine Kosten der Schadenabwendung und –minderung.
Bei der Vertrauensschaden-Versicherung ist der Umfang des Versicherungsschutzes im Datenschutzvorfall stark eingeschränkt.
■   Datenschutzvorfall ausgelöst durch Innentäter: Zunächst ist hier die „vorsätzliche unerlaubte Handlung“ als Auslöser zu beachten; Datenschutzvorfälle geschehen jedoch auch „unbeabsichtigt“, ohne Schädigungs- oder gar Bereicherungsabsicht. Die versehentlich in den Müll geworfene Akte mit personenbezogenen Daten, die „schusselige“ Weitergabe unverschlüsselter Daten an unberechtigte Dritte – diese Fälle werden durch die VSV-Deckung mangels vorsätzlicher unerlaubter Handlung nicht erfasst.
■   Datenschutzvorfall ausgelöst durch Außentäter (=Hacker & Co): Deckung besteht hier nur bei zielgerichteten Angriffen, bei Cyber-Produkten je nach Versicherer auch für nicht-zielgerichtete Angriffe. Ersetzt wird der Schaden im Umfang der eingetretenen Bereicherung des Dritten; eine solche liegt im Datenschutzvorfall überwiegend nicht vor.
■   Die mit dem Datenschutzvorfall verbundenen Aufwendungen (z.B. Benachrichtigungskosten, Rechtsberatung und dergl.) sind nicht Gegenstand der Deckung.

Unter der VSV besteht kein Versicherungsschutz für Erpressungs-Tatbestände – einem der wesentlichen Deckungsbausteine unter gängigen Cyber-Policen.
Je nach den Umständen des Einzelfalles ist die VSV-Deckung allerdings für den Tatbestand des sog. „Cyber-Diebstahls“ derzeit noch „ergiebiger“. Zwar sehen auch die einschlägigen Cyber-Produkte den Ersatz der anfallenden Kosten (IT-Forensik, Rechtsberatung…) vor, eine Ersatzleistung für den „monetären Gegenwert“ der durch einen Cyber-Vorfall abhanden gekommenen Gelder oder Wertpapiere wird nur durch einige wenige Anbieter gewährt und ist in der Regel auf Außentäter beschränkt, d.h. es besteht keine Deckung für Betrugsvorfälle durch Innentäter oder mit interner Komplizenschaft. Wir gehen davon aus, dass sich hier in den nächsten Monaten noch eine Marktentwicklung zugunsten der Cyber-Deckungen einstellen wird.

Gem. einiger VSV-Versicherungsbedingungen sind sehr umfangreiche und äußerst detailliert beschriebene Obliegenheiten zu erfüllen; die Anforderungstiefe reicht bis zur Vorgabe der genauen Zusammensetzung von Passwörtern. Hier sind die Wordings der Cyber-Versicherer deutlich komfortabler.

Für die Betriebsunterbrechung infolge eines Cyber-Vorfalles bietet die Cyber-Versicherung Deckung auch für den Ertragsausfallschaden aus entgehendem Gewinn und fortlaufenden Kosten bzw. Umsatzeinbußen. In der VSV- Deckung sind lediglich „unmittelbare“ Schäden versichert; „mittelbare Schäden“, wie z.B. entgehender Gewinn, unterliegen ausdrücklich nicht der Ersatzleistung. Ausnahme: Entgehender Gewinn infolge vorsätzlichem oder unberechtigtem Geheimnisverrat ist über die VSV-Police gedeckt und in den einschlägigen Cyber-Wordings nicht versichert.
Gem. einiger VSV- Bedingungen ist es für einige der unter dem Oberbegriff „Datenmissbrauch durch Dritte“ genannten Schadenszenarien erforderlich, dass sich das IT-System in den Räumen des VN befindet und dieser das alleinige Zugriffsrecht auf das System hat. Angriffe im Zusammenhang mit ausgelagerten IT-Dienstleistungen, z.B. Webserver und dergl., sind damit nicht Gegenstand der Deckung – hier ist die Cyber-Versicherung deutlich praxisnäher.

Bitte beachten Sie, dass wir hier im Wesentlichen aus dem Blickwinkel der Cyber-Sparte und der Cyber-Risiken Stellung nehmen. Natürlich gibt es auch cyber-unabhängige Deckungsinhalte, welche nur in VSV und nicht in Cyber abgebildet werden. Fazit:  Abhängig von der Risikosituation beim zu versichernden Unternehmen sollte individuell geprüft werden, ob neben der Cyber-Versicherung auch eine Vertrauensschaden-Versicherung notwendig ist. Cyber ist auch und insbesondere Assistance-Deckung, d.h. Helfer in veritablen Krisen. Es ist davon auszugehen, dass Cyber-Risiken einen immer größeren Stellenwert im Risiko- und Versicherungsmanagement einnehmen werden. Nachsatz in Hinblick auf den § 28 Maklergesetz: Entweder man schließt im Maklervertrag die Cyber- und/ oder Vertrauensschaden-Versicherung ausdrücklich aus unserem Verantwortungsbereich aus oder muss sie zwingend anbieten!