Klare Regeln für den Schadensfall
Von David Schahinian
Kein Unternehmen kann sich hundertprozentig gegen Gefahren aus dem Cyberraum schützen. Zu vielfältig sind die potenziellen Sicherheitslücken, Einfallstore und Angriffsarten. Versicherer haben das erkannt und bieten mittlerweile eine Vielzahl an Produkten an, die die Risiken minimieren sollen. Für die Anbieter geht es dabei darum, ihre Kunden abzusichern, ohne selbst ein wirtschaftlich unkalkulierbares Wagnis einzugehen. Daher legen sie Grundbedingungen fest, ohne die erst gar kein Vertrag zustande kommt – man kennt das von diversen Krankenzusatzversicherungen.
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat bereits 2017 Musterbedingungen für Cyberrisikoversicherungen veröffentlicht: Wer sich versichern lassen will, muss u.a. nachweisen, dass die Nutzer jeweils individuelle und „mit ausreichend komplexen Passwörtern“ gesicherte Zugänge zu den informationsverarbeitenden Systemen haben. Auch ein „Schutz gegen Schadsoftware […], der automatisch auf dem aktuellen Stand gehalten wird“, muss vorhanden sein. Ebenso müssen die Systeme mindestens wöchentlich gegengesichert werden. Und: Der Versicherungsnehmer muss regelmäßig prüfen, ob die Backups auch tatsächlich für eine Wiederherstellung brauchbar sind.
Grundlegende IT-Sicherheit
Das klingt sinnvoll und hat den Vorteil, dass Unternehmen, die den IT-Schutz bislang noch schleifen ließen, zuerst bei sich selbst nachbessern müssen, um überhaupt versichert zu werden. Der Teufel steckt allerdings im Detail. Wann sind Passwörter „ausreichend komplex“? Wann ist ein Virenscanner „auf dem aktuellen Stand“? Solche Wendungen sollten Unternehmen unbedingt im Voraus verhandeln, um sicherzugehen, dass beide Vertragspartner die gleichen Vorstellungen von den Anforderungen haben.
Ohnehin sind diese sogenannten „AVB Cyber“ zunächst einmal nur als Grundlage zu verstehen. Was konkret durch eine Cyberversicherung abgedeckt werden soll, unterscheidet sich in der Praxis teilweise sehr stark. Es kommt u.a. darauf an, in welcher Branche das Unternehmen aktiv ist, welche Risiken besonders wahrscheinlich oder unwahrscheinlich sind und welche Aspekte eventuell schon von anderen Versicherungen abgedeckt sind. Denn klar ist auch: Je umfangreicher das Paket, desto teuer wird es.
Neben den Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung hat der GDV zur Evaluierung potenzieller Kunden einen Musterfragebogen mit drei KMU-Risikokategorien vorgelegt. Er lässt sich auch als Katalog potenzieller Stolperklauseln lesen. (Quelle: GDV)
Hinzu kommt, dass auch nicht alle Anbieter die Mindestanforderungen des GDV erfüllen, sondern sie eher als Empfehlung interpretieren und individuelle Pakete schnüren. Das macht den Markt für interessierte Kunden schwer überschaubar, um nicht zu sagen: intransparent. Dem Branchenverband zufolge sollte eine Standard-Cyberversicherung zumindest diese Leistungen beinhalten:
- Entschädigung bei Betriebsunterbrechungen,
- Erstattung der Kosten für die Datenwiederherstellung,
- Übernahme der Kosten für IT-Forensik (sprich: für geschulte Fachleute, die schnelle Ursachenforschung und Beweismittelsicherung betreiben),
- das Angebot einer Rechtsberatung bei Datenschutzverletzungen sowie
- die Bezahlung eines Krisenkommunikators oder von Callcenter-Kosten.
Ausnahmen in den Standardklauseln
Das, was nicht abgedeckt wird, ist jedoch mindestens ebenso wichtig. Beispiel: Versicherungsfälle oder Schäden aufgrund von Krieg. Das Risiko war früher, als Kriege noch mit konventionellen Waffen ausgetragen wurden, noch halbwegs überschaubar. Es war auch leichter einzuschätzen, was unter einer kriegerischen Handlung zu verstehen ist. In seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun von einer neuen Gefährdungslage, seit „staatliche Akteure gezielt Firmen und Behörden“ angreifen. Cyberangriffe „mit Wahlbezug“ hätten in anderen Ländern außerdem gezeigt, dass staatliche (und nichtstaatliche) Akteure versuchen, demokratische Prozesse anzugreifen, sie zu stören oder gar zu sabotieren.
Grund genug für den bedeutenden europäischen Branchenverband Lloyd’s Market Association (LMA), seine Standardklauseln für Cyberversicherungen neu zu fassen. Sie sehen seit November 2021 vor, dass von Staaten initiierte Angriffe künftig unter die Kriegsausschlussklausel fallen. Das heißt, dass Cyberversicherungen für dadurch verursachte Schäden unter bestimmten Umständen nicht mehr aufkommen. „Es ist anzunehmen, dass zukünftig auch deutsche Versicherer ihre Bedingungen entsprechend anpassen werden, um das Risiko von Schäden zu reduzieren“, sagt Dr. Reiner Will, Geschäftsführer der Assekurata Rating-Agentur. Ein praktisches Problem könnte darin bestehen, nachzuweisen, von wem ein Angriff tatsächlich ausgegangen ist. Für Unternehmen bleibt das nur ein schwacher Trost, denn sie wollen sich in der Regel möglichst breit gegen Schäden absichern – unabhängig davon, wer dafür verantwortlich ist. Sie sollten daher auf alle Fälle mit ihrem Versicherer klären, wie mit Schadensfällen umgegangen wird, in denen (noch) nicht klar ist, ob ein staatlicher Akteur dahintersteckt.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Heise-Themenspecial „Cyberversicherungen – IT- und Digitalrisiken vertraglich absichern“. Einen Überblick mit freien Download-Links zu sämtlichen Heften bekommen Sie online im Pressezentrum des MittelstandsWiki.
An anderer Stelle ist ebenfalls sehr wichtig, um wen genau es geht, etwa dann, wenn Vorsatz im Spiel ist. Mitunter sind es enttäuschte oder frustrierte Mitarbeiter, die ihrem Arbeitgeber schaden wollen. Einige Anbieter schließen Versicherungsansprüche in solchen Fällen grundsätzlich aus, andere nicht. Sie machen aber einen Unterschied zwischen Mitarbeitern, die dem Unternehmen willentlich schaden, und Repräsentanten wie Geschäftsführern oder Vorständen. Im ersten Fall zahlen sie, im zweiten nicht.
Subsidiaritätsklausel oder Spezialitätsklausel?
Lösegeldforderungen bei einem Ransomware-Angriff können ebenfalls heikel werden. Das Thema ist umstritten, die Versicherer handeln nicht einheitlich. Das BSI rät von Lösegeldzahlungen ab. Nicht zuletzt deshalb, weil es Kriminelle in ihrem „Geschäftsmodell“ bestärkt. Allerdings: Je länger eine Betriebsunterbrechung aufgrund verschlüsselter IT-Systeme dauert, desto höher sind der Schaden und der Reputationsverlust. Das kann letzten Endes auch für die Versicherer teuer werden. Einige bieten daher einen entsprechenden Schutz an und versichern auch Lösegeldzahlungen, in der Hoffnung, damit billiger davonzukommen. Die massiv gestiegene Zahl von Ransomware-Angriffen hat jedoch schon Anbieter dazu bewegt, die Deckung für solche Fälle zu reduzieren oder dieses Risiko gar nicht mehr zu versichern.
Eine weitere Besonderheit von Cyberversicherungen ist, dass es zahlreiche Überschneidungen mit anderen Versicherungen gibt. So decken manche Policen z.B. auch Cloud-Ausfälle ab, obwohl diese Schadensregulierung meist Bestandteil der Vereinbarung zwischen Cloud-Anbieter und dessen Kunden ist. Ein anderes Beispiel sind Haftpflichtrisiken, die unter Umständen schon über eine entsprechende Haftpflichtversicherung abgedeckt sind.
Die beste Lösung wäre freilich, keinerlei Überschneidungen zuzulassen. In der Praxis lässt sich dies aber kaum umsetzen, nicht zuletzt, weil eine trennscharfe Abgrenzung nicht immer möglich ist. Einige Anbieter verwenden daher sogenannte Subsidiaritätsklauseln, die die Cyberversicherung in solchen Fällen aus der Verantwortung nehmen, indem sie sie für nachrangig erklären. Darauf sollten sich Versicherungsnehmer jedoch besser nicht einlassen – allein schon, damit sie nicht zwischen die Mühlen verschiedener Versicherer geraten, die sich darum streiten, wer nun welchen Schaden zu ersetzen hat. Insbesondere bei Cyberattacken ist zudem schnelles Handeln notwendig – etwa bei der Abschottung von Datenlecks, der Wiederherstellung der Systeme oder um eine Betriebsunterbrechung möglichst kurz zu halten. Ist ein Risiko durch die Cyberversicherung abgedeckt, sollte sich der Versicherungsnehmer ohne Wenn und Aber darauf verlassen können, dass er schnelle Hilfe von seinem Cyberversicherer bekommt. Umgekehrt wird eher ein Schuh daraus: Es kann sinnvoll sein, eine Spezialitätsklausel zu vereinbaren. Sie legt fest, dass im Falle einer Überschneidung mit anderen Versicherungen die Cyberversicherung Vorrang hat. Lässt sich ein Anbieter darauf ein, steigt in der Regel aber der Preis.
Vertragsgestaltung im Einzelfall
Das Risikobewusstsein ist zuletzt deutlich gestiegen. Den meisten Unternehmen ist heutzutage klar, dass sie Cyberrisiken besonders absichern müssen. Das geschieht am besten im Rahmen einer überlegten IT-Strategie, doch ist dafür nicht immer das nötige Geld oder die nötige Zeit vorhanden. Genauer gesagt: Zuerst scheut man die Kosten, dann aber pressiert es plötzlich.
Genau dies hat sich in der Pandemie gezeigt, die dem Markt für Cyberversicherungen einen ordentlichen Schub beschert hat. Viele Beschäftigte, die sonst selten oder noch nie im Homeoffice waren, fanden sich plötzlich in den eigenen vier Wänden wieder. Für manche Unternehmen war es dann ein gewaltiger Kraftakt, eine sichere digitale Kommunikation einzurichten, damit die Leute Zugriff auf die benötigten Ressourcen in der Firma bekamen. Die Angriffsfläche wuchs enorm, doch der Schutzstandard konnte nicht überall Schritt halten. Cyberversicherungen waren daher für viele eine gangbare Lösung, mit dem gewachsenen Risiko umzugehen.
Auch in diesem Fall sind die Vertragsbedingungen genau zu lesen und gegebenenfalls zu verhandeln. Grundsätzlich bleiben die Unternehmen dafür zuständig, die entsprechende Sicherheit zu gewährleisten. Die Mitarbeiter im Homeoffice tragen aber eine gewisse Eigenverantwortung – sie müssen z.B. vorsichtig mit Zugangsdaten umgehen und einen aktuellen Virenschutz nutzen. Wer grob fahrlässig handelt, muss damit rechnen, im Schadensfall leer auszugehen.
Der Markt für Cyberversicherungen ist nach wie vor jung und von einer Standardisierung noch weit entfernt. Ob es jemals so weit kommt, ist sogar fraglich, denn die zu versichernden Risiken sind, von einigen Grundkomponenten abgesehen, oft sehr spezifisch, und die Innovationszyklen der IT drehen sich sehr viel schneller, als es die Versicherer mit ihren Jahresreihen gerne hätten. Unternehmen mit einer hochwirksamen, aktuellen und ganzheitlichen IT-Schutzstrategie benötigen gegebenenfalls nur einzelne Module aus dem Cyberversicherungsportfolio. Andere, insbesondere kleine und mittelständische Betriebe legen dagegen meist mehr Wert auf eine stabile Absicherung möglichst vieler Risiken.
Absicherung nach Risikostrategie
Zwei Empfehlungen lassen sich daraus ableiten. Zum einen lohnt es sich, unabhängig von der Cyberversicherung in IT-Sicherheitsmaßnahmen zu investieren. Das Risiko eines Angriffs ist in den letzten Jahren stark gestiegen, Selbstschutz sollte also selbstverständlich sein. Was sich nicht intern abdecken lässt oder einem hohen Angriffsrisiko ausgesetzt ist, kann versichert werden. Die Police sollte dann zum einen möglichst passgenau die Lücken in der eigenen Verteidigung schließen. Zum anderen sollten die Vertragspartner möglichst eindeutige und verständliche Formulierungen aushandeln. So ist klar, wer wann was zu leisten hat – und die Wahrscheinlichkeit, dass es im Schadensfall zu einer unliebsamen Überraschung kommt, sinkt.
David Schahinian arbeitet als freier Journalist für Tageszeitungen, Fachverlage, Verbände und Unternehmen. Nach Banklehre und Studium der Germanistik und Anglistik war er zunächst in der Software-Branche und der Medienanalyse tätig. Seit 2010 ist er Freiberufler und schätzt daran besonders, Themen unvoreingenommen, en détail und aus verschiedenen Blickwinkeln ergründen zu können. Schwerpunkte im IT-Bereich sind Personalthemen und Zukunftstechnologien.