Dass „Cyber“-Schäden nahezu jeden treffen können, der über irgendein technisches Gerät mit Zugang zum Internet verfügt, dürfte sich mittlerweile herumgesprochen haben. Auch über die grundsätzliche Notwendigkeit technischer und organisatorischer Vorkehrungen gegen Cyber-Risiken herrscht in der Wirtschaft weitestgehend Einigkeit. Anders verhält es sich aber derzeit noch bei Cyber-Versicherungslösungen, hier ist die allgemeine Unsicherheit groß. Von Kundenseite kommen Fragen wie:

Anzeige  

 
  • Welche dieser Risiken decken meine bestehenden Versicherungen (nicht) ab?
  • Was deckt eine Cyberversicherung ab?
  • An welche Voraussetzungen ist der Versicherungsschutz geknüpft?
  • Welche Cyberversicherung ist die beste für mein Unternehmen?

Die Verschiedenartigkeit der in Deutschland erhältlichen Cyber-Versicherungslösungen macht eine einfache Antwort schwer und führt mitunter dazu, dass Kunden oder Vermittler sich an Überschriften oder Broschüren orientieren. Auch der herkömmliche Synopsenansatz, ein beliebiges Konzept als Referenzbedingungswerk zu verwenden, birgt – wegen des Definitionsansatzes mancher Konzepte – die Gefahr grundlegender Fehlinterpretationen. Ein funktionierender, wenn auch äußerst aufwändiger Prüfansatz ist der über Szenarien. Hier werden die Deckungsumfänge, Ausschlüsse und Obliegenheiten an, für den Versicherungsnehmer, relevanten Schadenszenarien vorbeigeführt und bewertet.

Zur Veranschaulichung stellen wir Ihnen dieses Vorgehen nachfolgend anhand eines Musterszenarios und der neuen GDV-Musterbedingungen für die Cyberrisiko-Versicherung vor. Aufgrund ihres Muster-Charakters können die GDV-Musterbedingungen auf Sicht den Status eines Referenz-Bedingungswerks erlangen, wodurch die Arbeit zukünftiger Synopsen-Ersteller – ohne die bisherigen Qualitätseinbußen – erleichtert werden könnte.

Versicherungsfall

Am 11.11.2016 erfolgt ein SQL-Angriff auf die Datenbank eines Onlineshops. Dem Angreifer gelingt es, eigene Datenbankbefehle einzuschleusen und so Administratorenrechte zu erlangen. Da die Zahlungsdaten der Onlineshop-Kunden nicht verschlüsselt gespeichert wurden, werden diese kopiert und für unberechtigte Käufe verwendet.

Aufgrund von Beschwerden betroffener Kunden und entsprechender Überwachungsprogramme eines Kreditkartenunternehmens wird der Onlineshop als mutmaßliche Ursache identifiziert und auf ein mögliches Datenleck hingewiesen. Ist damit der Versicherungsfall eingetreten? A1-4 der unverbindlichen Musterbedingungen lautet:

„Versicherungsfall ist der erstmals nachprüfbar festgestellte Schaden nach A1-1 (Gegenstand der Versicherung). Der Versicherungsfall muss während der Wirksamkeit der Versicherung eingetreten sein.“

Versicherungsfall ist die Schadenfeststellung (sog. Manifestationstheorie), wobei es unerheblich ist, durch wen die Feststellung erfolgt. Im vorliegenden Beispielfall wird der Versicherungsnehmer durch das Kreditkartenunternehmen auf eine mögliche Schwachstelle hingewiesen, die sich in der Folge, im Rahmen forensischer Untersuchungen, bestätigt (siehe unten). Während der Zeitpunkt des Schadeneintritts in den meisten Fällen nur schwer ermittelbar ist, wird dem grundsätzlich beweisbelasteten Versicherungsnehmer durch die Bezugnahme auf den unstreitigen Zeitpunkt der Schadenfeststellung der Nachweis des Versicherungsfalls erleichtert.

In dem geschilderten Musterfall hat das Kreditkartenunternehmen zur Sicherheit die Kreditkarten aller potenziell betroffenen Kunden des Onlineshops ausgetauscht. Daraus resultierende Schadensersatzkosten der Kreditkarten ausgebenden Unternehmen gegen den Onlineshop sind über den Drittschadenbaustein der unverbindlichen Cyberrisiko-Versicherung denkbar, hier aber nicht abgebildet.

Forensikkosten

Eine forensische Untersuchung deckt auf, dass das Kreditkartenunternehmen richtig lag und die IT-Systeme des Onlineshops (und damit sämtliche Kundendaten) kompromittiert wurden. Damit ist der Versicherungsfall auch eingetreten. A2-1 lautet:

„Versichert sind nach vorheriger Abstimmung mit dem Versicherer alle angemessenen und erforderlichen Kosten des Versicherungsnehmers oder der mitversicherten Personen für externe Sachverständige zur Ermittlung der Ursache und zur Feststellung des versicherten Schadens.“ Damit sind die Kosten der forensischen Untersuchung versichert, sofern eine Abstimmung mit dem Versicherer stattgefunden hat. Dies gilt gemäß A2-1 Satz 2 bis zur Höhe eines vereinbarten Sublimits sogar für den Fall, dass sich der Versicherungsfall nicht bestätigt.

Informationskosten

Wenn bestimmte personenbezogene Daten (u. a. personenbezogene Daten zu Bank- und Kreditkartenkonten) Dritten unrechtmäßig zur Kenntnis gelangt sind, ergibt sich unter den Voraussetzungen des §42a Satz 1 BDSG die Pflicht, die zuständige Aufsichtsbehörde sowie die Betroffenen zu informieren. Hierzu bestimmt A2-2.1:

„Der Versicherer ersetzt

a) die Kosten, die dem Versicherungsnehmer infolge einer Verletzung von datenschutzrechtlichen Vorschriften zur Prüfung und Erfüllung seiner gesetzlichen und/oder behördlichen Informationspflichten entstehen.

Falls folgende zusätzliche Kosten versichert werden sollen, kann durch besondere Vereinbarung der Versicherungsschutz im Versicherungsschein oder in seinen Nachträgen wie folgt erweitert werden:

b) die Kosten für die Beauftragung eines externen Call-Centers zur Beantwortung von Fragen, die infolge der Meldung einer Verletzung von datenschutzrechtlichen Vorschriften entsprechend den gesetzlichen und/oder behördlichen Informationspflichten, durch die betroffenen Personen an den Versicherungsnehmer gerichtet werden.“

Nach Information der Aufsichtsbehörde sowie der Betroffenen erscheinen entsprechende Berichte über den Datenverlust. Beim Onlineshop gehen die Umsätze um mehr als 60 Prozent zurück.

Umsatzrückgang

Umsatzrückgänge sind nach den unverbindlichen Musterbedingungen des GDV für eine Cyberrisiko-Versicherung nicht versichert.

Krisenkommunikationskosten

Es ist erforderlich, mittels entsprechender Verlautbarungen auf Gerüchte und Ängste der Käufer zu reagieren. Hinzu kommt das Ziel, durch ein effektives Krisenmanagement den Reputationsschaden für den VN möglichst gering zu halten.

Im Krisen- und Notfallmanagement entstehen regelmäßig zusätzliche Kosten für Call-Center-Leistungen. Diese sind bei entsprechend zusätzlicher Vereinbarung gem. A2-2.1 lit. b) bis zur Höhe des im Versicherungsschein vereinbarten Sublimits gedeckt. A2-2.2 Krisenkommunikation und PR-Maßnahmen

A2-2.2 lautet: „Falls folgende zusätzliche Kosten versichert werden sollen, kann durch besondere Vereinbarung der Versicherungsschutz im Versicherungsschein oder in seinen Nachträgen wie folgt erweitert werden: Der Versicherer ersetzt die Kosten für Maßnahmen zur Erhaltung oder Wiederherstellung der öffentlichen Reputation des Versicherungsnehmers. Dazu gehören nach vorheriger Zustimmung des Versicherers auch die Kosten für die Einschaltung eines Krisenmanagementberaters oder PR-Beraters.“

Betriebsunterbrechung

Die Sicherheitslücke, über die die Hacker in das System eingedrungen sind, wird identifiziert. Aus Sicherheitsgründen und um die Lücke(n) zu schließen, wird der Onlineshop in Abstimmung mit dem Versicherer vom Netz genommen. Bis zum Wiederanlaufen des Shops vergehen vier Arbeitstage.

Der Schaden durch Betriebsunterbrechungen infolge Informationssicherheitsverletzungen kann schnell ein hohes Ausmaß erreichen, insbesondere bei Onlinehändlern.

A4-1.1 lautet: „Eine Betriebsunterbrechung liegt vor, wenn infolge der Informationssicherheitsverletzung elektronische Daten oder informationsverarbeitende Systeme des Versicherungsnehmers nicht zur Verfügung stehen oder nicht die übliche Leistung erbringen und daraus ein Unterbrechungsschaden entsteht.“

Gegenstand der vorliegenden Betriebsunterbrechungsversicherung ist analog der „klassischen“ Betriebsunterbrechungsversicherung keine Sache oder deren Wert, sondern im Grundsatz der verminderte Ertrag des Unternehmens infolge eines Unterbrechungsschadens. Während jedoch der Versicherungsnehmer in der „klassischen“ Betriebsunterbrechungsversicherung infolge eines Sachschadens schadlos gehalten werden soll, ist hier eine Informationssicherheitsverletzung (A1-2) Voraussetzung für eine Entschädigung.

Behördliche Ermittlungen

Infolge der BDSG-Meldung prüft die Behörde etwaige Versäumnisse. Der Onlineshop wird aufgefordert, entsprechende Informationen bereit zu stellen. Auch hier greift wie bei den Informationskosten (siehe oben) A2-2.1

Die Kostenerstattung für die Erfüllung gesetzlicher und/oder behördlicher Informationspflichten impliziert die vorherige Prüfung hinsichtlich des Bestehens jener Verpflichtung. Der ausdrückliche Hinweis auf die „Prüfung“ der gesetzlichen Informationspflichten des Versicherungsnehmers dient deshalb lediglich der Klarstellung. Dem Versicherungsnehmer werden dabei nach Bedarf auf IT- und Datenschutzrecht spezialisierte Anwälte zur Verfügung gestellt.

PCI-Vertragsstrafe

Infolge des Kreditkartenmissbrauchs prüft das Kreditkartenunternehmen etwaige Verstöße gegen die PCI-Datensicherheitsstandards (PCI-DSS) und verhängt nach Abschluss der Prüfung ein Bußgeld in Höhe von 50.000 EUR.

A3-4.2 lautet: „Falls folgendes zusätzliche Risiko versichert werden soll, kann durch besondere Vereinbarung der Versicherungsschutz im Versicherungsschein oder in seinen Nachträgen wie folgt erweitert werden: Der Versicherer bietet – abweichend von A3-3 – Versicherungsschutz für Forderungen zur Zahlung von Vertragsstrafen‚ die gegen den Versicherungsnehmer durch einen ePayment Service Provider wegen einer Verletzung eines Payment Card Industry (PCI) Datensicherheitsstandards geltend gemacht werden...“

Über den optionalen Baustein kann die Deckung mit einem Sublimit auf diese Vertragsstrafen erweitert werden.

Anzeige  

 

Abschließend bleibt festzuhalten, dass ein Deckungsvergleich anhand von Deckungsbausteinen (oder deren Überschriften) mit großer Wahrscheinlichkeit zu falschen Ergebnissen führen wird. Um den wahren Deckungsgehalt prüfen zu können, müssen zudem nicht nur auch die Ausschlüsse betrachtet werden, sondern insbesondere auch die Obliegenheiten des Versicherungsnehmers. Bei sogenannten „Definitions-Wordings“ muss zudem geprüft werden, welche für den Umfang des Versicherungsschutzes relevanten Regelungsgehalte in den Definitionen selbst enthalten sind.