Rüsten Sie nach!

Cyberrisiken und Cyber-Versicherung

von Boris Pahn, Fachanwalt für Versicherungsrecht bei audalis

Dass die Cyberrisiken für Unternehmen zunehmen und das nicht erst seit „Petya“ und „Wannacry“, liest man mittlerweile regelmäßig in der Tagespresse. Die zunehmende Digitalisierung macht Unternehmen aller Wirtschaftszweige und jeder Größenordnung abhängiger von IT & Internet und anfälliger für Schäden durch Datenverlust oder Angriffe auf Ihre IT-Infrastruktur, die in einer Betriebsunterbrechung münden können, oder Datenbestände, die ihre Kunden gefährden. Und das führt zu einem zusätzlichem Haftungsrisiko für Unternehmenslenker und Anteilseigner.

Hierauf hat die Versicherungswirtschaft reagiert und bietet bereits seit einigen Jahren Versicherungslösungen an, die unter dem Namen Cyber-Versicherung zusammengefasst werden. Lange ein Ladenhüter rechnet die Branche nun mit dem Durchbruch dieses Versicherungsproduktes und seit April 2017 können Versicherer bei der Konzeption einer Cyberpolice auf die Muster-Versicherungsbedingungen ihres Branchenverbandes GDV zurückgreifen, was in Zukunft eine gewisse Vereinheitlichung der Leistungen im Schadensfall erwarten lässt.

Was müssen Sie zur Cyber-Versicherung wissen?
1. Der Versicherer schützt Ihr Unternehmen nicht ohne Gegenleistung, sondern macht den Versicherungsschutz davon abhängig, dass Sie die informationsverarbeitenden Systeme Ihres Unternehmens im Einklang mit allen gesetzlichen, behördlichen und vertraglichen Sicherheitsvorschriften schützen.

Technisch: Neben der Einrichtigung individueller Mitarbeiterkonten mit ausreichend komplexen Passwörtern und der Einrichtung unterschiedlicher Befugnisebenen, bezogen auf den Zugang zu Unternehmensdaten, gehört die Ausstattung aller an das Internet angeschlossener, auch mobiler Endgeräte mit Firewall, Virenscanner, 2-Faktor-Authentifizierung, moderner Verschlüsselungstechnologie und Diebstahlsicherung ebenso dazu, wie der Einsatz eines Patch-Management-Verfahrens, das die unverzügliche Installation von relevanten Sicherheitspatches sicherstellt. Gängige Versicherungspolicen verlangen im Hinblick auf hohe Schäden durch Datenverlust außerdem regelmäßige Datensicherungen und stellen hohe Anforderungen an die Datenaufbewahrung und -wiederherstellung.

Organisatorisch: Cybersicherheit ist keine IT-, sondern eine Managementaufgabe. In Ihrer Organisation gibt es danach Verantwortliche für IT-Sicherheit sowie Datenschutz, Ihre Mitarbeiter werden geschult und zur Einhaltung der IT-Sicherheitsbestimmungen Ihres Unternehmens verpflichtet. Teilweise verlangen Versicherer, dass Sie einen IT-Notfall- und Wiederanlaufplan bereithalten, der dem Muster des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht.

To do: Sie haben neben den bevorstehenden Änderungen im Datenschutzrecht einen zusätzlichen Grund, die IT-Sicherheit Ihres Unternehmens zu organisieren und auf den aktuellen Stand der Technik zu bringen und zu halten (IT-Sicherheit ist kein Zustand, sondern ein Prozess). Achten Sie auf eine lückenlose Dokumentation Ihrer Maßnahmen. Erstellen Sie einen Notfallplan.

2. Viele Policen schließen bestimmte, schwer kalkulierbare Risiken von vornherein vom Versicherungsschutz aus: Schäden infolge von Krieg, Terrorakten, Streiks, Unruhen, durch Kernenergie oder Diskriminierung (wie in anderen Versicherungen auch), aber auch z. B. Schäden infolge des Ausfalls der Infrastruktur (Telefon-, Internet- oder Funknetz) oder von Einrichtungen der Daseinsvorsorge in Ihrem Landkreis oder Stadtteil, Schäden aus einer Zahlung von Löse- oder Erpressungsgeldern, Schäden aufgrund oder im Zusammenhang mit Finanzmarkttransaktionen oder Schäden aus dem Abfluss von Vermögenswerten aus Ihren Unternehmen, die im Zusammenhang mit einer Informationssicherheitsverletzung entstehen. Diese Ausschlüsse sind nicht in Stein gemeißelt, sondern können gegen eine höhere Versicherungsprämie zumindest teilweise wieder in Ihren Versicherungsvertrag hineinverhandelt werden; hierfür bedarf es jedoch professioneller Unterstützung durch z. B. spezialisierte Versicherungsmakler oder -berater.

To do: Lassen Sie den Cyber-Versicherungsschutz, den Ihr Unternehmen benötigt, durch einen Profi bedarfsgerecht ermitteln und besorgen. Achten Sie auf eine lückenlose Dokumentation dieses Prozesses.

3. Sie können verschiedene Cyber-Versicherungsleistungen wählen (sog. Bausteinprinzip). Unterschieden wird nach Vermögensschäden, die infolge einer Informationssicherheitsverletzung in Ihrem Unternehmen (sog. Eigenschäden) oder bei Dritten (z. B. Ihren Kunden, Zulieferern, Vertragspartnern usw.) eintreten (sog. Fremdschäden).

a) Gegenüber diesen Dritten gewährt Ihnen der Versicherer Haftpflichtschutz (Cyber-Liability), prüft also Schadenersatzansprüche, die Dritte gegen Sie geltend machen und reguliert diese bzw. wehrt sie ab. Denkbar ist der Fall, dass von Ihren Servern aus Malware verbreitet wird oder sensible Daten gestohlen und veröffentlicht werden oder infolge des Ausfalls Ihrer IT Verzugsschäden bei Ihren Kunden eintreten. Zusätzlichen Versicherungsschutz können Sie für den Fall erwerben, dass durch von Ihnen veröffentlichte elektronische Medieninhalte die Persönlichkeits- oder Namensrechte Dritter bzw. Urheber- und Markenrechte verletzt werden bzw. Sie infolge dessen wettbe-werbsrechtlich in Anspruch genommen werden. Versichern können Sie auch den Fall, dass ein E-Payment-Service-Provider Ihr Unternehmen wegen einer Verletzung eines Payment-Card-Industry-Datensicherheitsstandards in Anspruch nimmt.

b) Ihnen gegenüber kommt der Versicherer für die Kosten externer Sachverständiger (IT-Forensik) auf, die Ursache und Umfang des Schadens ermitteln und Schadenbegrenzung betreiben, außerdem die Kosten, die Ihnen für die Prüfung und Erfüllung ihrer Informationspflichten z. B. gegenüber den Datenschutzbehörden entstehen (z. B. Rechtsanwaltskosten), ferner in bestimmtem Umfang die Kosten für Krisenkommunikation und PR-Maßnahmen zur Erhaltung oder Wiederherstellung der öffentlichen Reputation Ihres Unternehmens. Ggf. vermittelt Ihnen der Versicherer die vorgenannten Helfer auch. Am Wichtigsten für Ihr Unternehmen: Kommt es infolge einer Informationssicherheitsverletzung zu einer Betriebsunterbrechung (z. B. Ausfall Ihrer Unternehmens-IT) ersetzt der Versicherer den Betriebsgewinn und die fortlaufenden Betriebskosten während der Betriebsunterbrechung (in Form eines Tagessatzes). Außerdem werden die Kosten notwendiger Aufwendungen zur Systemrekonstruktion bzw. Wiederherstellung betroffener Datenbestände und für die Entfernung der Schadsoftware übernommen.

Fazit: In Zeiten des Web 4.0 sollten Sie IT-Sicherheit und die Erlangung adäquaten Versicherungsschutzes zur Chefsache erklären.

Gelesen 747 mal