Die Versicherung von Cyber-Risiken

Thomas Böhm, Partner und Experte im Versicherungsrecht bei CMS in Wien, über die Möglichkeiten und Grenzen von Cyber-Risk-Versicherungen. Eines ist jedenfalls klar: Auch die besten Präventivmaßnahmen bieten keinen hundertprozentigen Schutz. [...]

Einige Versicherungen übernehmen auch Lösegeldzahlungen bei DoS-Fällen. (c) kantver-Fotolia
Einige Versicherungen übernehmen auch Lösegeldzahlungen bei DoS-Fällen. (c) kantver-Fotolia

Die Errungenschaften unserer hochtechnisierten Welt zeigen ihre Schattenseiten und rücken das Thema Cyber Risk stärker in den Fokus. Typische Bedrohungen durch Cyber-Kriminalität sind Datendiebstahl und Datenschutzverletzungen, Diebstahl geistigen Eigentums, virtuelle Erpressung oder Denial-of-Service Attacken (DoS).

Wie Studien, bei denen Cyber Security-Experten von österreichischen Unternehmen befragt wurden, belegen, wurden 72 Prozent der österreichischen Unternehmen in den letzten 12 Monaten Opfer von Cyberangriffen, Computersabotage, digitaler Erpressung oder einer anderen Form von Cyberkriminalität. In der Folge litt rund die Hälfte davon auch an einer Unterbrechung der Geschäftsprozesse. Und auch kleine Unternehmen werden als Ziel immer beliebter: 66 Prozent der österreichischen KMU waren in den vergangenen Jahren betroffen. Tendenz steigend. Österreichische Unternehmen erleiden jedes Jahr Schäden in Millionenhöhe. Das Center for Strategic & International Studies (CSIS) schätzt die Schäden durch Cyber-Kriminalität auf rund 600 Milliarden USD weltweit. Und die Gefahr von Cyber-Angriffen wächst. Versicherungsunternehmen bestätigen, dass Cyber-Risiken zu den Top-Risiken für Unternehmen im Jahr 2018 zählen.

Darauf kommt es an

Der Aufbau eines gezielten Cyber-Risikomanagements ist für jedes Unternehmen unverzichtbar. Eine Cyber-Risk-Versicherung kann ein sinnvoller Baustein sein, denn eines ist klar: Auch die besten Präventivmaßnahmen bieten keinen hundertprozentigen Schutz. Restrisiken bleiben immer. Ziel der Cyber-Risk-Versicherung ist die bestmögliche Absicherung des Unternehmens gegen diese Risiken.

Schwierigkeiten bereitet die Erfassung des Risikos durch das Versicherungsunternehmen. Bei KMUs genügt dazu vielleicht ein von der Versicherung ausgearbeiteter Fragebogen. Bei größeren Unternehmen kann es für die Versicherung erforderlich sein, mit (externen) Experten vor Ort die Risiken von allen Seiten zu prüfen. IT-Mindeststandards sind oft Voraussetzung für eine Deckung. Die Risikoprüfung mündet zuweilen im Vorschlag bestimmter technischer Lösungen und Produkte, die umzusetzen sind, um Risiken zu minimieren. Erst nach Ermittlung des Restrisikos kommt es zum Abschluss des Vertrags. Werden die Mindeststandards nicht erfüllt, kann das zu einer erhöhten Prämie, zum Ausschluss bestimmter Risiken von der Deckung oder schlimmstenfalls zur Weigerung der Versicherung führen, den Vertrag abzuschließen.

Was eine Cyber-Risk-Versicherung kann

Die Versicherungsprodukte umfassen üblicherweise eine Grunddeckung, in der die Versicherung Versicherungsschutz für Eigenschäden des versicherten Unternehmens und Haftpflichtversicherungsschutz für Drittschäden übernimmt. Versichert werden beispielsweise die Wiederherstellungskosten, die Kosten für forensische Untersuchungen zur Ermittlung der Ursache und Bestätigung des Versicherungsfalls, Benachrichtigungen von Betroffenen und Datenschutzbehörden oder Öffentlichkeitsarbeit im Krisenfall (PR-Beratung). Im Haftpflichtteil umfasst der Versicherungsschutz die Erfüllung begründeter und die Abwehr unbegründeter Haftungsansprüche inklusive der damit verbundenen Kosten. Die Haftpflicht kann beispielsweise durch eine Verletzung der Vertraulichkeit elektronischer Daten Dritter, die sich im Verfügungsbereich der Versicherten befinden, ausgelöst werden. Die Grunddeckung kann nach dem Baukasten-Prinzip um individuelle Deckungsvarianten erweitert werden. Das Angebot ist vielfältig. Die Notwendigkeit solcher Zusatzprodukte hängt stark vom Einzelfall ab. Die meisten Anbieter versichern optional unter anderem Betriebsunterbrechungsschäden. Es gibt auch Versicherungen, die die Übernahme von Lösegeldzahlungen bei DoS-Fällen zusagen.

Die Regelung des Versicherungsfalls ist unterschiedlich. Im Haftpflichtversicherungselement kommt üblicherweise das »Claims-Made-Prinzip« zur Anwendung. Als Versicherungsfall gilt dann die erstmalige schriftliche Erhebung eines Haftpflichtanspruchs gegenüber dem Versicherungsnehmer. In der Eigenschadenversicherung ist mit dem nach den jeweiligen Bedingungen definierten Schaden auch der Versicherungsfall eingetreten. Aufgrund der schwer abschätzbaren Schäden einer Cyber-Attacke sollte die Einschätzung der Deckungssummen großzügig erfolgen. Derzeit sind Deckungssummen bis zu 500 Millionen Euro möglich. Der Trend geht in Richtung noch höherer Deckungssummen.

Was eine Versicherung nicht kann

Kein Versicherungsschutz besteht im Cyber-Haftpflichtfall in aller Regel dann, wenn die Ansprüche des Dritten auf vorsätzlicher Schadenverursachung oder wissentlichen Abweichen von Gesetz, Vorschrift oder Anweisungen des Auftraggebers beruhen. In der Eigenschadenversicherung wird die Deckung ebenfalls bei vorsätzlicher Schadensherbeiführung ausgeschlossen. Darüber hinaus kommt es auf die konkreten Versicherungsbedingungen an.

Allerdings ist das Cyber-Risiko sehr dynamisch. Eine Cyber-Versicherung sollte daher regelmäßig überprüft werden und erforderlichenfalls in Zusammenarbeit mit dem Versicherungsunternehmen im Hinblick auf eine geänderte Risikolage angepasst werden, um Deckungslücken zu vermeiden.

*Thomas Böhm ist Partner und Experte im Versicherungsrecht bei CMS.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*