Was sich hinter diesem – verglichen mit anderen Versicherungen – noch relativ jungen Versicherungsprodukt verbirgt, welche Besonderheiten es bezogen auf seine Struktur und inhaltliche Ausgestaltung aufweist, erläutern wir im Rahmen unserer Beiträge zur Cyber-Versicherung.
36% der weltweiten Geschäftsrisiken stehen im Zusammenhang mit Cybervorfällen. Sie stellen damit das bedeutsamste Geschäftsrisiko für Unternehmen dar, noch vor Betriebsunterbrechungen mit 31% und Naturkatastrophen mit 26%. In Deutschland liegen Cybervorfälle sogar mit 44% auf Platz 1 der bedeutsamsten Geschäftsrisiken (vgl. Allianz Risk Barometer 2024).
Der Digitalverband Bitkom hat die durch Cybervorfälle für deutsche Unternehmen im Jahr 2022 entstandenen Gesamtschäden auf ca. EUR 203 Milliarden geschätzt. Im Vergleich zu 2019 haben sich die Gesamtschäden damit bereits verdoppelt bzw. zu 2018 sogar fast vervierfacht (vgl. Jahresbericht des Digitalverbandes Bitkom 2022).
Mit dem Anstieg der Schäden durch Cybervorfälle ist gleichzeitig ein erhöhtes Bewusstsein für Cybersicherheit einhergegangen. So haben deutsche Unternehmen nach Angabe des Bundesamts für Sicherheit in der Informationstechnik im Jahre 2022 ca. EUR 7,8 Milliarden in die Cybersicherheit investiert.
Die Versicherungswirtschaft hat auf das erhöhte Gefahrenbewusstsein reagiert und bietet bereits seit geraumer Zeit ein eigenständiges Versicherungskonzept an, mit dem Unternehmen vor Cyberrisiken geschützt werden sollen – die sog. Cyber-Versicherung.
Los geht’s mit den Basics:
Was ist eine Cyber-Versicherung?
Die Cyber-Versicherung ist eine fakultative Zusatzversicherung zum Schutz vor Schäden, die im Zusammenhang mit Cyberkriminalität und der Nutzung des Internets entstehen. Sie hat das Ziel, Unternehmen schnellstmöglich bei der Beseitigung eines Cybervorfalles zu unterstützen, die Funktionsfähigkeit der IT sowie die Datensicherheit wiederherzustellen und durch Cyberschäden entstandene Verluste auszugleichen.
Gegen welche Risiken schützt eine Cyber-Versicherung?
Auch wenn der Versicherungsschutz im Einzelfall variieren kann, werden von einer Cyber-Versicherung typischerweise folgende Cyberrisken abgedeckt:
- Datenverletzungen: Eine Datenverletzung liegt vor, wenn personenbezogene Daten, für deren Schutz ein Unternehmen verantwortlich ist, gestohlen werden oder anderweitig missbraucht werden (z.B. Hacker gelangen durch einen Hackerangriff an Kreditkarteninformationen von Kunden eines Unternehmens, um diese im DarkWeb weiterverkaufen zu können).
- Netzwerksicherheitsverletzungen: Eine Netzwerksicherheitsverletzung liegt vor, wenn Dritte sich unbefugten Zugang zu dem Computersystem eines Unternehmens verschaffen und ein solches unbefugt nutzen (z.B. Mitarbeiter eines Unternehmens klicken auf einen Link in einer Phishing-Mails, so dass Hacker an Zugangsdaten zu einem betriebsinternen System gelangen).
- Betriebsunterbrechungen: Eine Betriebsunterbrechung liegt dann vor, wenn der Betrieb eines Unternehmens aufgrund eines Cybervorfalles nicht fortgesetzt werden kann (z.B. die Internetseite eines Unternehmens wird durch eine Vielzahl von simultanen Angriffen, eine sog. DDoS-Attacke, lahmgelegt, so dass die Interseite nicht mehr erreichbar ist und z.B. für einen längeren Zeitraum keine Online-Bestellungen mehr abgegeben werden können).
- Cybererpressungen: Eine Cybererpressung liegt vor, wenn im Zusammenhang mit der Nutzung eines Schadprogrammes die Zahlung eines Lösegeldes geltend gemacht wird (z.B. Hacker haben mit Hilfe eines Computervirus Daten verschlüsselt und verlangen für die Entschlüsselung der Daten eine Lösegeldzahlung, sog. Ransomware-Angriff).
- Reputationsbeeinträchtigungen: Eine Reputationsbeeinträchtigung liegt vor, wenn das öffentliche Ansehen eines Unternehmens durch einen Cybervorfall beeinträchtigt worden ist (z.B. Hacker veröffentlichen persönliche Daten von Kunden, so dass eine Vielzahl von potentiellen Kunden ihr Vertrauen in die Professionalität des Unternehmens verlieren).
Wie ist eine Cyber-Versicherung typischerweise aufgebaut?
Ein Cybervorfall verursacht in der Regel mehrere unterschiedliche Schäden gleichzeitig. Um der Vielschichtigkeit solcher Schadensereignisse gerecht zu werden, versucht die Cyber-Versicherung mehrere Versicherungsarten in einem Versicherungsprodukt zusammenzufassen. Sie enthält deshalb Elemente verschiedener Versicherungsarten.
Eine Orientierungshilfe für den typischen Aufbau einer Cyber-Versicherung bieten die Musterbedingungen des Gesamtverbandes der Versicherer („GDV“) zur Cyber-Versicherung („AVB Cyber“). Diese sehen, wie viele andere Bedingungswerke auf dem Markt, unter anderem eine Aufteilung in vier verschiedene Bausteine vor:
Basisbaustein
Der Basisbaustein trifft Regelungen, die übergreifend Wirkung für die gesamte Cyberversicherung haben. Dies betrifft insbesondere Regelungen über den Gegenstand der Cyberversicherung. So sind grundsätzlich nur Vermögensschäden versichert, die durch eine sog. Informationssicherheitsverletzung verursacht worden sind.
Unter einer Informationssicherheitsverletzung versteht man dabei die Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit von elektronischen Daten und informationsverarbeitenden Systemen.
Service- und Kostenbaustein
Der Service- und Kostenbaustein bestimmt, in welchen Umfang Kostenpositionen des Versicherungsnehmers übernommen werden.
Ersatzfähig sind u.a. Kosten zur forensischen Schadensfeststellung sowie diverse Kosten zur Krisenbewältigung, die z.B. durch die Einschaltung eines PR-Beraters sowie die Benachrichtigung der Betroffenen und der zuständigen Behörden über die Verletzung datenschutzrechtlicher Vorgaben entstehen können.
Drittschadenbaustein
Der Drittschadenbaustein enthält Elemente einer klassischen Haftpflichtversicherung. Es besteht also Versicherungsschutz, wenn der Versicherungsnehmer durch einen Dritten in Anspruch genommen wird, weil diesem aufgrund der Informationssicherheitsverletzung ein Schaden entstanden ist.
Dabei ist grds. unbeachtlich, bei wem die Informationssicherheitsverletzung eingetreten ist, also beim Versicherungsnehmer, mitversicherten Unternehmen oder Dritten. Ausschlaggebend ist, dass dem Dritten überhaupt ein Drittanspruch gegenüber dem Versicherungsnehmer zusteht.
Abhängig vom konkreten Bedingungswerk werden dabei Drittansprüche wegen Vermögensschäden, Persönlichkeitsverletzungen, Namenrechtsverletzungen, Urheberrechtsverletzungen sowie Markenrechtsverletzungen erfasst.
Eigenschadenbaustein
Der Eigenschadenbaustein enthält Elemente einer klassischen Betriebsunterbrechungsversicherung. Es besteht also Versicherungsschutz, wenn die Informationssicherheitsverletzung zu einer Betriebsunterbrechung führt und der Versicherungsnehmer dadurch einen Ertragsausfall erleidet.
Auch sind regelmäßig die Kosten für die Wiederherstellung von Daten sowie für die Entfernung von Schadsoftware erfasst.
Kein Versicherungsschutz durch andere Versicherungsarten
Aufgrund der inhaltlichen Überschneidungen mit anderen Versicherungsprodukten, könnte man meinen, dass Cyberrisiken bereits ausreichend durch andere Versicherungen erfasst werden und daher kein Bedarf an dem Abschluss einer zusätzlichen Cyber-Versicherung besteht.
Diese Annahme täuscht jedoch. Klassische Cybervorfälle werden von anderen Versicherungen entweder nur rudimentär oder überhaupt nicht erfasst:
- „Gewöhnliche“ Haftpflichtversicherungen: Der Versicherungsschutz einer „gewöhnlichen“ Haftpflichtversicherung bezieht sich regelmäßig nur auf Ansprüche, die auf Personen- und Sachschäden sowie daraus resultierenden Vermögensschäden basieren. Reine Vermögensschäden, also von einem Personen- oder Sachschaden unabhängige Vermögensschäden, werden meist nicht erfasst. Bei Cybervorfällen entstehen oftmals nur reine Vermögensschäden (z.B. Schadensersatzanspruch eines Kunden wegen Nichteinhaltung der Vorgaben aus der DS-GVO)
- Sachversicherungen: Der Versicherungsschutz aus einer Sachversicherung umfasst regelmäßig nur Eingriffe in die Sachsubstanz. Erforderlich ist also eine Zerstörung, Beschädigung oder ein Abhandenkommen der versicherten Sache. Bei Cybervorfällen handelt es sich jedoch meistens um Schadenereignisse ohne Sachsubstanzbezug (z.B. durch den Einsatz einer Spyware in einem Computernetzwerk wurden Betriebsgeheimnisse gestohlen, ohne die Funktionsfähigkeit des Computernetzwerkes zu beeinträchtigen).
- Vertrauensschadensversicherungen: Der Versicherungsschutz aus einer Vertrauensschadensversicherung umfasst regelmäßig nur durch unerlaubte Handlungen verursachte Schäden. Erforderlich ist also eine vorsätzliche oder zielgerichtete Handlung mit unmittelbarer Schadensfolge. Cybervorfälle können jedoch auch fahrlässig verursacht werden (z.B. wenn bestimmte IT-Sicherheitsvorkehrungen versehentlich missachtet werden) oder auf mittelbare Schäden beschränkt sein (z.B. bei einem breit gestreuten Viren-Angriff wird versichertes Unternehmen nur zufällig getroffen).
- D&O-Versicherungen: Der Versicherungsschutz aus einer D&O-Versicherung umfasst oftmals nur die Folgen fehlerhaften Managements. Erforderlich ist deshalb regelmäßig die Pflichtverletzung eines Organmitgliedes. Cybervorfälle können jedoch auch durch Angestellte eines Unternehmens verursacht werden (z.B. wenn ein Mitarbeiter vergessen hat, Updates durchzuführen und damit eine Sicherheitslücke entstanden ist).
Fazit: Cyberversicherungen sind wesentlicher Bestandteil eines ordnungsmäßen Risikomanagements
Vor dem Hintergrund der fortschreitenden Digitalisierung sehen sich Unternehmen immer weiterreichenden Cyberrisken ausgesetzt und setzen für ein angemessenes Risikomanagement zunehmend auf den Abschluss einer Cyber-Versicherung.
Das steigende Interesse an Cyberversicherungen zeigt sich nicht zuletzt in den Feststellungen der Bundesanstalt für Finanzdienstleistungen. 2020 hat die Versicherungswirtschaft mit dem Abschluss von Cyber-Versicherungen EUR 149 Millionen eingenommen, 2021 waren es schon EUR 220 Millionen und 2022 sogar EUR 336 Millionen.
Die Tendenz ist somit eindeutig, so dass es sich lohnt, sich mit den Besonderheiten dieses Versicherungsprodukts näher zu befassen und die weiteren Entwicklungen im Blick zu behalten – genau das, was wir im Rahmen unserer neuen Blog-Reihe zur Cyber-Versicherung tun werden!