Cyberrisiken stellen heute das bedeutsamste Geschäftsrisiko für Unternehmen weltweit dar. So ist es nicht verwunderlich, dass Unternehmen in den letzten Jahren Milliarden in Cybersicherheit investiert und unter Konzernlenkern auch das Bewusstsein für die Notwendigkeit einer Cyber-Versicherung stetig wächst.
Cybervorfälle können sich auf vielfältige Weise manifestieren: Als Datenklau mittels Phishing-E-Mail, als Verstoß gegen Datenschutzvorschriften oder als Betriebsausfall aufgrund eines Hackerangriffs. Ob für einen solchen Cybervorfall Versicherungsschutz besteht, ist davon abhängig, ob es sich dabei auch um einen Versicherungsfall im Sinne der jeweiligen Cyber-Versicherung handelt.
Im Hinblick auf die vom Versicherungsschutz erfassten Risiken variieren die aktuell am Markt verfügbaren Cyber-Versicherungen stark. Viele Anbieter orientieren sich jedoch mittlerweile an den Musterbedingungen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zur Cyber-Versicherung (AVB Cyber). Danach greift der Versicherungsschutz der Cyber-Versicherung nur dann, wenn
- eine Informationssicherheitsverletzung vorliegt und
- diese Informationssicherheitsverletzung durch ein bestimmtes – in den Versicherungsbedingungen aufgelistetes – Cyberereignis ausgelöst wurde.
Der Begriff der „Informationssicherheitsverletzung“
Die erste und zentrale Voraussetzung für den Eintritt eines Versicherungsfalls ist das Vorliegen einer sog. Informationssicherheitsverletzung. Von der Auslegung dieser Begrifflichkeit hängt die Anwendbarkeit und die Reichweite des Versicherungsschutzes unter einer Cyber-Versicherung ab.
In Ziff. A1-2.1 der AVB Cyber wird die Informationssicherheitsverletzung definiert als:
Beeinträchtigung der Verfügbarkeit, Integrität und Vertraulichkeit von elektronischen Daten des Versicherungsnehmers oder informationsverarbeitender Systeme, die zur Ausübung der betrieblichen oder beruflichen Tätigkeit genutzt werden.
Dieser – sehr sperrigen – Definition kann man sich nur nähern, indem man sie in ihre einzelnen Bestandteile bzw. Voraussetzungen „zerlegt“, nämlich
- dem Vorliegen eines tauglichen Schutzobjekts, also elektronischen Daten oder eines informationsverarbeitenden Systems (1.),
- der Nutzung des Schutzobjekts zur Ausübung der betrieblichen oder beruflichen Tätigkeit (2.) und
- der Beeinträchtigung des Schutzobjekts im Hinblick auf dessen Verfügbarkeit, Integrität oder Vertraulichkeit (3.).
1. Elektronische Daten und informationsverarbeitende Systeme
Als taugliche Schutzobjekte einer Informationssicherheitsverletzung kommen elektronische Daten und informationsverarbeitende Systeme in Betracht.
Unter „elektronischen Daten“ versteht man codierte Informationen, die nicht unmittelbar mit dem Auge, sondern nur mittelbar mithilfe eines entsprechenden Auslesegeräts ausgelesen werden können (z.B. indem ein Datenträger in einen Computer eingeführt wird). Dabei ist es unerheblich, auf welche Art und Weise die Daten gespeichert werden. Elektronische Daten liegen sowohl bei einer elektronischen Speicherung (z.B. durch Drag-and-Drop auf einem USB-Stick) als auch bei einer mechanischen Speicherung (z.B. durch Lasergravuren auf der Unterseite einer CD, auch bekannt als sog. „Brennen“ einer CD) vor.
Anders als beim Begriff der elektronischen Daten, dessen Definition aus dem Straftatbestand des § 202a StGB abgeleitet wird, gibt es für den Begriff der „informationsverarbeitenden Systeme“ bislang keine etablierte Definition. Die Literatur und Rechtsprechung orientiert sich bei der Auslegung des Begriffs überwiegend am Schutzzweck und dem in der Fachwelt verbreiteten weiten Begriffsverständnis. Dies bedeutet, dass faktisch alle Systeme erfasst sind, die in tatsächlicher Hinsicht unmittelbar durch einen Cyberangriff tangiert werden können. Insbesondere soll der Begriff „informationsverarbeitende Systeme“ nicht nur auf solche Systeme beschränkt sein, die wirklich Daten „verarbeiten“ (wie es der Begriff „informationsverarbeitende“ Systeme) suggeriert, sondern auch reine Speicherungen unter die Definition fallen.
2. Nutzung zur betrieblichen oder beruflichen Tätigkeit
Zu beachten ist jedoch, dass nicht sämtliche elektronischen Daten und informationsverarbeitenden Systeme dem Versicherungsschutz unterliegen, sondern nur solche, die der Versicherungsnehmer „zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt“.
Von einer betrieblichen Tätigkeit ist auszugehen, wenn die Tätigkeit mit der Eingliederung in einen bereits bestehenden Betrieb verbunden ist und Weisungsgebundenheit besteht (z.B. die Nutzung eines Computers durch Angestellte). Der Begriff der beruflichen Tätigkeit ist dagegen weiter gefasst und erfasst auch selbstständige weisungsfreie Tätigkeiten (z.B. Unternehmer).
Da es auf den Zweck der Nutzung ankommt, ist die Mischnutzung eines privaten Gerätes für berufliche oder betriebliche Zwecke (z.B. Homeoffice über eine Cloud-Lösung) sowie eines beruflichen oder betrieblichen Gerätes für private Zwecke (z.B. private Anrufe über ein Diensttelefon) unschädlich. Denn mit der Cyber-Versicherung sollen alle Konstellationen erfasst werden, die eine Angriffsfläche für einen betrieblichen oder beruflichen Cybervorfall darstellen können.
Nicht erfasst ist wird jedoch die Nutzung von elektronischen Daten oder informationsverarbeitenden Systemen zu ausschließlich privaten Zwecken (z.B. Datenklau von allen mit Betriebs-WLAN verbundenen Geräten, mit dem auch ausschließlich privat genutztes Mobiltelefon verbunden war).
3. Beeinträchtigung von Verfügbarkeit, Integrität und Vertraulichkeit
Schließlich bedarf es für das Vorliegen einer Informationssicherheitsverletzung der „Beeinträchtigung der Verfügbarkeit, Integrität und Vertraulichkeit“ der elektronischen Daten oder informationsverarbeitenden Systeme.
- Die „Verfügbarkeit“ ist beeinträchtigt, wenn der permanente oder vereinbarte Zugang zu Daten und Systemen betroffen ist und von der vorgesehenen Zielgruppe nicht genutzt werden kann (z.B. bei der Verschlüsselung von Daten oder der Änderung eines Passworts).
- Die „Integrität“ ist beeinträchtigt, wenn die Unversehrtheit, Unveränderlichkeit oder Vollständigkeit von Daten oder Systemen betroffen ist (z.B. wenn Daten unerlaubt inhaltlich manipuliert oder Angaben zum Autor verfälscht werden)
- Die „Vertraulichkeit“ ist beeinträchtigt, wenn sich Dritte unbefugten Zugang zu Daten oder Systemen verschafft haben (z.B. Einsichtnahme Dritter in den internen E-Mail-Verkehr über Trojaner oder Phishing).
Für eine „Beeinträchtigung“ ist es nicht erforderlich, dass eines der vorgenannten Schutzgüter vollständig entfällt. Vielmehr ist bereits jede nachteilige Abweichung des Ist-Zustandes vom Soll-Zustand ausreichend. Dass ein Betrieb fortgesetzt werden konnte, steht somit der Annahme einer Beeinträchtigung grundsätzlich nicht entgegen.
Verursachung der Informationssicherheitsverletzung durch bestimmtes Cyberereignis
Das Vorliegen einer Informationssicherheitsverletzung ist, für sich genommen, ist jedoch regelmäßig nicht ausreichend, um vom Eintritt des Versicherungsfalls unter einer Cyber-Versicherung ausgehen zu können.
Stattdessen wird der Eintritt eines Versicherungsfalls meist zusätzlich davon abhängig gemacht, dass die Informationssicherheitsverletzung durch bestimmte Cyberereignisse ausgelöst wurde, die in den Versicherungsbedingungen entweder abstrakt (wie in den AVB Cyber) oder konkret (wie in den Versicherungsbedingungen einiger Anbieter) benannt sind.
1. Abstrakter Katalog von relevanten Cyberereignissen
Die AVB Cyber enthalten unter Ziff. A1-2.4 einen Katalog abstrakt beschriebener Cyberereignisse, die eine Informationssicherheitsverletzung auslösen können sollen:
- Angriffe auf elektronische Daten oder informationsverarbeitende Systeme des Versicherungsnehmers (z.B. durch Hackerangriffe);
- Unberechtigte Zugriffe auf elektronische Daten des Versicherungsnehmers (z.B. durch Doxing-Angriffe):
- Eingriff in informationsverarbeitende Systeme des Versicherungsnehmers (z.B. durch Cryptojacking-Angriffe);
- Verletzung datenschutzrechtlicher Vorschriften durch den Versicherungsnehmer (z.B. durch Nichtanpassung betrieblicher Prozesse an Rechtsänderungen); oder
- Einwirkung von Schadprogrammen auf elektronische Daten oder informationsverarbeitende Systeme des Versicherungsnehmers (z.B. durch Malware-Angriffe).
Die vorgenannten Cyberereignisse sind so abstrakt gefasst, dass praktisch alle durch menschliches Verhalten adäquat verursachten Informationssicherheitsverletzungen erfasst sind. Dies wird auch dadurch deutlich, dass die aufgelisteten Cyberereignisse nicht vorgeben, auf welchem technischen Weg die Informationssicherheitsverletzung herbeigeführt werden muss (so würde z.B. die erste Option „Angriff“ sowohl einen Hackerangriff als auch einen DDoS-Angriff erfassen).
2. Konkreter Katalog von relevanten Cyberereignissen
Anstelle eines Katalogs mit abstrakt beschriebenen Cyberereignissen, die eine Informationssicherheitsverletzung auslösen können, enthalten die Bedingungswerke einiger Anbieter einen Katalog mit konkret beschriebenen Cybervorfällen, d.h. dort sind z.B. „Hackerangriffe“, „Ransomware-Angriffe“, Phishing-E-Mails“ etc. namentlich als Cyberereignisse genannt.
Im Vergleich zu dem Katalog mit den abstrakten Cybervorfällen besteht hier ein erheblich geringer Auslegungsspielraum, da der Anwendungsbereich der Cyber-Versicherung – in technischer Hinsicht – auf die konkret aufgelisteten Cyberereignisse beschränkt ist. Dies führt zwar zu größerer Rechtssicherheit, kann im Einzelfall jedoch problematisch sein, wenn z.B. eine Informationssicherheitsverletzung – bedingt durch den technischen Fortschritt – durch eine (neuartige) Verletzungshandlung ausgelöst wurde, die (noch) nicht in dem konkreten Katalog der relevanten Cyberereignisse abgebildet und deshalb nicht vom Versicherungsschutz umfasst ist.
Fazit: Informationssicherheitsverletzung und technisches Grundwissen
Zusammengefasst bleibt festzuhalten, dass für die Klärung, ob ein Cybervorfall einen Versicherungsfall unter einer Cyber-Versicherung auslöst, zunächst kein Weg an der Auslegung des zentralen Terminus der Informationssicherheitsverletzung vorbeiführt.
Wenn feststeht, dass sich eine Informationssicherheitsverletzung verwirklicht hat, muss zudem bestimmt werden, dass diese nicht auf ein beliebiges, sondern auf ein bestimmtes Cyberereignis zurückzuführen ist. Die verschiedenen Cyberereignisse, die in diesem Zusammenhang als geeignet angesehen werden, um den Versicherungsschutz unter einer Cyber-Versicherung auszulösen, werden regelmäßig entweder abstrakt oder konkret im Bedingungswerk der jeweiligen Cyber-Versicherung aufgelistet.
Festzuhalten ist deshalb, dass man sich im Bereich der Cyber-Versicherung – bereits bei der Bestimmung des Versicherungsfalls – mit verschiedenen rechtlichen (und z.T. auch technischen) Begrifflichkeiten konfrontiert sieht, die einige Auslegungsspielräume bieten und somit zu Rechtsunsicherheiten führen können. Dies gilt insbesondere deshalb, da im Bereich der Cyber-Versicherung bislang nur in einem sehr überschaubaren Umfang Rechtsprechung existiert.
Umso wichtiger ist es somit, sich bei bereits bei Abschluss einer Cyber-Versicherung bzw. spätestens im Schadenfall adäquat rechtlich beraten zu lassen.