Ein Fall für die Cyberversicherung?
Wann liegt er vor – der Fall der Fälle?
Das Stichwort ist Informationssicherheit. Die Daten in einem Unternehmen sollen stets verfügbar, gleichzeitig aber auch sicher und sauber sein. Bekommt das Dreieck aus Verfügbarkeit, Sicherheit und Integrität nun Brüche, Dellen oder Lecks, so kann das betroffene Unternehmen schnell beträchtliche Verluste erleiden.
Ganz allgemein gesprochen, liegt ein Fall für die Cyberversicherung dann vor, wenn die Informationssicherheit von Daten verletzt ist. Die Ursachen können dabei ganz verschiedener Natur sein. Am häufigsten trifft man dabei auf Hackerangriffe, Sabotage durch Mitarbeiter oder Infektionen durch Schadsoftware.
Die Grundtypen der Cyberversicherung
Grundsätzlich lassen sich Cyberversicherungen zwei Grundtypen zuordnen: Informationssicherheitsverletzung und Datenschutzrechtsverletzung. Für erstgenannten Grundtyp bieten Versicherer meist die Deckung im Umfang „benannter Gefahren“. So sind in den Policen die Szenarien genau eingegrenzt, welche eine Informationssicherheitsverletzung versicherter Daten darstellen. Damit Deckungsschutz gewährleistet wird, ist also nicht nur entscheidend, dass eine Informationssicherheitsverletzung besteht, sondern auch, wie diese eingetreten ist. Erst, wenn alle Vorgänge als „policengetreu“ bezeichnet werden können, wird ein Versicherungsfall ausgelöst.
Wie Versicherer versichern
Bei der Bewertung von „unberechtigter Nutzung der versicherten Informations- und Kommunikationstechnologie (IKT) eines Unternehmens“ als zwingender Bestandteil in Cyberpolicen sind sich Versicherer recht einig. Dabei ist es unerheblich, ob die unberechtigte Nutzung durch einen unberechtigten Dritten oder einen internen Angreifer erfolgte.
Weitgehend uneins sind sich die Anbieter hingegen bei der Bewertung nicht zielgerichteter Angriffe. Sogenannte Streuangriffe werden oft aus Gründen der Kumulkontrolle (die Erfassung voneinander abhängiger Haftungen) nicht in die Policen aufgenommen.
In den vergangenen Monaten haben viele Versicherer ihre Gefahrenkataloge um aktuelle Szenarien ergänzt:
Bedienfehler
Auch wenn der Bedienfehler als versicherte Gefahr in vielen Versicherungswerken Einzug gehalten hat, gibt es immer wieder Unsicherheiten, was genau unter Bedienfehler zu verstehen ist. So handelt es sich beim Öffnen einer mit Schadsoftware behafteten E-Mail unbekannter Herkunft nicht um einen Bedienfehler. Dies ist als externer Angriff zu werten, da das Bestücken der E-Mail mit Schadsoftware und deren Versand durch einen externen Angreifer erfolgte. Bedienfehler heißt, dass kein anderer Umstand als die zur Informationssicherheitsverletzung ausgeführte Tätigkeit oder Unterlassung ursächlich für den eingetretenen Schadenfall war.
Programmierfehler
Aktuell ist der Programmierfehler noch nicht in vielen Katalogen der Versicherer gelistet. Die Schwierigkeit der Bewertung besteht tatsächlich darin, den Programmierfehler vom Bedienfehler abzugrenzen. Beispielsweise lässt sich nur schwer unterscheiden, ob ein IT-Mitarbeiter immer nur programmiert oder ob er auch bedient. Zu definieren, was passiert, wenn Mitarbeiter beiden Tätigkeiten nachkommen und wo genau der Unterschied liegt, steht noch in den Hausaufgabenheften der Versicherer.
Technische Störungen
Noch sind nicht alle Anbieter auf den Zug aufgesprungen, „Technische Störungen“ in den Leistungskatalog aufzunehmen. Ebenso ist auch der Umfang der meist sehr eingegrenzten „Technischen Störungen“, die versichert werden, beschränkt. In der Regel sind das Hard- oder Softwarefehler, interne Netzwerkfehler, Überhitzung, Über- oder Unterspannung und Ausfall oder Störung der Klimaanlage.
Lange galt die sachschadenunabhängige Gefahr unter den Sachversicherern und den Versicherern technischer Bereiche als nicht versicherbar. Allerdings ist eine deutliche Entwicklung zur entsprechenden Erweiterung in Cyberversicherungen zu beobachten.
Die Datenrechtschutzverletzung
Anders als bei der Informationssicherheitsverletzung, die sich ausdrücklich auf elektronisch gespeicherte Daten bezieht, beschränken Versicherer einen Datenschutzvorfall nicht nur auf den Zusammenhang mit nicht elektronisch gespeicherten Daten. Das heißt, dass meist auch Ihre Papierakten inkludiert sind. Dieser Kontext wird durch die Nennung der Datenvertraulichkeitsverletzung in den Policen geschaffen.
pic by unsplash
Es gibt sie noch: zu versichernde analogen Daten.
Haben Sie noch Fragen zu den aktuellen Bestimmungen rund um Ihre Cyberversicherung? Gerne steht Ihnen Ihr FinanzConcepter® mit noch detaillierteren Informationen zur Seite.
