HIC Logo

Ein Fall für die Cyberversicherung?

von Steve Ruholl

Wann liegt er vor – der Fall der Fälle?

Das Stichwort ist Informationssicherheit. Die Daten in einem Unternehmen sollen stets verfügbar, gleichzeitig aber auch sicher und sauber sein. Bekommt das Dreieck aus Verfügbarkeit, Sicherheit und Integrität nun Brüche, Dellen oder Lecks, so kann das betroffene Unternehmen schnell beträchtliche Verluste erleiden.

Ganz allgemein gesprochen, liegt ein Fall für die Cyberversicherung dann vor, wenn die Informationssicherheit von Daten verletzt ist. Die Ursachen können dabei ganz verschiedener Natur sein. Am häufigsten trifft man dabei auf Hackerangriffe, Sabotage durch Mitarbeiter oder Infektionen durch Schadsoftware.

Die Grundtypen der Cyberversicherung

Grundsätzlich lassen sich Cyberversicherungen zwei Grundtypen zuordnen: Informationssicherheitsverletzung und Datenschutzrechtsverletzung. Für erstgenannten Grundtyp bieten Versicherer meist die Deckung im Umfang “benannter Gefahren”. So sind in den Policen die Szenarien genau eingegrenzt, welche eine Informationssicherheitsverletzung versicherter Daten darstellen. Damit Deckungsschutz gewährleistet wird, ist also nicht nur entscheidend, dass eine Informationssicherheitsverletzung besteht, sondern auch, wie diese eingetreten ist. Erst, wenn alle Vorgänge als “policengetreu” bezeichnet werden können, wird ein Versicherungsfall ausgelöst.

Wie Versicherer versichern

Bei der Bewertung von “unberechtigter Nutzung der versicherten Informations- und Kommunikationstechnologie (IKT) eines Unternehmens” als zwingender Bestandteil in Cyberpolicen sind sich Versicherer recht einig. Dabei ist es unerheblich, ob die unberechtigte Nutzung durch einen unberechtigten Dritten oder einen internen Angreifer erfolgte.

Weitgehend uneins sind sich die Anbieter hingegen bei der Bewertung nicht zielgerichteter Angriffe. Sogenannte Streuangriffe werden oft aus Gründen der Kumulkontrolle (die Erfassung voneinander abhängiger Haftungen) nicht in die Policen aufgenommen.

In den vergangenen Monaten haben viele Versicherer ihre Gefahrenkataloge um aktuelle Szenarien ergänzt:

Bedienfehler

Auch wenn der Bedienfehler als versicherte Gefahr in vielen Versicherungswerken Einzug gehalten hat, gibt es immer wieder Unsicherheiten, was genau unter Bedienfehler zu verstehen ist. So handelt es sich beim Öffnen einer mit Schadsoftware behafteten E-Mail unbekannter Herkunft nicht um einen Bedienfehler. Dies ist als externer Angriff zu werten, da das Bestücken der E-Mail mit Schadsoftware und deren Versand durch einen externen Angreifer erfolgte. Bedienfehler heißt, dass kein anderer Umstand als die zur Informationssicherheitsverletzung ausgeführte Tätigkeit oder Unterlassung ursächlich für den eingetretenen Schadenfall war.

Programmierfehler

Aktuell ist der Programmierfehler noch nicht in vielen Katalogen der Versicherer gelistet. Die Schwierigkeit der Bewertung besteht tatsächlich darin, den Programmierfehler vom Bedienfehler abzugrenzen. Beispielsweise lässt sich nur schwer unterscheiden, ob ein IT-Mitarbeiter immer nur programmiert oder ob er auch bedient. Zu definieren, was passiert, wenn Mitarbeiter beiden Tätigkeiten nachkommen und wo genau der Unterschied liegt, steht noch in den Hausaufgabenheften der Versicherer.

Technische Störungen

Noch sind nicht alle Anbieter auf den Zug aufgesprungen, “Technische Störungen” in den Leistungskatalog aufzunehmen. Ebenso ist auch der Umfang der meist sehr eingegrenzten “Technischen Störungen”, die versichert werden, beschränkt. In der Regel sind das  Hard- oder Softwarefehler, interne Netzwerkfehler, Überhitzung, Über- oder Unterspannung und Ausfall oder Störung der Klimaanlage.

Lange galt die sachschadenunabhängige Gefahr unter den Sachversicherern und den Versicherern technischer Bereiche als nicht versicherbar. Allerdings ist eine deutliche Entwicklung zur entsprechenden Erweiterung in Cyberversicherungen zu beobachten.

Die Datenrechtschutzverletzung

Anders als bei der Informationssicherheitsverletzung, die sich ausdrücklich auf elektronisch gespeicherte Daten bezieht, beschränken Versicherer einen Datenschutzvorfall nicht nur auf den Zusammenhang mit nicht elektronisch gespeicherten Daten. Das heißt, dass meist auch Ihre Papierakten inkludiert sind. Dieser Kontext wird durch die Nennung der Datenvertraulichkeitsverletzung in den Policen geschaffen.

pic by unsplash

Es gibt sie noch: zu versichernde analogen Daten.

Haben Sie noch Fragen zu den aktuellen Bestimmungen rund um Ihre Cyberversicherung? Gerne steht Ihnen Ihr FinanzConcepter® mit noch detaillierteren Informationen zur Seite.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*
*

Bitte lösen Sie vor dem Senden diese kleine Aufgabe: *