Das Thema Cyber-Risk-Versicherungen ist, anders als im amerikanischen Raum, im deutschen Unternehmensumfeld noch nicht sehr weit verbreitet. Mit der zunehmenden Internetkriminalität reagieren aber Versicherungsgesellschaften darauf und bieten entsprechende Versicherungsmodelle an oder entwickeln diese aktuell, da diesbezüglich ein neuer Geschäftszweig für Versicherungen entstanden ist. Allgemein gesprochen ist es wie mit anderen Versicherungen auch, “- Kann, muss aber nicht – “, da zumindest im deutschen Raum keine gesetzliche Versicherungspflicht gegen Cyber-Risk besteht.

Es sollte bedacht werden, dass dieses Thema sowohl für Versicherungen als auch für Unternehmen großes „Neuland“ ist. Daher ist es schwierig eine genaue Empfehlung abzugeben, da es u.a. nur unzureichend Informationen bezüglich stattgefundener Schadensfälle gibt. Selbst wenn bereits Fälle eingetreten sind wo eine derartige Versicherung gegriffen hat, wird es schwer daraus Erfahrungswerte zu gewinnen, da Betroffene und Versicherungen zurecht verschwiegen damit umgehen. Ebenso sind öffentliche Präzedenzfälle, in Verbindung mit Cyber-Risk-Versicherungen, zumindest derzeit, kaum bekannt. Interessant wird es zudem ja erst im Schadensfall, da immer eine individuelle Betrachtung erfolgt. Im Entscheidungsprozess über eine Cyber-Risk-Versicherung sollte man beachten, dass viele Versicherer sich unterschiedlich positionieren, wenn es um den Ausschluss von Versicherungsleistungen geht. Allgemein gilt auch hier, dass Bußgelder welche von Aufsichtsbehörden eingefordert werden können, nicht mit abgesichert werden können. Ausgeschlossen sind oft auch Bedienfehler, sprich wenn durch menschliches Versagen eine Betriebsunterbrechung erfolgt, z.B. durch nachweislich fehlerhafte Administration der Firewall, besteht kein Versicherungsschutz. Ebenso positionieren sich einige Versicherungen noch über die „Stand der Technik“ Obliegenheit. Diese ist ein sehr weit dehnbarer Begriff und nicht genau definiert. Angenommen auf einem System, welches von einem Angriff betroffen ist, wird ein fehlendes Sicherheitsupdate als Ursache für den Ausfall identifiziert. War das System demnach „Stand der Technik“ oder eher nicht? Lag ein Bedienfehler in der Administration vor? Ja oder Nein?

Weitere Fragen mit denen man sich auseinandersetzen sollte sind:

  • Welches potenzielle Restrisiko soll überhaupt versichert werden?
  • Was steht exakt im „Kleingedruckten“, sprich welche Leistungen sind definitiv abgesichert und welche sind ausgeschlossen?
  • Wie bearbeitet die Versicherung einen Schadensfall?
  • Kann Ihnen die Versicherung exakte Beispielfälle benennen?
  • Welche technisch / organisatorischen Maßnahmen setzen Versicherungen voraus?
  • Wie und was müssen Sie nachweislich bei einer Betriebsunterbrechung, die sich über die Wartezeit hinausstreckt, eigenständig geleistet haben, um Ansprüche aus der Versicherung zu beziehen?
  • Existieren Überlagerungen von Leistungen mit z.B. einer bereits vorhandenen Haftpflichtversicherung?
  • Macht die Versicherung Vorgaben zur Handlung im Schadensfall?
  • Werden Dienstleister, z. B. zur Bekämpfung eines Angriffs, von der Versicherung vorgegeben?

Die Fachwelt ist derzeit geteilter Meinung über die Sinnhaftigkeit und Wirtschaftlichkeit von Cyber-Risk-Versicherungen. Wenn strategisch betrachtet grundlegend “Haftpflichtansprüche” abgesichert werden sollen, kann eine derartige Versicherung eventuell nur aus proaktiver Sicht sinnvoll sein. Also frei nach dem Motto – „Haben ist besser als Brauchen!“. Aber auch dieser Punkt sollte individuell betrachtet werden.