Cyberrisiken – „Kopf in den Sand“ ist keine Option

Die Meldungen über Cybervorfälle mehren sich. Sei es Erpressung mittels Ransomware wie WannaCry, zerstörerische Angriffe, Datenlecks oder schlichtes menschliches oder technisches Versagen – die Vielzahl und das Ausmaß der Risiken sind immens. Die Auseinandersetzung mit solchen Risiken ist heute Pflichtprogramm für jeden Manager. Doch nur wenige Unternehmen sind gegen Cyberrisiken versichert, weiß Kirstin Schwedt, Partnerin bei Linklaters und spezialisiert auf internationale Prozessführung.

Nach dem Allianz Risikobarometer 2019 werden Cybervorfälle neben Betriebsunterbrechungen von den Befragten erstmals als größtes Geschäftsrisiko bewertet. Allein Siemens spricht von 1 000 Hackerangriffen im Monat. Mögliche Folgen sind Reputationsschäden, Schäden durch gestohlene Daten, Betriebsausfall sowie Kosten zur Folgenbeseitigung. Die Risiken steigen auch wegen der zunehmenden Vernetzung der IT-Infrastruktur; die Schäden erreichen allein in Deutschland zweistellige Milliardensummen. Auf diesen Schäden bleiben Unternehmen meist sitzen. Externe Verursacher können nur selten ermittelt werden oder sind im Ausland kaum haftbar zu machen. Interne Verursacher können große Schäden i. d. R. nicht ausgleichen. Cybervorfälle bieten somit eine gefährliche Kombination aus hohem, teils existenzgefährdendem Schadenspotenzial und sehr begrenzten Regressmöglichkeiten.

Cyberrisiko-Versicherung als Lösung?

Cyberrisiko-Versicherungen versprechen seit einigen Jahren Lösungen, die dieser Gefahr begegnen sollen. Sie bieten dafür eine Mischung aus Sachversicherung, Haftpflichtversicherung, Datenversicherung und Versicherungen für Vertrauensschäden. Trotz der im Jahr 2017 vom Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) veröffentlichten Musterbedingungen „AVB Cyber“ für kleine und mittelständische Unternehmen gibt es noch große Unterschiede bei den Versicherungsangeboten, die häufig auf den Versicherungsnehmer zugeschnitten sind. Neben der Abdeckung der oben genannten typischen Risiken im Falle eines Cybervorfalls wird oft auch Unterstützung durch Know-how bei der Abwehr von Risiken und Bewältigung von Vorfällen angeboten. Als vorrangige Versicherung für Cybervorfälle entlastet die Cyberrisiko-Versicherung i. d. R. die anderen Versicherungen, zu denen Schnittmengen bestehen. Das kann bei der Prämienaushandlung Vorteile verschaffen.

Unsicherheiten bleiben dennoch. So enthalten die AVB Cyber den in Versicherungen üblichen Ausschluss, wonach Ereignisse nicht versichert sind, die auf Krieg, Terrorakte und „politische Gefahren“ zurückzuführen sind. Cyberangriffe sind jedoch in den vergangenen Jahren regelmäßig mutmaßlich von staatlichen Akteuren initiiert worden. Häufig werden chinesische, russische oder nordkoreanische staatliche Stellen als Urheber von Angriffen beschuldigt. Griffe in derartigen Fällen der Versicherungsschutz nicht, so erwiese sich die Cyberrisiko-Versicherung als brüchiges Schild.

Die Bedeutung derartiger Ausschlüsse wird sich in den nächsten Jahren zeigen. Mit der Begründung, die vermutete Verwendung der Schadsoftware NotPetya durch Russland gegen die Ukraine komme einem kriegerischen Akt gleich, verweigerte etwa die Zurich Versicherung die Zahlung auf eine Sachversicherung für durch NotPetya verursachte Schäden. Diese Argumentation wäre theoretisch auch auf Cyberrisiko-Versicherungen übertragbar; ob sie durchgreift, bleibt abzuwarten.

Auch sonst sind Cyberrisiko-Versicherungen kein Allheilmittel. Das Verständnis für die angemessene Höhe von Prämien und Versicherungssummen entwickelt sich erst langsam. Warren Buffett sagte z. B. dazu, Berkshire Hathaway Insurance habe zwar ein gutes Verständnis von Erdbeben in Kalifornien und Hurrikans in Florida, aber nicht von Cyberrisiken. Auch ist nach wie vor umstritten, ob etwa Bußgelder überhaupt versicherbar sind. Weiter fordern Cyberrisiko-Versicherungen auch einen Mindeststandard an Schutzmaßnahmen gegen Cybervorfälle, dessen Unterschreitung den Verlust der Versicherungsleistung zur Folge haben kann.

Nicht zuletzt gehen die großen Unterschiede zwischen den Angeboten einher mit Unterschieden in der Terminologie, so dass nur schwer zu überblicken ist, was tatsächlich versichert ist. Eine präzise Abgrenzung ist jedoch umso wichtiger, um nicht Lücken zu lassen oder durch die großen potenziellen Schnittmengen mit anderen Versicherungen teure Doppellösungen zu bezahlen. Denn auch übliche Versicherungen wie Sach- und Haftpflichtversicherungen decken Teilaspekte von Cyberrisiken ab. Auch D&O-Versicherungen können unter Umständen herangezogen werden, wenn Vorstände oder Geschäftsführer bei der Errichtung und Überwachung ausreichender Sicherheitssysteme gegen Cyberrisiken Pflichtverletzungen begehen. Je nach Bedrohungslage eines Unternehmens kann es heute sogar zur Pflicht eines Managers gehören, Cyberrisiken gesondert zu versichern.

Fazit

Das Risiko durch Cybervorfälle wächst. Die Risiken sind hoch, die Absicherung ist oft nicht ausreichend. Folgende Schritte sind für Unternehmensleiter daher unumgänglich: Erstens die Analyse der Bedrohungslage. Zweitens das Ergreifen von Maßnahmen zur Verhinderung des Schadenseintritts und Begrenzung des Schadens im Krisenfall sowie drittens die Prüfung der bestehenden Versicherungen. Hierzu gehört nun auch, die Notwendigkeit einer Cyberrisiko-Versicherung zu prüfen.