Blog

Versicherungsschutz für Cyber-Risiken – Teil I: Braucht es eine Cyber-Versicherung?

Versicherungsschutz für Cyber-Risiken – Teil I: Braucht es eine Cyber-Versicherung?

Die Cyber-Gefahren werden mit der fortschreitenden Digitalisierung immer vielfältiger und komplexer. Dies wurde mit der Ausweitung von mobilem Arbeiten und Homeoffice während der Pandemie nur noch weiter beschleunigt. Gerade die Nutzung privater Geräte und Konten zu geschäftlichen Zwecken stellt aufgrund der schwächeren Sicherung eine breite Angriffsfläche dar. Nach Angaben des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hat nur eine kleine Minderheit der Unternehmen, die mobiles Arbeiten ermöglichen, ihre IT-Sicherheits- und Datenschutzregeln überarbeitet oder in zusätzliche IT-Sicherheit investiert.  

Die aktuelle Lage

Aus dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland geht hervor, dass die Zahl der Cyber-Angriffe weiterhin steigt. Die aktuelle Bedrohungslage wird als „angespannt bis kritisch“ eingestuft. Insbesondere bei sogenannter Ransomware und Denial of Service-Attacken (DoS oder DDoS) ist eine deutliche Ausweitung und Weiterentwicklung festzustellen: Bei Ransomware-Angriffen werden vermehrt nicht nur die Daten des Betroffenen verschlüsselt, um so Lösegeld für deren Freigabe zu erpressen, die Daten werden auch anderweitig gesichert, um anschließend mit der Androhung der Veröffentlichung noch weiteres Schweigegeld zu verlangen. Bei (D)DoS-Attacken werden Netzinfrastrukturen, Serverdienste oder der Internetzugang gezielt überlastet, wodurch es dann zu dauerhaften oder zeitweisen Nutzungsbeeinträchtigungen kommt. Mitunter werden Taktiken angewandt, die bisher nur aus der Cyber-Spionage bekannt waren. Auch die Anzahl täglich neu hinzukommender Schadprogramm-Varianten ist gegenüber 2020 um 22 % gestiegen. Daneben kommt es weiterhin in ebenfalls immer größerem Umfang zu anderen Cyber-Angriffen, wie etwa Spam mit Trojanern, Phishing und der Implementierung von sogenannter Keylogger-Software, womit Tastatureingaben wie Passwörter ausgelesen werden können. Kurzum: Es ist eine deutliche Professionalisierung in der Cyber-Kriminalität festzustellen. Laut einer aktuellen Bitkom-Studie entsteht durch Cyber-Attacken gegen deutsche Unternehmen pro Jahr ein Schaden von insgesamt etwa 223 Milliarden Euro.

Besondere Gefahr für kleine und mittlere Unternehmen

Besonders gefährdet sind hierbei mittlere und kleine Unternehmen, die in Deutschland 99,4% aller Unternehmen ausmachen. Etwa drei Viertel aller Cyber-Angriffe richten sich gegen Unternehmen dieser Größenordnung. Dies erklärt sich unter anderem dadurch, dass diese zumeist keine eigenen IT-Sicherheitsteams haben und die Risiken von Cyber-Attacken oftmals nicht in ihrem vollen Umfang erfassen. Tatsächlich hat nach Angaben des BSI eine von vier Cyber-Attacken existenzbedrohende Folgen für ein Unternehmen mit weniger als 50 Mitarbeitern. Die Schäden, die durch solche Angriffe entstehen können, beschränken sich nicht auf die Kosten für die Wiederherstellung der Daten und Systeme, sondern beinhalten auch den Betriebsunterbrechungsschaden und damit den Gewinn, der in diesem Zeitraum nicht erwirtschaftet werden kann. Auch Bußgelder nach der DS-GVO können noch hinzukommen, wenn es zur Veröffentlichung von sensiblen Daten kommt.

Cyber-Versicherung

Umso mehr drängt sich dabei die Frage auf, wie sich insbesondere Unternehmen gegen solche Gefahren absichern können. Zumeist dürften Cyber-Risiken nämlich nicht von den konventionellen Unternehmensversicherungen wie z. B. der Haftpflicht- oder Betriebsunterbrechungsversicherung abgedeckt sein. Der noch recht junge Zweig der Cyber-Versicherung hält dafür einige Antworten parat.

Die Cyber-Versicherung stellt momentan den wohl am stärksten wachsenden Bereich der Versicherungsbranche dar. 2020 wurden hierfür 240 Millionen Euro an Prämienzahlungen eingenommen, fünfmal so viel wie noch 2016. Dabei stieg auch die Schadenquote kontinuierlich an.

Musterbedingungen des GDV

Auch die Versicherer durchlaufen hier noch einen Lernprozess, was dazu führt, dass die Versicherungsbedingungen immer wieder angepasst und weiterentwickelt, sowie auch die Prämien teilweise erhöht werden. Nach den Musterbedingungen des GDV für Cyber-Versicherungen (AVB-Cyber) ist für einen Versicherungsfall zunächst eine Informationssicherheitsverletzung erforderlich. Gemeint ist damit die Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit elektronischer Daten oder informationsverarbeitender Systeme, die der Versicherungsnehmer zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt. Eine solche Informationssicherheitsverletzung muss nach den AVB-Cyber jedoch verknüpft sein mit einer in den Bedingungen aufgeführten versicherten Gefahr bzw. einem versicherten Ereignis (Klausel Nr. A1-2.4 AVB-Cyber). Die verbreiteten und oben erwähnten Methoden von Phishing-Angriffen über Ransomware und (D)DoS-Attacken fallen aber jedenfalls unter diese versicherten Ereignisse. Liegen diese Voraussetzungen vor, ersetzt der Versicherer Vermögensschäden und Kostenpositionen, die durch einen solchen Angriff verursacht wurden. Darunter fallen in der Regel die erforderlichen Wiederherstellungskosten, sowie auch notwendige Kosten etwa für Öffentlichkeitsarbeit und Rechtsanwälte. Auch die Kosten für ein Expertengutachten zur Feststellung von Ursachen und Schadenumfang, sowie die Erstellung eines Maßnahmenplans zur Schadenbeseitigung sind grundsätzlich erstattungsfähig.

Obliegenheiten für den Versicherungsnehmer

Die AVB-Cyber enthalten jedoch auch weitgehende Obliegenheiten, die der Versicherungsnehmer im Vorfeld einhalten muss. Darunter fallen unter anderem die genügende Sicherung des Zugangs durch komplexe Passwörter oder auch Firewalls, die regelmäßige Sicherung der Daten, die eine Rekonstruktion ermöglichen muss und das unverzügliche Schließen von Sicherheitslücken, etwa durch die umgehende Installation von Sicherheitspatches. Zudem sind auch Risikoausschlüsse enthalten. Dies hat dazu geführt, dass die Musterbedingungen in der Praxis nur eingeschränkt Anwendung finden und die Versicherer hier eher auf eigene, an die AVB-Cyber angelehnte Bedingungen und individuelle Lösungen setzen. Folge hiervon ist allerdings eine nur eingeschränkte Vergleichbarkeit der Versicherungsleistungen für den (potenziellen) Versicherungsnehmer. Jedoch dürften auch losgelöst von den Obliegenheiten der AVB-Cyber Maßnahmen wie etwa regelmäßige Mitarbeiterschulungen im Bereich der Cyber-Sicherheit, festgelegte Notfall- und Krisenpläne sowie dokumentierte Software-Patches zumeist in den Versicherungsbedingungen enthalten und vom Versicherungsnehmer gefordert sein.

Rechtliche Problemkreise

Natürlich gibt es auch im Zusammenhang mit einer Cyber-Versicherung eine Vielzahl von rechtlichen Problemfeldern. So ist zum Beispiel fraglich, ob und auf welcher Grundlage ein Versicherungsnehmer Aufwendungsersatz von seinem Versicherer erhält, wenn er einen gerade stattfindenden Cyber-Angriff erkennt und dann proaktiv seine IT-Systeme herunterfährt, eine Sicherheitsüberprüfung sowie ein Softwareupdate vornimmt, um den Angriff abzuwehren. Bei einem solchen Handeln des Versicherungsnehmers können diesem ebenfalls ein hoher Kostenaufwand entstehen und Gewinne für die Dauer der Betriebsunterbrechung entgehen.

Ein Aufwendungsersatzanspruch des Versicherungsnehmers ergibt sich wohl nicht aus dem Versicherungsvertragsgesetz (VVG). Dessen Anspruchsgrundlagen sind teils nur auf Sachversicherungen – und damit nicht auf die Cyber-Versicherung als Vermögensschadensversicherung – anwendbar. Andererseits wird etwa bei dem Aufwendungsersatzanspruch nach § 83 Abs. 1 S.1 VVG der Eintritt eines Versicherungsfalls vorausgesetzt. Legt man die Geltung der AVB-Cyber zugrunde, so ist dafür eine Beeinträchtigung der Systeme erforderlich. Bei der Abwehr eines Angriffs liegt eine solche aber gerade noch nicht vor. Auf der anderen Seite läuft der Versicherungsnehmer Gefahr, nach § 81 VVG keine, oder nur eine gekürzte Versicherungsleistung zu erhalten oder sogar seinen Versicherungsschutz zu verlieren, wenn er einen laufenden Angriff nicht abwehrt, wenn die Abwehr angemessen und ihm möglich ist.

Die Musterbedingungen beinhalten wegen dieser Lücke im Deckungsschutz einen Rettungskostenanspruch (A2-3.1 AVB-Cyber), der die Aufwendungen zur Schadenabwehr umfasst. Weicht nun ein Versicherer von den Musterbedingungen ab und nimmt einen solchen Rettungskostenanspruch nicht in seine Bedingungen auf, kommt allenfalls ein Anspruch auf Schadensersatz wegen der Verletzung einer vorvertraglichen Aufklärungspflicht in Betracht (so Staudinger/Aslan in r+s 2021, 489).

Fazit

Abschließend ist nochmals zu betonen, dass sich mit der Ausweitung von mobiler Arbeit und Arbeit im Homeoffice die Angriffsfläche für Cyber-Attacken bei Unternehmen enorm vergrößert hat. Solche Angriffe können oftmals existenzbedrohende Folgen haben, insbesondere für kleine und mittlere Unternehmen. In Anbetracht dieser Gefährdungslage sollte die Abwägung von Aufwand und Nutzen einer Cyber-Versicherung mit äußerster Sorgfalt vorgenommen werden und dürfte in den meisten Fällen zugunsten des Versicherungsschutzes ausfallen. Vor Abschluss einer Cyber-Versicherung gilt es jedoch sich ausgiebig darüber zu informieren, welches Risiko für das eigene Unternehmen konkret besteht, bestehende Sicherheitslücken soweit möglich zu schließen und darauf aufbauend ein Angebot zu finden, dessen Leistungen, Prämien und Bedingungen zu der eigenen Situation passen.

Die Cyber-Gefahren werden mit der fortschreitenden Digitalisierung immer vielfältiger und komplexer. Dies wurde mit der Ausweitung von mobilem Arbeiten und Homeoffice während der Pandemie nur noch weiter beschleunigt. Gerade die Nutzung privater Geräte und Konten zu geschäftlichen Zwecken stellt aufgrund der schwächeren Sicherung eine breite Angriffsfläche dar. Nach Angaben des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hat nur eine kleine Minderheit der Unternehmen, die mobiles Arbeiten ermöglichen, ihre IT-Sicherheits- und Datenschutzregeln überarbeitet oder in zusätzliche IT-Sicherheit investiert.  

Die aktuelle Lage

Aus dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland geht hervor, dass die Zahl der Cyber-Angriffe weiterhin steigt. Die aktuelle Bedrohungslage wird als „angespannt bis kritisch“ eingestuft. Insbesondere bei sogenannter Ransomware und Denial of Service-Attacken (DoS oder DDoS) ist eine deutliche Ausweitung und Weiterentwicklung festzustellen: Bei Ransomware-Angriffen werden vermehrt nicht nur die Daten des Betroffenen verschlüsselt, um so Lösegeld für deren Freigabe zu erpressen, die Daten werden auch anderweitig gesichert, um anschließend mit der Androhung der Veröffentlichung noch weiteres Schweigegeld zu verlangen. Bei (D)DoS-Attacken werden Netzinfrastrukturen, Serverdienste oder der Internetzugang gezielt überlastet, wodurch es dann zu dauerhaften oder zeitweisen Nutzungsbeeinträchtigungen kommt. Mitunter werden Taktiken angewandt, die bisher nur aus der Cyber-Spionage bekannt waren. Auch die Anzahl täglich neu hinzukommender Schadprogramm-Varianten ist gegenüber 2020 um 22 % gestiegen. Daneben kommt es weiterhin in ebenfalls immer größerem Umfang zu anderen Cyber-Angriffen, wie etwa Spam mit Trojanern, Phishing und der Implementierung von sogenannter Keylogger-Software, womit Tastatureingaben wie Passwörter ausgelesen werden können. Kurzum: Es ist eine deutliche Professionalisierung in der Cyber-Kriminalität festzustellen. Laut einer aktuellen Bitkom-Studie entsteht durch Cyber-Attacken gegen deutsche Unternehmen pro Jahr ein Schaden von insgesamt etwa 223 Milliarden Euro.

Besondere Gefahr für kleine und mittlere Unternehmen

Besonders gefährdet sind hierbei mittlere und kleine Unternehmen, die in Deutschland 99,4% aller Unternehmen ausmachen. Etwa drei Viertel aller Cyber-Angriffe richten sich gegen Unternehmen dieser Größenordnung. Dies erklärt sich unter anderem dadurch, dass diese zumeist keine eigenen IT-Sicherheitsteams haben und die Risiken von Cyber-Attacken oftmals nicht in ihrem vollen Umfang erfassen. Tatsächlich hat nach Angaben des BSI eine von vier Cyber-Attacken existenzbedrohende Folgen für ein Unternehmen mit weniger als 50 Mitarbeitern. Die Schäden, die durch solche Angriffe entstehen können, beschränken sich nicht auf die Kosten für die Wiederherstellung der Daten und Systeme, sondern beinhalten auch den Betriebsunterbrechungsschaden und damit den Gewinn, der in diesem Zeitraum nicht erwirtschaftet werden kann. Auch Bußgelder nach der DS-GVO können noch hinzukommen, wenn es zur Veröffentlichung von sensiblen Daten kommt.

Cyber-Versicherung

Umso mehr drängt sich dabei die Frage auf, wie sich insbesondere Unternehmen gegen solche Gefahren absichern können. Zumeist dürften Cyber-Risiken nämlich nicht von den konventionellen Unternehmensversicherungen wie z. B. der Haftpflicht- oder Betriebsunterbrechungsversicherung abgedeckt sein. Der noch recht junge Zweig der Cyber-Versicherung hält dafür einige Antworten parat.

Die Cyber-Versicherung stellt momentan den wohl am stärksten wachsenden Bereich der Versicherungsbranche dar. 2020 wurden hierfür 240 Millionen Euro an Prämienzahlungen eingenommen, fünfmal so viel wie noch 2016. Dabei stieg auch die Schadenquote kontinuierlich an.

Musterbedingungen des GDV

Auch die Versicherer durchlaufen hier noch einen Lernprozess, was dazu führt, dass die Versicherungsbedingungen immer wieder angepasst und weiterentwickelt, sowie auch die Prämien teilweise erhöht werden. Nach den Musterbedingungen des GDV für Cyber-Versicherungen (AVB-Cyber) ist für einen Versicherungsfall zunächst eine Informationssicherheitsverletzung erforderlich. Gemeint ist damit die Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit elektronischer Daten oder informationsverarbeitender Systeme, die der Versicherungsnehmer zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt. Eine solche Informationssicherheitsverletzung muss nach den AVB-Cyber jedoch verknüpft sein mit einer in den Bedingungen aufgeführten versicherten Gefahr bzw. einem versicherten Ereignis (Klausel Nr. A1-2.4 AVB-Cyber). Die verbreiteten und oben erwähnten Methoden von Phishing-Angriffen über Ransomware und (D)DoS-Attacken fallen aber jedenfalls unter diese versicherten Ereignisse. Liegen diese Voraussetzungen vor, ersetzt der Versicherer Vermögensschäden und Kostenpositionen, die durch einen solchen Angriff verursacht wurden. Darunter fallen in der Regel die erforderlichen Wiederherstellungskosten, sowie auch notwendige Kosten etwa für Öffentlichkeitsarbeit und Rechtsanwälte. Auch die Kosten für ein Expertengutachten zur Feststellung von Ursachen und Schadenumfang, sowie die Erstellung eines Maßnahmenplans zur Schadenbeseitigung sind grundsätzlich erstattungsfähig.

Obliegenheiten für den Versicherungsnehmer

Die AVB-Cyber enthalten jedoch auch weitgehende Obliegenheiten, die der Versicherungsnehmer im Vorfeld einhalten muss. Darunter fallen unter anderem die genügende Sicherung des Zugangs durch komplexe Passwörter oder auch Firewalls, die regelmäßige Sicherung der Daten, die eine Rekonstruktion ermöglichen muss und das unverzügliche Schließen von Sicherheitslücken, etwa durch die umgehende Installation von Sicherheitspatches. Zudem sind auch Risikoausschlüsse enthalten. Dies hat dazu geführt, dass die Musterbedingungen in der Praxis nur eingeschränkt Anwendung finden und die Versicherer hier eher auf eigene, an die AVB-Cyber angelehnte Bedingungen und individuelle Lösungen setzen. Folge hiervon ist allerdings eine nur eingeschränkte Vergleichbarkeit der Versicherungsleistungen für den (potenziellen) Versicherungsnehmer. Jedoch dürften auch losgelöst von den Obliegenheiten der AVB-Cyber Maßnahmen wie etwa regelmäßige Mitarbeiterschulungen im Bereich der Cyber-Sicherheit, festgelegte Notfall- und Krisenpläne sowie dokumentierte Software-Patches zumeist in den Versicherungsbedingungen enthalten und vom Versicherungsnehmer gefordert sein.

Rechtliche Problemkreise

Natürlich gibt es auch im Zusammenhang mit einer Cyber-Versicherung eine Vielzahl von rechtlichen Problemfeldern. So ist zum Beispiel fraglich, ob und auf welcher Grundlage ein Versicherungsnehmer Aufwendungsersatz von seinem Versicherer erhält, wenn er einen gerade stattfindenden Cyber-Angriff erkennt und dann proaktiv seine IT-Systeme herunterfährt, eine Sicherheitsüberprüfung sowie ein Softwareupdate vornimmt, um den Angriff abzuwehren. Bei einem solchen Handeln des Versicherungsnehmers können diesem ebenfalls ein hoher Kostenaufwand entstehen und Gewinne für die Dauer der Betriebsunterbrechung entgehen.

Ein Aufwendungsersatzanspruch des Versicherungsnehmers ergibt sich wohl nicht aus dem Versicherungsvertragsgesetz (VVG). Dessen Anspruchsgrundlagen sind teils nur auf Sachversicherungen – und damit nicht auf die Cyber-Versicherung als Vermögensschadensversicherung – anwendbar. Andererseits wird etwa bei dem Aufwendungsersatzanspruch nach § 83 Abs. 1 S.1 VVG der Eintritt eines Versicherungsfalls vorausgesetzt. Legt man die Geltung der AVB-Cyber zugrunde, so ist dafür eine Beeinträchtigung der Systeme erforderlich. Bei der Abwehr eines Angriffs liegt eine solche aber gerade noch nicht vor. Auf der anderen Seite läuft der Versicherungsnehmer Gefahr, nach § 81 VVG keine, oder nur eine gekürzte Versicherungsleistung zu erhalten oder sogar seinen Versicherungsschutz zu verlieren, wenn er einen laufenden Angriff nicht abwehrt, wenn die Abwehr angemessen und ihm möglich ist.

Die Musterbedingungen beinhalten wegen dieser Lücke im Deckungsschutz einen Rettungskostenanspruch (A2-3.1 AVB-Cyber), der die Aufwendungen zur Schadenabwehr umfasst. Weicht nun ein Versicherer von den Musterbedingungen ab und nimmt einen solchen Rettungskostenanspruch nicht in seine Bedingungen auf, kommt allenfalls ein Anspruch auf Schadensersatz wegen der Verletzung einer vorvertraglichen Aufklärungspflicht in Betracht (so Staudinger/Aslan in r+s 2021, 489).

Fazit

Abschließend ist nochmals zu betonen, dass sich mit der Ausweitung von mobiler Arbeit und Arbeit im Homeoffice die Angriffsfläche für Cyber-Attacken bei Unternehmen enorm vergrößert hat. Solche Angriffe können oftmals existenzbedrohende Folgen haben, insbesondere für kleine und mittlere Unternehmen. In Anbetracht dieser Gefährdungslage sollte die Abwägung von Aufwand und Nutzen einer Cyber-Versicherung mit äußerster Sorgfalt vorgenommen werden und dürfte in den meisten Fällen zugunsten des Versicherungsschutzes ausfallen. Vor Abschluss einer Cyber-Versicherung gilt es jedoch sich ausgiebig darüber zu informieren, welches Risiko für das eigene Unternehmen konkret besteht, bestehende Sicherheitslücken soweit möglich zu schließen und darauf aufbauend ein Angebot zu finden, dessen Leistungen, Prämien und Bedingungen zu der eigenen Situation passen.

Weitere Blogbeiträge

Eine Frage der Auslegung

Alles nur Ansichtssache? Die Auslegung von Allgemeinen Versicherungsbedingungen stellt ein immer wiederkehrendes Problem im Versicherungsrecht dar. Es

Zur arglistigen Täuschung

Wir bleiben bei der Feuerversicherung. Dieses Mal geht es um die Frage, wann eine arglistige Täuschung durch

(Nicht) hinreichend bestimmt?

Wann sind Regelungen in Versicherungsbedingungen hinreichend verständlich und bestimmt? Hierüber kommt es in der Praxis häufig zu

Blog

Versicherungsschutz für Cyber-Risiken – Teil I: Braucht es eine Cyber-Versicherung?

Versicherungsschutz für Cyber-Risiken – Teil I: Braucht es eine Cyber-Versicherung?

Die Cyber-Gefahren werden mit der fortschreitenden Digitalisierung immer vielfältiger und komplexer. Dies wurde mit der Ausweitung von mobilem Arbeiten und Homeoffice während der Pandemie nur noch weiter beschleunigt. Gerade die Nutzung privater Geräte und Konten zu geschäftlichen Zwecken stellt aufgrund der schwächeren Sicherung eine breite Angriffsfläche dar. Nach Angaben des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hat nur eine kleine Minderheit der Unternehmen, die mobiles Arbeiten ermöglichen, ihre IT-Sicherheits- und Datenschutzregeln überarbeitet oder in zusätzliche IT-Sicherheit investiert.  

Die aktuelle Lage

Aus dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland geht hervor, dass die Zahl der Cyber-Angriffe weiterhin steigt. Die aktuelle Bedrohungslage wird als „angespannt bis kritisch“ eingestuft. Insbesondere bei sogenannter Ransomware und Denial of Service-Attacken (DoS oder DDoS) ist eine deutliche Ausweitung und Weiterentwicklung festzustellen: Bei Ransomware-Angriffen werden vermehrt nicht nur die Daten des Betroffenen verschlüsselt, um so Lösegeld für deren Freigabe zu erpressen, die Daten werden auch anderweitig gesichert, um anschließend mit der Androhung der Veröffentlichung noch weiteres Schweigegeld zu verlangen. Bei (D)DoS-Attacken werden Netzinfrastrukturen, Serverdienste oder der Internetzugang gezielt überlastet, wodurch es dann zu dauerhaften oder zeitweisen Nutzungsbeeinträchtigungen kommt. Mitunter werden Taktiken angewandt, die bisher nur aus der Cyber-Spionage bekannt waren. Auch die Anzahl täglich neu hinzukommender Schadprogramm-Varianten ist gegenüber 2020 um 22 % gestiegen. Daneben kommt es weiterhin in ebenfalls immer größerem Umfang zu anderen Cyber-Angriffen, wie etwa Spam mit Trojanern, Phishing und der Implementierung von sogenannter Keylogger-Software, womit Tastatureingaben wie Passwörter ausgelesen werden können. Kurzum: Es ist eine deutliche Professionalisierung in der Cyber-Kriminalität festzustellen. Laut einer aktuellen Bitkom-Studie entsteht durch Cyber-Attacken gegen deutsche Unternehmen pro Jahr ein Schaden von insgesamt etwa 223 Milliarden Euro.

Besondere Gefahr für kleine und mittlere Unternehmen

Besonders gefährdet sind hierbei mittlere und kleine Unternehmen, die in Deutschland 99,4% aller Unternehmen ausmachen. Etwa drei Viertel aller Cyber-Angriffe richten sich gegen Unternehmen dieser Größenordnung. Dies erklärt sich unter anderem dadurch, dass diese zumeist keine eigenen IT-Sicherheitsteams haben und die Risiken von Cyber-Attacken oftmals nicht in ihrem vollen Umfang erfassen. Tatsächlich hat nach Angaben des BSI eine von vier Cyber-Attacken existenzbedrohende Folgen für ein Unternehmen mit weniger als 50 Mitarbeitern. Die Schäden, die durch solche Angriffe entstehen können, beschränken sich nicht auf die Kosten für die Wiederherstellung der Daten und Systeme, sondern beinhalten auch den Betriebsunterbrechungsschaden und damit den Gewinn, der in diesem Zeitraum nicht erwirtschaftet werden kann. Auch Bußgelder nach der DS-GVO können noch hinzukommen, wenn es zur Veröffentlichung von sensiblen Daten kommt.

Cyber-Versicherung

Umso mehr drängt sich dabei die Frage auf, wie sich insbesondere Unternehmen gegen solche Gefahren absichern können. Zumeist dürften Cyber-Risiken nämlich nicht von den konventionellen Unternehmensversicherungen wie z. B. der Haftpflicht- oder Betriebsunterbrechungsversicherung abgedeckt sein. Der noch recht junge Zweig der Cyber-Versicherung hält dafür einige Antworten parat.

Die Cyber-Versicherung stellt momentan den wohl am stärksten wachsenden Bereich der Versicherungsbranche dar. 2020 wurden hierfür 240 Millionen Euro an Prämienzahlungen eingenommen, fünfmal so viel wie noch 2016. Dabei stieg auch die Schadenquote kontinuierlich an.

Musterbedingungen des GDV

Auch die Versicherer durchlaufen hier noch einen Lernprozess, was dazu führt, dass die Versicherungsbedingungen immer wieder angepasst und weiterentwickelt, sowie auch die Prämien teilweise erhöht werden. Nach den Musterbedingungen des GDV für Cyber-Versicherungen (AVB-Cyber) ist für einen Versicherungsfall zunächst eine Informationssicherheitsverletzung erforderlich. Gemeint ist damit die Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit elektronischer Daten oder informationsverarbeitender Systeme, die der Versicherungsnehmer zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt. Eine solche Informationssicherheitsverletzung muss nach den AVB-Cyber jedoch verknüpft sein mit einer in den Bedingungen aufgeführten versicherten Gefahr bzw. einem versicherten Ereignis (Klausel Nr. A1-2.4 AVB-Cyber). Die verbreiteten und oben erwähnten Methoden von Phishing-Angriffen über Ransomware und (D)DoS-Attacken fallen aber jedenfalls unter diese versicherten Ereignisse. Liegen diese Voraussetzungen vor, ersetzt der Versicherer Vermögensschäden und Kostenpositionen, die durch einen solchen Angriff verursacht wurden. Darunter fallen in der Regel die erforderlichen Wiederherstellungskosten, sowie auch notwendige Kosten etwa für Öffentlichkeitsarbeit und Rechtsanwälte. Auch die Kosten für ein Expertengutachten zur Feststellung von Ursachen und Schadenumfang, sowie die Erstellung eines Maßnahmenplans zur Schadenbeseitigung sind grundsätzlich erstattungsfähig.

Obliegenheiten für den Versicherungsnehmer

Die AVB-Cyber enthalten jedoch auch weitgehende Obliegenheiten, die der Versicherungsnehmer im Vorfeld einhalten muss. Darunter fallen unter anderem die genügende Sicherung des Zugangs durch komplexe Passwörter oder auch Firewalls, die regelmäßige Sicherung der Daten, die eine Rekonstruktion ermöglichen muss und das unverzügliche Schließen von Sicherheitslücken, etwa durch die umgehende Installation von Sicherheitspatches. Zudem sind auch Risikoausschlüsse enthalten. Dies hat dazu geführt, dass die Musterbedingungen in der Praxis nur eingeschränkt Anwendung finden und die Versicherer hier eher auf eigene, an die AVB-Cyber angelehnte Bedingungen und individuelle Lösungen setzen. Folge hiervon ist allerdings eine nur eingeschränkte Vergleichbarkeit der Versicherungsleistungen für den (potenziellen) Versicherungsnehmer. Jedoch dürften auch losgelöst von den Obliegenheiten der AVB-Cyber Maßnahmen wie etwa regelmäßige Mitarbeiterschulungen im Bereich der Cyber-Sicherheit, festgelegte Notfall- und Krisenpläne sowie dokumentierte Software-Patches zumeist in den Versicherungsbedingungen enthalten und vom Versicherungsnehmer gefordert sein.

Rechtliche Problemkreise

Natürlich gibt es auch im Zusammenhang mit einer Cyber-Versicherung eine Vielzahl von rechtlichen Problemfeldern. So ist zum Beispiel fraglich, ob und auf welcher Grundlage ein Versicherungsnehmer Aufwendungsersatz von seinem Versicherer erhält, wenn er einen gerade stattfindenden Cyber-Angriff erkennt und dann proaktiv seine IT-Systeme herunterfährt, eine Sicherheitsüberprüfung sowie ein Softwareupdate vornimmt, um den Angriff abzuwehren. Bei einem solchen Handeln des Versicherungsnehmers können diesem ebenfalls ein hoher Kostenaufwand entstehen und Gewinne für die Dauer der Betriebsunterbrechung entgehen.

Ein Aufwendungsersatzanspruch des Versicherungsnehmers ergibt sich wohl nicht aus dem Versicherungsvertragsgesetz (VVG). Dessen Anspruchsgrundlagen sind teils nur auf Sachversicherungen – und damit nicht auf die Cyber-Versicherung als Vermögensschadensversicherung – anwendbar. Andererseits wird etwa bei dem Aufwendungsersatzanspruch nach § 83 Abs. 1 S.1 VVG der Eintritt eines Versicherungsfalls vorausgesetzt. Legt man die Geltung der AVB-Cyber zugrunde, so ist dafür eine Beeinträchtigung der Systeme erforderlich. Bei der Abwehr eines Angriffs liegt eine solche aber gerade noch nicht vor. Auf der anderen Seite läuft der Versicherungsnehmer Gefahr, nach § 81 VVG keine, oder nur eine gekürzte Versicherungsleistung zu erhalten oder sogar seinen Versicherungsschutz zu verlieren, wenn er einen laufenden Angriff nicht abwehrt, wenn die Abwehr angemessen und ihm möglich ist.

Die Musterbedingungen beinhalten wegen dieser Lücke im Deckungsschutz einen Rettungskostenanspruch (A2-3.1 AVB-Cyber), der die Aufwendungen zur Schadenabwehr umfasst. Weicht nun ein Versicherer von den Musterbedingungen ab und nimmt einen solchen Rettungskostenanspruch nicht in seine Bedingungen auf, kommt allenfalls ein Anspruch auf Schadensersatz wegen der Verletzung einer vorvertraglichen Aufklärungspflicht in Betracht (so Staudinger/Aslan in r+s 2021, 489).

Fazit

Abschließend ist nochmals zu betonen, dass sich mit der Ausweitung von mobiler Arbeit und Arbeit im Homeoffice die Angriffsfläche für Cyber-Attacken bei Unternehmen enorm vergrößert hat. Solche Angriffe können oftmals existenzbedrohende Folgen haben, insbesondere für kleine und mittlere Unternehmen. In Anbetracht dieser Gefährdungslage sollte die Abwägung von Aufwand und Nutzen einer Cyber-Versicherung mit äußerster Sorgfalt vorgenommen werden und dürfte in den meisten Fällen zugunsten des Versicherungsschutzes ausfallen. Vor Abschluss einer Cyber-Versicherung gilt es jedoch sich ausgiebig darüber zu informieren, welches Risiko für das eigene Unternehmen konkret besteht, bestehende Sicherheitslücken soweit möglich zu schließen und darauf aufbauend ein Angebot zu finden, dessen Leistungen, Prämien und Bedingungen zu der eigenen Situation passen.

Die Cyber-Gefahren werden mit der fortschreitenden Digitalisierung immer vielfältiger und komplexer. Dies wurde mit der Ausweitung von mobilem Arbeiten und Homeoffice während der Pandemie nur noch weiter beschleunigt. Gerade die Nutzung privater Geräte und Konten zu geschäftlichen Zwecken stellt aufgrund der schwächeren Sicherung eine breite Angriffsfläche dar. Nach Angaben des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hat nur eine kleine Minderheit der Unternehmen, die mobiles Arbeiten ermöglichen, ihre IT-Sicherheits- und Datenschutzregeln überarbeitet oder in zusätzliche IT-Sicherheit investiert.  

Die aktuelle Lage

Aus dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland geht hervor, dass die Zahl der Cyber-Angriffe weiterhin steigt. Die aktuelle Bedrohungslage wird als „angespannt bis kritisch“ eingestuft. Insbesondere bei sogenannter Ransomware und Denial of Service-Attacken (DoS oder DDoS) ist eine deutliche Ausweitung und Weiterentwicklung festzustellen: Bei Ransomware-Angriffen werden vermehrt nicht nur die Daten des Betroffenen verschlüsselt, um so Lösegeld für deren Freigabe zu erpressen, die Daten werden auch anderweitig gesichert, um anschließend mit der Androhung der Veröffentlichung noch weiteres Schweigegeld zu verlangen. Bei (D)DoS-Attacken werden Netzinfrastrukturen, Serverdienste oder der Internetzugang gezielt überlastet, wodurch es dann zu dauerhaften oder zeitweisen Nutzungsbeeinträchtigungen kommt. Mitunter werden Taktiken angewandt, die bisher nur aus der Cyber-Spionage bekannt waren. Auch die Anzahl täglich neu hinzukommender Schadprogramm-Varianten ist gegenüber 2020 um 22 % gestiegen. Daneben kommt es weiterhin in ebenfalls immer größerem Umfang zu anderen Cyber-Angriffen, wie etwa Spam mit Trojanern, Phishing und der Implementierung von sogenannter Keylogger-Software, womit Tastatureingaben wie Passwörter ausgelesen werden können. Kurzum: Es ist eine deutliche Professionalisierung in der Cyber-Kriminalität festzustellen. Laut einer aktuellen Bitkom-Studie entsteht durch Cyber-Attacken gegen deutsche Unternehmen pro Jahr ein Schaden von insgesamt etwa 223 Milliarden Euro.

Besondere Gefahr für kleine und mittlere Unternehmen

Besonders gefährdet sind hierbei mittlere und kleine Unternehmen, die in Deutschland 99,4% aller Unternehmen ausmachen. Etwa drei Viertel aller Cyber-Angriffe richten sich gegen Unternehmen dieser Größenordnung. Dies erklärt sich unter anderem dadurch, dass diese zumeist keine eigenen IT-Sicherheitsteams haben und die Risiken von Cyber-Attacken oftmals nicht in ihrem vollen Umfang erfassen. Tatsächlich hat nach Angaben des BSI eine von vier Cyber-Attacken existenzbedrohende Folgen für ein Unternehmen mit weniger als 50 Mitarbeitern. Die Schäden, die durch solche Angriffe entstehen können, beschränken sich nicht auf die Kosten für die Wiederherstellung der Daten und Systeme, sondern beinhalten auch den Betriebsunterbrechungsschaden und damit den Gewinn, der in diesem Zeitraum nicht erwirtschaftet werden kann. Auch Bußgelder nach der DS-GVO können noch hinzukommen, wenn es zur Veröffentlichung von sensiblen Daten kommt.

Cyber-Versicherung

Umso mehr drängt sich dabei die Frage auf, wie sich insbesondere Unternehmen gegen solche Gefahren absichern können. Zumeist dürften Cyber-Risiken nämlich nicht von den konventionellen Unternehmensversicherungen wie z. B. der Haftpflicht- oder Betriebsunterbrechungsversicherung abgedeckt sein. Der noch recht junge Zweig der Cyber-Versicherung hält dafür einige Antworten parat.

Die Cyber-Versicherung stellt momentan den wohl am stärksten wachsenden Bereich der Versicherungsbranche dar. 2020 wurden hierfür 240 Millionen Euro an Prämienzahlungen eingenommen, fünfmal so viel wie noch 2016. Dabei stieg auch die Schadenquote kontinuierlich an.

Musterbedingungen des GDV

Auch die Versicherer durchlaufen hier noch einen Lernprozess, was dazu führt, dass die Versicherungsbedingungen immer wieder angepasst und weiterentwickelt, sowie auch die Prämien teilweise erhöht werden. Nach den Musterbedingungen des GDV für Cyber-Versicherungen (AVB-Cyber) ist für einen Versicherungsfall zunächst eine Informationssicherheitsverletzung erforderlich. Gemeint ist damit die Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit elektronischer Daten oder informationsverarbeitender Systeme, die der Versicherungsnehmer zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt. Eine solche Informationssicherheitsverletzung muss nach den AVB-Cyber jedoch verknüpft sein mit einer in den Bedingungen aufgeführten versicherten Gefahr bzw. einem versicherten Ereignis (Klausel Nr. A1-2.4 AVB-Cyber). Die verbreiteten und oben erwähnten Methoden von Phishing-Angriffen über Ransomware und (D)DoS-Attacken fallen aber jedenfalls unter diese versicherten Ereignisse. Liegen diese Voraussetzungen vor, ersetzt der Versicherer Vermögensschäden und Kostenpositionen, die durch einen solchen Angriff verursacht wurden. Darunter fallen in der Regel die erforderlichen Wiederherstellungskosten, sowie auch notwendige Kosten etwa für Öffentlichkeitsarbeit und Rechtsanwälte. Auch die Kosten für ein Expertengutachten zur Feststellung von Ursachen und Schadenumfang, sowie die Erstellung eines Maßnahmenplans zur Schadenbeseitigung sind grundsätzlich erstattungsfähig.

Obliegenheiten für den Versicherungsnehmer

Die AVB-Cyber enthalten jedoch auch weitgehende Obliegenheiten, die der Versicherungsnehmer im Vorfeld einhalten muss. Darunter fallen unter anderem die genügende Sicherung des Zugangs durch komplexe Passwörter oder auch Firewalls, die regelmäßige Sicherung der Daten, die eine Rekonstruktion ermöglichen muss und das unverzügliche Schließen von Sicherheitslücken, etwa durch die umgehende Installation von Sicherheitspatches. Zudem sind auch Risikoausschlüsse enthalten. Dies hat dazu geführt, dass die Musterbedingungen in der Praxis nur eingeschränkt Anwendung finden und die Versicherer hier eher auf eigene, an die AVB-Cyber angelehnte Bedingungen und individuelle Lösungen setzen. Folge hiervon ist allerdings eine nur eingeschränkte Vergleichbarkeit der Versicherungsleistungen für den (potenziellen) Versicherungsnehmer. Jedoch dürften auch losgelöst von den Obliegenheiten der AVB-Cyber Maßnahmen wie etwa regelmäßige Mitarbeiterschulungen im Bereich der Cyber-Sicherheit, festgelegte Notfall- und Krisenpläne sowie dokumentierte Software-Patches zumeist in den Versicherungsbedingungen enthalten und vom Versicherungsnehmer gefordert sein.

Rechtliche Problemkreise

Natürlich gibt es auch im Zusammenhang mit einer Cyber-Versicherung eine Vielzahl von rechtlichen Problemfeldern. So ist zum Beispiel fraglich, ob und auf welcher Grundlage ein Versicherungsnehmer Aufwendungsersatz von seinem Versicherer erhält, wenn er einen gerade stattfindenden Cyber-Angriff erkennt und dann proaktiv seine IT-Systeme herunterfährt, eine Sicherheitsüberprüfung sowie ein Softwareupdate vornimmt, um den Angriff abzuwehren. Bei einem solchen Handeln des Versicherungsnehmers können diesem ebenfalls ein hoher Kostenaufwand entstehen und Gewinne für die Dauer der Betriebsunterbrechung entgehen.

Ein Aufwendungsersatzanspruch des Versicherungsnehmers ergibt sich wohl nicht aus dem Versicherungsvertragsgesetz (VVG). Dessen Anspruchsgrundlagen sind teils nur auf Sachversicherungen – und damit nicht auf die Cyber-Versicherung als Vermögensschadensversicherung – anwendbar. Andererseits wird etwa bei dem Aufwendungsersatzanspruch nach § 83 Abs. 1 S.1 VVG der Eintritt eines Versicherungsfalls vorausgesetzt. Legt man die Geltung der AVB-Cyber zugrunde, so ist dafür eine Beeinträchtigung der Systeme erforderlich. Bei der Abwehr eines Angriffs liegt eine solche aber gerade noch nicht vor. Auf der anderen Seite läuft der Versicherungsnehmer Gefahr, nach § 81 VVG keine, oder nur eine gekürzte Versicherungsleistung zu erhalten oder sogar seinen Versicherungsschutz zu verlieren, wenn er einen laufenden Angriff nicht abwehrt, wenn die Abwehr angemessen und ihm möglich ist.

Die Musterbedingungen beinhalten wegen dieser Lücke im Deckungsschutz einen Rettungskostenanspruch (A2-3.1 AVB-Cyber), der die Aufwendungen zur Schadenabwehr umfasst. Weicht nun ein Versicherer von den Musterbedingungen ab und nimmt einen solchen Rettungskostenanspruch nicht in seine Bedingungen auf, kommt allenfalls ein Anspruch auf Schadensersatz wegen der Verletzung einer vorvertraglichen Aufklärungspflicht in Betracht (so Staudinger/Aslan in r+s 2021, 489).

Fazit

Abschließend ist nochmals zu betonen, dass sich mit der Ausweitung von mobiler Arbeit und Arbeit im Homeoffice die Angriffsfläche für Cyber-Attacken bei Unternehmen enorm vergrößert hat. Solche Angriffe können oftmals existenzbedrohende Folgen haben, insbesondere für kleine und mittlere Unternehmen. In Anbetracht dieser Gefährdungslage sollte die Abwägung von Aufwand und Nutzen einer Cyber-Versicherung mit äußerster Sorgfalt vorgenommen werden und dürfte in den meisten Fällen zugunsten des Versicherungsschutzes ausfallen. Vor Abschluss einer Cyber-Versicherung gilt es jedoch sich ausgiebig darüber zu informieren, welches Risiko für das eigene Unternehmen konkret besteht, bestehende Sicherheitslücken soweit möglich zu schließen und darauf aufbauend ein Angebot zu finden, dessen Leistungen, Prämien und Bedingungen zu der eigenen Situation passen.

Weitere Blogbeiträge

Eine Frage der Auslegung

Alles nur Ansichtssache? Die Auslegung von Allgemeinen Versicherungsbedingungen stellt ein immer wiederkehrendes Problem im Versicherungsrecht dar. Es

Zur arglistigen Täuschung

Wir bleiben bei der Feuerversicherung. Dieses Mal geht es um die Frage, wann eine arglistige Täuschung durch

(Nicht) hinreichend bestimmt?

Wann sind Regelungen in Versicherungsbedingungen hinreichend verständlich und bestimmt? Hierüber kommt es in der Praxis häufig zu