KONTAKT
IT-Sicherheit-und-Recht.de
  • Blog
  • IT-Compliance Quick-Check
  • DSGVO
  • IT-Sicherheitsgesetz
    • KRITIS & IT-Zulieferer
    • Telemedienanbieter
  • Vorträge
  • Publikationen
  • Anwälte
  • Blog
  • IT-Compliance Quick-Check
  • DSGVO
  • IT-Sicherheitsgesetz
    • KRITIS & IT-Zulieferer
    • Telemedienanbieter
  • Vorträge
  • Publikationen
  • Anwälte
  • Allgemein

Cyberrisiken und Cyberversicherung
 

Ein Gastbeitrag von Boris Pahn, Fachanwalt für Versicherungsrecht bei audalis.de

29.03.2018

 

Dass die Cyberrisiken für Unternehmen zunehmen und das nicht erst seit „Petya“ und „Wannacry“, liest man mittlerweile regelmäßig in der Tagespresse. Die zunehmende Digitalisierung macht Unter-nehmen aller Wirtschaftszweige und jeder Größenordnung abhängiger von IT & Internet und anfälli-ger für Schäden durch Datenverlust oder Angriffe auf ihre IT-Infrastruktur, die in einer Betriebsunter-brechung münden können, oder Datenbestände, die ihre Kunden gefährden. Und das führt zu einem zusätzlichem Haftungsrisiko für Unternehmenslenker und Anteilseigner.

Hierauf hat die Versicherungswirtschaft reagiert und bietet bereits seit einigen Jahren Versicherungs-lösungen an, die unter dem Namen Cyber-Versicherung zusammengefasst werden. Lange ein Laden-hüter rechnet die Branche nun mit dem Durchbruch dieses Versicherungsproduktes und seit April 2017 können Versicherer bei der Konzeption einer Cyberpolice auf die Muster-Versicherungsbedingungen ihres Branchenverbandes GDV zurückgreifen, was in Zukunft eine gewisse Vereinheitlichung der Leistungen im Schadenfall erwarten lässt.

Was müssen Sie zur Cyberversicherung wissen?

1. Der Versicherer schützt Ihr Unternehmen nicht ohne Gegenleistung, sondern macht den Versiche-rungsschutz davon abhängig, dass Sie die informationsverarbeitenden Systeme Ihres Unternehmens im Einklang mit allen gesetzlichen, behördlichen und vertraglichen Sicherheitsvorschriften schützen:

Technisch: Neben der Einrichtigung individueller Mitarbeiterkonten mit ausreichend komplexen Passwörtern und der Einrichtung unterschiedlicher Befugnisebenen bezogen auf den Zugang zu Un-ternehmensdaten gehört die Ausstattung aller an das Internet angeschlossener, auch mobiler Endge-räte mit Firewall, Virenscanner, 2-Faktor-Authentifizierung, moderner Verschlüsselungstechnologie und Diebstahlsicherung ebenso dazu, wie der Einsatz eines Patch-Management-Verfahrens, das die unverzügliche Installation von relevanten Sicherheitspatches sicherstellt. Gängige Versicherungspoli-cen verlangen im Hinblick auf hohe Schäden durch Datenverlust außerdem regelmäßige Datensiche-rungen und stellen hohe Anforderungen an die Datenaufbewahrung und -wiederherstellung.

Organisatorisch: Cybersicherheit ist keine IT-, sondern eine Managementaufgabe. In Ihrer Organisati-on gibt es danach Verantwortliche für IT-Sicherheit sowie Datenschutz, Ihre Mitarbeiter werden ge-schult und zur Einhaltung der IT-Sicherheitsbestimmungen Ihres Unternehmens verpflichtet. Teilwei-se verlangen Versicherer, dass Sie einen IT-Notfall- und Wiederanlaufplan bereithalten, der dem Muster des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht.

To do: Sie haben neben den bevorstehenden Änderungen im Datenschutzrecht einen zusätzlichen Grund, die IT-Sicherheit Ihres Unternehmens zu organisieren und auf den aktuellen Stand der Technik zu bringen und zu halten (IT-Sicherheit ist kein Zustand, sondern ein Prozess). Achten Sie auf eine lückenlose Dokumentation Ihrer Maßnahmen. Erstellen Sie einen Notfallplan.

2. Viele Policen schließen bestimmte, schwer kalkulierbare Risiken von vornherein vom Versicherungsschutz aus: Schäden infolge von Krieg, Terrorakten, Streiks, Unruhen, durch Kernenergie oder Diskriminierung (wie in anderen Versicherungen auch), aber auch z.B. Schäden infolge des Ausfalls der Infrastruktur (Telefon-, Internet- oder Funknetz) oder von Einrichtungen der Daseinsvorsorge in Ihrem Landkreis oder Stadtteil, Schäden aus einer Zahlung von Löse- oder Erpressungsgeldern, Schädenaufgrund oder im Zusammenhang mit Finanzmarkttransaktionen oder Schäden aus dem Abfluss von Vermögenswerten aus Ihren Unternehmen, die im Zusammenhang mit einer Informationssicherheitsverletzung entstehen. Diese Ausschlüsse sind nicht in Stein gemeißelt, sondern können gegen eine höhere Versicherungsprämie zumindest teilweise wieder in Ihren Versicherungsvertrag hineinverhandelt werden; hierfür bedarf es jedoch professioneller Unterstützung durch z.B. spezialisierte Versicherungsmakler oder -berater.

To do: Lassen Sie den Cyber-Versicherungsschutz, den Ihr Unternehmen benötigt, durch einen Profibedarfsgerecht ermitteln und besorgen. Achten Sie auf eine lückenlose Dokumentation dieses Prozesses.

3. Sie können verschiedene Cyber-Versicherungsleistungen wählen (sog. Bausteinprinzip). Unterschieden wird nach Vermögensschäden, die infolge einer Informationssicherheitsverletzung in Ihrem Unternehmen (sog. Eigenschäden) oder bei Dritten (z.B. Ihren Kunden, Zulieferern, Vertragspartnern
usw.) eintreten (sog. Fremdschäden).

a) Gegenüber diesen Dritten gewährt Ihnen der Versicherer Haftpflichtschutz (Cyber-Liability), prüft also Schadenersatzansprüche, die Dritte gegen Sie geltend machen und reguliert diese bzw. wehrt sie ab. Denkbar ist der Fall, dass von Ihren Servern aus Malware verbreitet wird oder sensible Daten gestohlen und veröffentlicht werden oder infolge des Ausfalls Ihrer IT Verzugsschäden bei Ihren Kunden eintreten. Zusätzlichen Versicherungsschutz können Sie für den Fall erwerben, dass durch von Ihnen veröffentlichte elektronische Medieninhalte die Persönlichkeits- oder Namensrechte Dritter bzw. Urheber- und Markenrechte verletzt werden bzw. Sie infolge dessen wettbewerbsrechtlich in Anspruch genommen werden. Versichern können Sie auch den Fall, dass ein E-Payment-Service-
Provider Ihr Unternehmen wegen einer Verletzung eines Payment-Card-Industry-Datensicherheitsstandards in Anspruch nimmt.

b) Ihnen gegenüber kommt der Versicherer für die Kosten externer Sachverständiger (IT-Forensik) auf, die Ursache und Umfang des Schadens ermitteln und Schadenbegrenzung betreiben, außerdem die Kosten, die Ihnen für die Prüfung und Erfüllung ihrer Informationspflichten z.B. gegenüber den Datenschutzbehörden entstehen (z.B. Rechtsanwaltskosten), ferner in bestimmtem Umfang die Kosten für Krisenkommunikation und PR-Maßnahmen zur Erhaltung oder Wiederherstellung der öffentlichen Reputation Ihres Unternehmens. Ggf. vermittelt Ihnen der Versicherer die vorgenannten Helfer auch. Am Wichtigsten für Ihr Unternehmen: Kommt es infolge einer Informationssicherheitsverletzung zu einer Betriebsunterbrechung (z.B. Ausfall Ihrer Unternehmens-IT) ersetzt der Versicherer den Betriebsgewinn und die fortlaufenden Betriebskosten während der Betriebsunterbrechung (in Form eines Tagessatzes). Außerdem werden die Kosten notwendiger Aufwendungen zur Systemrekonstruktion bzw. Wiederherstellung betroffener Datenbestände und für die Entfernung der Schadsoftware übernommen.

Fazit: In Zeiten des Web 4.0 sollten Sie IT-Sicherheit und die Erlangung adäquaten Versicherungsschutzes zur Chefsache erklären.

 

 

Bildnachweis: Mikko Lemola/shutterstock.com

HK2

IMPRESSUM | DATENSCHUTZ