Eine Cyber-Versicherung ist eine fakultative Zusatzversicherung für Unternehmen, die Schäden im Zusammenhang mit Hacker-Angriffen oder sonstigen Akten von Cyberkriminalität absichert. Da dies noch eine sehr junge Versicherungssparte ist, gibt es bislang keine einheitliche Bezeichnung der Tarife. Vergleichbare Angebote für Cyber-Versicherungen finden sich unter u. a. den Bezeichnungen Cyberschutz, Cyber Protect, Data Protect, Datenschutz-Versicherung, Data-Risk, Cyber-Deckung oder Hacker-Versicherung. Ergänzende Angebote sind beispielsweise mit der Elektronik- beziehungsweise Datenträgerversicherung gegeben.
Allgemein
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat im April 2017 Musterbedingungen sowie einen Risikofragebogen entwickelt. Die unverbindlichen Musterbedingungen richten sich vor allem an die Zielgruppe kleiner und mittelständischer Unternehmen mit bis zu 250 Mitarbeitern und einem jährlichen Umsatz bis zu 50 Millionen Euro. Sie dienen dazu, dass die Unternehmen und Makler einen Vergleichsmaßstab haben, um Versicherungsangebote zu bewerten. Versicherungsgesellschaften können auf Basis der GDV-Musterbedingungen eigene Produkte entwickeln. Der Fragebogen dient zur Risikoeinschätzung vor dem Abschluss einer Versicherung und gibt Auskunft über die Schwachstellen der firmeneigenen IT.
Versicherungsumfang
Nach den Musterbedingungen des GDV handelt es sich bei der Cyber-Versicherung um eine Kombination aus einer Haftpflichtversicherung, einer Betriebsausfallversicherung und einer Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden. Eine gewöhnliche Betriebshaftpflicht springt ein, wenn einem Dritten, zum Beispiel einem Kunden oder Auftraggeber, durch Verschulden des Versicherungsnehmers ein Schaden entsteht (Fremdschaden oder Drittschaden genannt). Allerdings versichert eine Betriebshaftpflichtversicherung typischerweise nur Personen- und Sachschäden sowie daraus entstehende Folgeschäden. Ist der Schaden dagegen rein finanzieller Natur (Vermögensschaden), greift die Betriebshaftpflicht nicht. In diesen Fällen greift eine Vermögensschadenhaftpflichtversicherung.
Drittschaden: Datenschutz und Cyber-Deckungen übernehmen diese Vermögensschäden, wenn der Versicherungsnehmer einen Kunden oder sonstigen Dritten, zum Beispiel aufgrund einer Datenrechtsverletzung, schädigt.
Eigenschaden: Bei einem Hacker-Angriff oder der Ausspähung persönlicher Daten kann jedoch auch dem Versicherungsnehmer selbst ein Schaden entstehen. Versicherungsrechtlich spricht man dabei von einem Eigenschaden. Deshalb bieten die Cyber-Versicherungen auch Schutz vor Eigenschäden, die durch einen Hacker-Angriff, eine DoS-Attacke (englisch Denial of Service ‚Dienstverweigerung‘), Computermissbrauch, Diebstahl von Datenträgern oder eine sonstige Datenrechtsverletzung entstehen.
Dabei dienen Cyber-Versicherungen nicht nur dazu, den direkten Schaden auszugleichen, den der Angriff verursacht hat, sondern vor allem für die Kosten aufzukommen, die mit der vollständigen Wiederherstellung der Geschäftstätigkeit verbunden sind. Dazu gehören die Kosten für
- die Wiederherstellung und die Reparatur der IT-Systeme,
- die Beauftragung externer Computer-Forensik-Analysten,
- die Beauftragung spezialisierter Anwälte,
- professionelles Krisenmanagement und PR,
- Kreditschutz- und Kreditüberwachungsservices,
- die strafrechtliche Verteidigung (Internet-Straf-Rechtsschutz),
- die notwendigen Mehrkosten zur Fortführung des Business.
Ein wesentliches Leistungsmerkmal der Cyber-Versicherung ist die Bereitstellung von umfangreichen Assitance-Leistungen im Schadensfall, wie z. B. eine 24-h-Hotline zur Meldung von Cyber-Vorfällen. Einzelne Anbieter stellen den Versicherungsnehmern dabei unmittelbar technischen Support durch Incident-Response- und IT-Forensik-Dienstleister zur Verfügung. Eine schnelle Reaktion im Schadensfall ist vor dem Hintergrund der Schadenminderung auch im Interesse der Versicherungsgesellschaft. Für das betroffene Unternehmen kann die unmittelbare technische Unterstützung bei der Abwehr einer Bedrohungslage oder der Analyse eines Cyber-Vorfalls von sehr großer Bedeutung sein. Cyber-Angriffe stellen regelmäßig auch eine Datenschutzverletzung dar, wenn z. B. eine Veränderung, ein Verlust oder ein unbefugter Zugriff auf personenbezogene Daten erfolgt ist. Diese Vorfälle müssen nach §33 Abs. 1 DSGVO innerhalb von 72 Stunden den zuständigen Datenschutzbehörden gemeldet werden und eine konkrete Beschreibung des Sachverhalts enthalten.
Für Betreiber von Webshops oder sonstigen E-Commerce-Anwendungen kann der Versicherungsumfang zum Beispiel auch durch eine Betriebsunterbrechungsversicherung bzw. Ertragsausfallversicherung ergänzt werden. In diesem Fall erhält der Versicherungsnehmer für einen erheblichen Umsatzausfall seines Shops (etwa aufgrund eines Hackerangriffs oder einer DoS-Attacke) eine finanzielle Kompensation. In der Regel orientiert sich dabei die Leistung des Versicherers an der Ausfallzeit pro Stunde. Dabei gibt es meist auch einen zeitlichen Selbstbehalt (beispielsweise 12 Stunden). Vergleichbar sind diese Leistungserweiterungen mit einer herkömmlichen Betriebsunterbrechungsversicherung (kurz BU), die jedoch nur bei traditionellen Gefahren wie Feuer oder Wasserschäden etc. Versicherungsschutz bietet.
Da Cyberversicherungen also häufig verschiedene Risiken und sowohl Eigen- als auch Drittschäden decken, kann es beim Versicherungsnehmer vereinzelt zu Überschneidungen mit anderen Versicherungsverträgen kommen, beispielsweise der Vermögensschadenhaftpflichtversicherung, Vertrauensschadenversicherung oder verschiedenen Sachversicherungen. Nachteil der Mehrfachversicherung desselben Risikos ist die doppelte Prämienzahlung für den Versicherungsnehmer und mögliche Unklarheiten im Versicherungsfall darüber, welche Versicherung Vorrang hat. Die komplexen Cyber-Risiken lassen sich wiederum aber nicht vollständig über eine Kombination der genannten Versicherungsprodukte abbilden.
Rechtlich nicht geklärt ist bislang, inwieweit die (in der Praxis häufig vereinbarten) Deckungsausschlüsse für „Krieg“ den Versicherungsschutz für Cyberangriffe, die im Zusammenhang mit kriegerischen Auseinandersetzungen (wie aktuell z. B. dem russischen Überfall auf die Ukraine) stehen, begrenzen.
Zahlen und Fakten
Die Versicherungsunternehmen reagieren mit der Cyber-Versicherung auf die Steigerung der Internetkriminalität in den vergangenen Jahren. Allein im Jahr 2021 wurden in Deutschland rund 146.363 Fälle von Cybercrime aufgezeichnet. Ein erfolgreicher Hacker-Angriff auf ein Großunternehmen verursacht einen durchschnittlichen wirtschaftlichen Schaden von 1,8 Millionen Euro. Bei kleinen und mittelständischen Unternehmen liegt der Durchschnittswert im Jahr 2022 bei 193.697 Euro. Der Schaden, der sich aus allen Hacker-Angriffen auf deutsche Firmen insgesamt pro Jahr ergibt, lag 2021 laut Bundeskriminalamt bei 223,5 Mrd. Euro. Da die Dunkelziffer sehr hoch ist, ist zu vermuten, dass der tatsächliche wirtschaftliche Schaden jedoch um ein Vielfaches höher ist. Dennoch gaben nur 57,3 % deutscher mittelständischer Unternehmen 2022 an, sich aktiv mit einer eigenen Versicherung gegen die Risiken der Internetkriminalität auseinandergesetzt zu haben. Unter US-amerikanischen Firmen sind diese speziellen Versicherungen dagegen bereits relativ verbreitet: Das Prämienvolumen für Cyber-Versicherungen beträgt dort derzeit rund eine Milliarde US-$ jährlich. Dass das Bewusstsein für die Gefahren der Cyberkriminalität langsam steigt, zeigt die weltweit zunehmende Anzahl an Versicherungslösungen auf dem Markt.
Einzelnachweise
- ↑ GDV stellt Musterbedingungen für Cyberversicherung vor. In: gdv.de. 19. April 2017, abgerufen am 9. Mai 2020.
- ↑ Matthias Achenbach: Die Cyber-Versicherung - Überblick und Analyse. In: Versicherungsrecht. 2017, S. 1493 ff. (versr.de [abgerufen am 9. Mai 2020]).
- ↑ LEBUHN & PUCHTA: Cyberangriffe in Zeiten des Ukraine-Krieges - bietet die Cyber-Versicherung Schutz? In: lebuhn.de. 1. April 2022, abgerufen am 9. April 2022.
- 1 2 BKA - Listenseite für Pressemitteilungen 2022 - BKA verzeichnet neuen Höchstwert bei Cyber-Straftaten – Bundeslagebild Cybercrime 2021 veröffentlicht. Abgerufen am 7. Februar 2023.
- 1 2 CyberDirekt Risikolage 2022. Abgerufen am 7. Februar 2023.
- ↑ Uwe Sievers: BSI: "Der Cyberraum ist ein großes Haifischbecken" - ingenieur.de. In: ingenieur.de. 5. August 2013, abgerufen am 9. Mai 2020.