Deckungsumfang in der Cyber-Versicherung: Versicherte Gefahren, Tücken und Fallstricke
In diesem Teil unserer Reihe zur Cyber-Versicherung nehmen wir eine Standortbestimmung vor und betrachten den Deckungsumfang sowie Tücken und Fallstricke in den Cyberbedingungen. Dafür haben wir die Versicherungsbedingungen wie gewohnt akribisch analysiert.
Wir wollten wissen: Haben sich schon Standards in der Cyber-Versicherung etabliert? Im Prinzip ja, lautet die Antwort. So bieten die untersuchten Angebote stets den folgenden Cyber-Deckungsumfang:
- Wiederherstellung von Daten, Programmen & Systemen
- IT-Forensik durch Sachverständige zur Feststellung von Schadenursache und –ausmaß
- Beratung zur Kommunikation im Krisenfall
- Benachrichtigung von Betroffenen einer Datenschutzverletzung sowie
- Rechtsberatung zu den Informationspflichten.
Im Detail sind die Leistungen jedoch sehr unterschiedlich. Mehr noch: Manchmal herrscht sogar Sprachverwirrung auf höchstem Niveau. Kostprobe gewünscht? Aber gerne!
Da heißen versicherte Gefahren in der Cyber-Versicherung zum Beispiel:
- „Netzwerksicherheitsverletzung“
- „IT-Sicherheitsverletzung“
- „Hacker-Angriff“
- „Cyber-Angriff“
- „Cyber-Einbruch“
- „Cyber-Attacke“
- „Cyber-Rechtsverletzung“
- „Cyber-Sicherheitsvorfall“
Auf den ersten Blick beschreiben die Begriffe zwar einen ähnlichen Sachverhalt: die unbefugte Einwirkung oder der unbefugte Zugriff auf informationsverarbeitende Systeme des Versicherten oder deren unbefugte Nutzung mit der Absicht, einen Schaden herbeizuführen. Dieser kann den Versicherten oder einen Dritten treffen und auch allein in der Bereicherung Dritter liegen. Doch im Detail sind manchmal die Unterschiede riesengroß – mit unabsehbaren Konsequenzen für Vermittler und Kunden. Weniger Kreativität und mehr Einheitlichkeit in den Bedingungen lautet deshalb unser Appell an die Produktentwickler.
Deckungsumfang: Herausforderung „Cloud“
Tücken und Fallstricke von Cyber-Bedingungen für KMU zeigen sich auch an anderer Stelle. So tun sich die Versicherer offensichtlich schwer damit, die „Cloud“ in Worte zu fassen und das mit der Nutzung von ausgelagerten IT-Prozessen verbundene Risiko zu beschreiben. Auch hier gleicht kaum eine Definition der anderen. So gibt es Angebote, die nach Art der Cloud-Dienstleistung (Infrastruktur, Plattform oder Software as a Service) unterscheiden, während andere auf die Zielrichtung des Angriffes (gegen den VN oder den Cloud-Betreiber) abstellen. Wieder andere orientieren sich an den Werkzeugen des Cloud-Angriffs (DoS, Phishing, Schadsoftware) oder nach Betroffenheit . Manchmal sind auch ausschließlich explizit benannte ausgelagerte IT Services versichert. Der zentrale Ausfall eines Cloud-Betreibers ist hingegen regelmäßig nicht versichert. Immerhin: Ausnahmen bestätigen diese Regel. Trotzdem werben Versicherer mit der Aussage “Cloud-Ausfall versichert“ oder bieten sogar Schutz für Betriebsunterbrechung infolge Cloud-Ausfall.
Dass es sich dabei um eine sehr eingeschränkte Leistung handeln kann, zeigt oft erst das Kleingedruckte. In den Bedingungen ist dann beispielsweise nachzulesen, dass ausschließlich DoS-Angriffe auf den Cloud-Betreiber versichert sind oder zum Beispiel SaaS-Dienste (Software as a Service: Miete statt Kauf) ausgeschlossen werden.
Obliegenheiten: Pflichten für KMU
Durch vertragliche Obliegenheiten werden die Versicherten KMU beispielsweise dazu verpflichtet, „gängige“ oder „branchenübliche“ Standards einzuhalten, ohne dass präzise formuliert wird, was darunter zu verstehen ist. Auch die Verpflichtung auf „Berücksichtigung der wirtschaftlichen Angemessenheit“ liefert reichlich Platz für Auslegung und provoziert Deckungsstreitigkeiten. Selbst manche eindeutiger formulierten Obliegenheiten entpuppen sich bei genauerer Betrachtung als praxisfern. So formulieren die GDV-Musterbedingungen zwar recht präzise, welche Vorkehrungen zu treffen sind. Der Versicherungsschutz gilt für alle vom VN genutzten IT Systeme. Lücken entstehen hier aber fast zwangsläufig, falls ein Unternehmen VN seinen Beschäftigten erlaubt, private Endgeräte betrieblich zu nutzen (Bring Your Own Device, BYOD). In diesem Fall kann der Betrieb in der Regel nicht gewährleisten, dass die privaten Endgeräte jederzeit die Obliegenheiten erfüllen. Die bittere Konsequenz: Der Kunde tappt in eine Leistungsfalle.
Gefahrerhöhung: Für IT-Laien schwer zu beurteilen
In den Paragrafen 23 ff VVG sind die Pflichten des Versicherungsnehmers zur Verhinderung und Anzeige von Gefahrerhöhungen sowie deren einschränkende Wirkung auf den Versicherungsschutz geregelt. Für einen durchschnittlich verständigen Versicherungsnehmer ist es aus unserer Sicht jedoch nicht erkennbar, wann eine Änderung in seinen IT-Systemen oder seinen Geschäftsprozessen zu einer relevanten Gefahrerhöhung führt, die seinen Anspruch auf Leistungen gefährden oder sogar verwirken könnte. Daher ist es erstaunlich, dass nach unseren Analysen nicht einmal eine Handvoll Versicherer auf die Anwendung des Paragrafen 23 VVG verzichtet oder zumindest die anzeigepflichtigen Gefahrerhöhungen abschließend benennt.
Krisenmanagement: Mehr als die Summe der Teile
Zu den wesentlichen Leistungen im Deckungsumfang der Cyber-Versicherung gehört das möglichst ganzheitliche Schadenmanagement. Deshalb bieten Cyber-Versicherungen neben der Vermögensschadendeckung auch eine erste Hilfe durch IT-Forensiker, PR-Experten und spezialisierte Juristen. Das Management dieser hochspezialisierten Fachleute hingegen bleibt in den meisten Fällen dem versicherten Unternehmen überlassen. Rund wird der Versicherungsschutz deshalb erst dann, wenn auch das Krisenmanagement, also die zielgerichtete Koordination interner und externer Akteure, zum Deckungsumfang gehört. Wir haben daher die Mitversicherung des Krisenmanagements als unabdingbar für top-bewertete Produkte definiert.
Kommunikation: Mit PR raus aus der Krise
Kommt es tatsächlich zu einem Cyber-Schaden, kann die Außenkommunikation über die weitere Zukunft eines Unternehmens entscheiden. Das gilt insbesondere bei Datenschutzverletzungen. Viele Cyber-Versicherer bieten daher auch die Kostenübernahme für PR-Maßnahmen. Doch keiner definiert präzise, was tatsächlich darunter zu verstehen ist. Einige Unternehmen arbeiten immerhin mit Einschränkungen, beispielsweise durch den Ausschluss von Anzeigenkampagnen oder durch die Definition von Höchstgrenzen (Sublimits) für sogenannte „Turbo -Aktionen“. Das ist begrüßenswert, denn es führt zu sehr weit gefassten Deckungen, im besten Sinne für den VN. Doch in zahlreichen Gesprächen mit Produktverantwortlichen, die im Vorfeld des Ratings geführt wurden, zeigte sich, dass dies gar nicht beabsichtigt war. Probleme in der Regulierung sind hier offensichtlich schon vorprogrammiert.
Optimaler Deckungsumfang der Cyber-Versicherung: Die unbekannte Gefahr?
Diese Beispiele zeigen: Noch herrscht große Unsicherheit bei der Entwicklung einer Deckung, die für Kunden wirksam und für Versicherer wirtschaftlich tragbar ist. Viele Versicherer fremdeln mit Cyber-Risiken und sind offensichtlich noch in der Findungsphase. Der Blick zurück ist bei der bedarfsgerechten Kalkulation auch keine große Hilfe. Schließlich hätte eine Schadenhistorie im Bereich der Cyber-Risiken nur wenig Aussagekraft für die Zukunft. Denn mangels Erfahrung entstehen hierzulande die Bedingungen entweder auf der grünen Wiese (mit deutlichen Einflüssen der jeweils führenden Sparte, ob Haftpflicht oder TV) oder durch das Kopieren von US -/ UK-Wordings. Und weil Versicherer diese dynamischen Cyber-Risiken nicht einschätzen können, versuchen sie, ihr Risiko an vermeintlich besonders kritischen Stellen zu deckeln. Doch damit ist niemandem gedient.
Das Cyber-Rating von Franke und Bornberg schafft Transparenz. Es liefert erstmals Maßstäbe und Orientierung im Umgang mit der Versicherung von Cyber-Gefahren – einem Risiko, mit dem bislang weder Kunde, noch Vermittler oder Versicherer Erfahrung haben. Den ersten Teil unserer Reihe zur Cyber-Versicherung finden Sie hier. Lesen Sie im dritten Teil unseres Berichtes, was genau bewertet wurde und wie die Tarife im Detail abgeschnitten haben.
Sie haben Fragen zur Cyber-Versicherungen für KMU oder möchten von Ihren Erfahrungen berichten? Dann nutzen Sie einfach die Kommentarfunktion oder diskutieren Sie mit uns auf Twitter oder Facebook. #fbCyber