Neben der technischen Abwehr, die auch durch KRITIS-Verordnung bzw. § 8a BSIG und § 75 SGB V zumindest für Krankenhäuser teilweise vorgegeben ist, gelangt auch zunehmend die wirtschaftliche Absicherung in Form einer Cyberversicherung in den Fokus.
Noch junge Versicherungssparte
Eine Cyber-Versicherung ist eine fakultative Zusatzversicherung für Unternehmen, die Schäden im Zusammenhang mit Hacker-Angriffen oder sonstigen Akten von Cyberkriminalität absichert. Versicherter Gegenstand sind in der Regel (je nach Gestaltung) Vermögensschäden, welche durch eine Informationssicherheitsverletzung verursacht wurden. Informationssicherheitsverletzung wird als Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit von elektronischen Daten des Versicherungsnehmers oder informationsverarbeitenden Systemen definiert.
Es handelt sich um eine noch sehr junge Versicherungssparte mit nicht standardisierten vertraglichen Gestaltungen, bei der Haftpflichtversicherung, Betriebsausfallversicherung und Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden miteinander kombiniert werden.
Schutz vor Eigenschäden
Datenschutz- und Cyber-Deckungen übernehmen reine Vermögensschäden, wenn der Versicherungsnehmer einen Vertragspartner oder sonstigen Dritten, zum Beispiel aufgrund einer Datenrechtsverletzung, schädigt. Bei einem Hacker-Angriff oder der Ausspähung persönlicher Daten kann jedoch auch dem Versicherungsnehmer selbst ein Schaden entstehen. Deshalb bieten die Cyber-Versicherungen auch Schutz vor Eigenschäden, die durch einen Hacker-Angriff, eine DoS-Attacke (englisch Denial of Service ‚Dienstverweigerung‘), Computermissbrauch, Diebstahl von Datenträgern oder eine sonstige Datenrechtsverletzung entstehen.
Dabei dienen Cyber-Versicherungen nicht nur dazu, den direkten Schaden auszugleichen, den der Angriff verursacht hat, sondern vor allem für die Kosten aufzukommen, die mit der vollständigen Wiederherstellung der Geschäftstätigkeit verbunden sind. Dazu können je nach vertraglicher Ausgestaltung z.B. Kosten für
- die Wiederherstellung und die Reparatur der IT-Systeme,
- Ausgleich von Haftpflichtansprüchen von Dritten
- die Beauftragung externer Computer-Forensik-Analysten,
- die Beauftragung spezialisierter Anwälte,
- professionelles Krisenmanagement und PR,
- Kreditschutz- und Kreditüberwachungsservices,
- die strafrechtliche Verteidigung (Internet-Straf-Rechtsschutz),
- die notwendigen Mehrkosten zur Fortführung des Business.
gehören.
Umfangreiche Assistance-Leistungen
Ein wesentliches Leistungsmerkmal der Cyber-Versicherung ist die Bereitstellung von umfangreichen Assistance-Leistungen im Schadensfall, wie z. B. eine 24-h-Hotline zur Meldung von Cyber-Vorfällen. Einzelne Anbieter stellen den Versicherungsnehmern dabei unmittelbar technischen Support durch Incident-Response- und IT-Forensik-Dienstleister zur Verfügung. Eine schnelle Reaktion im Schadensfall ist vor dem Hintergrund der Schadenminderung auch im Interesse des Versicherers.
Der Versicherungsumfang kann auch durch einen Betriebsunterbrechungsversicherungs- bzw. Ertragsausfallversicherungsbaustein ergänzt werden. In diesem Fall erhält der Versicherungsnehmer für einen erheblichen Umsatzausfall (etwa aufgrund eines Hackerangriffs oder einer DoS-Attacke) eine finanzielle Kompensation.
Von besonderer Bedeutung sind bei der Cyberversicherung die vorvertraglich gestellten Risikofragen, deren Beantwortung IT-technische Expertise bzw. Beratung erfordern, da sie andernfalls bei einem späteren Schadenfall aufgrund der Verletzung vorvertraglicher Anzeigepflichten zu Deckungseinschränkungen führen können. Gleiches gilt für etwaige Obliegenheitsverletzungen. Es werden jeweils sehr konkrete IT-relevante Fragen gestellt bzw. Vorgaben gemacht.
Häufig werden auch mögliche Lösegeldzahlungen in die Versicherungslösung integriert. In einem solchen Fall sollte neben der rechtlichen Prüfung hinsichtlich möglicher strafrechtlicher Implikationen auch eine enge Abstimmung mit dem Versicherer erfolgen.
Fazit
Insgesamt stellt die Cyberversicherung ein sehr sinnvolles und mittlerweile nahezu unverzichtbares Element im Rahmen einer Absicherung gegen Cyberrisiken dar, die eine geeignete technische Abwehr keineswegs obsolet macht, sondern diese sogar voraussetzt. Bei der Gestaltung und auch im Schadenfall sind sowohl eine rechtliche Prüfung (z.B. datenschutzrechtlich, versicherungsvertraglich, medizinrechtlich, strafrechtlich) und Beratung als auch eine IT-technische Unterstützung dringend anzuraten.