Cyber-Versicherungen

Betriebliche Risiken und deren Deckung

 

von Johannes F. Nickel 

 

Teil 1 - Einleitung

 

Am Anfang war die Kybernetik. Also die Wissenschaft von der Funktionsweise einer Maschine ähnlich der “Funktionsweise” eines Menschen. 

Internet ist High-End-Kybernetik. Cybercrime ist High-End-Kriminalität.

 

Die Versicherer bieten Schutz.

 

Versicherung ist Finanzdienstleistung durch Gefahrtragung und bedingte Geldleistung. 

 

Für den versicherten Betrieb bieten die Versicherer für Datenschäden durch Datenveränderungen im Datenverkehr zwei Formen der Deckung an: Zum einen für den Einschluß in die Betriebs-Haftpflichtversicherung die IT-Deckung für die Nutzer des Internets und zum anderen eine Cyberdeckung für gehackte Netzwerke.

 

Cyberversicherung und IT-Deckung sind Internetversicherungen.

Sie sind Versicherung gegen Datenschäden durch Datenveränderung.

 

Die Haftpflichtversicherung etwa ist nicht nur ein Dauerschuldverhältnis, das dem Versiche- rungsnehmer durch ganz unterschiedliche Risikozeiten führt, indem es Risikoreduzierungen und Risikomehrungen, also Risikoerhöhungen und Risikoerweiterungen oder auch “Neue” Risiken erfasst. 

 

Die Haftpflichtversicherung hat auch über die Jahre hinweg den riskalen Herausforderungen aus dem Kreis der Versicherungsnehmer stand gehalten. 

 

Die Haftpflichtversicherung steuert auf ihren 200. Geburtstag zu und hat in ihren Anfängen einen erheblichen Erklärungsaufwand betreiben müssen dafür, dass sie für Fehler von Privatpersonen oder Unternehmen einsteht, sie hatte mit Erklärungsnotständen zu tun, wonach Allmählich-keitsschäden von der Deckung ausgeschlossen waren, weil sich die Haftpflichtversicherung als eine Art Unfall-Haftpflichtversicherung verstanden hat; in den 1970er Jahren ging es im Wesent-lichen um die Frage, was ein Bearbeitungsschaden ist, in der Folge und insbesondere in den 80er Jahren hatte die Haftpflichtversicherung mit Umweltschäden zu tun.

 

Seit den 70er Jahren ist das Hauptthema der Haftpflichtversicherung die Produzentenhaftung und nun durch die unterschiedlichsten Möglichkeiten der Allgemeinheit, in den versicherten Betrieb nicht nur durch´s Fenster, sondern auch durch die internetale Vernetzung des Unternehmens einzudringen, bieten die Versicherer die Cyberversicherung für Eigen- und Fremdschäden nach Datenänderung.

 

 

Teil 2 - Schadprogramme

 

A. Die Infrastruktur 

 

Spams und Adware werben illegal. Das Unternehmen wird ausspioniert. Im Advanced Persistent Threat (APT) werden Unternehmensdaten gestohlen.

Diebstahl von Kreditkartennummern. Exploits, also bekannte Schwachstellen eines Programms, verhelfen zum Gelddiebstahl durch Bankzugriff. Die gestohlenen Daten werden verkauft.

Denkbar sind aber auch religiös oder politisch motivierte Angriffe oder einfach “Spaßmacher”.
Oder im sog. social engineering psychologische Angriffe auf die Ethik des Angegriffenen, der erben , seine Angebote im Anhang finden oder den Auftrag bestätigen soll.

 

B. Technik

 

Botnets nutzen Netzwerkanbindungen, Ressourcen und Daten ohne Kenntnis des Berechtig- ten. 

Hijacker Browser leiten Suchanfragen um. Denial-of-service kennzeichnet die fehlerhafte Nichtverfügbarkeit eines Internetdienstes. Ransomware verhindert den Zugriff des Berechtigten auf dessen Daten. Rootkits verbergen Anmeldungen des Hackers und “verstecken” dessen Daten. Trojaner sind Scheinprogramme mit unbekannten schadenstiftenden Anwendungen. Viren kennzeichen ein Schadprogramm, das sich selbst verbreitet und Daten des Berechtigten infiziert. Würmer kennzeichen ein Schadprogramm, das sich selbst verbreitet, ohne Daten des Berechtigten zu infizieren. Auch Telefone sind gefährdet. Voicemails, Telefongespräche und SMS werden abgefangen, auf Mikrofon und Kamera des Telefons zugegriffen oder ungeschützten Bluetooth-Netzwerk gehackt.

 

 

Teil 3 - IT-Deckung

 

Die Zusatzbedingungen zur Betriebs-Haftpflichtversicherung decken die Internetrisiken des Be-triebes in 4 Abschnitten.

 

A. Datenschäden

 

Die IT-Zusatzversicherung ersetzt zunächst, und das ist ihre Hauptaufgabe, Datenschäden.

 

Gedeckt ist die gesetzliche Haftung wegen Schäden durch fahrlässig verursachte, schadpro-grammbedingte Datenveränderungen im Datenverkehr.

Datenverkehr im Sinne der Bedingungen sind Austausch, Übermittlung und Bereitstellung elek-tronischer Daten im Internet, per E-Mail oder auf Datenträger. Datenveränderungen liegen vor in den Fällen der schadprogrammbedingten Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung elektronischer Daten. Schadprogrammbedingt sind etwa Computerviren. 

 

B. Personen- und Sachschaden

 

Die IT-Zusatzversicherung ersetzt neben Datenschäden auch Personen- und Sachschäden.

 

Versichert sind Personenschäden und Sachschäden durch Daten, die nicht, schlecht oder verändert gespeichert wurden. Versichert ist die Ertüchtigung der Daten. Ertüchtigt werden die Daten, wenn sie korrekt erfasst werden.

 

C. Zugangsschäden

 

Die IT-Zusatzversicherung ersetzt neben Daten- und Personen- und Sachschäden auch Zugangs-schäden. Für diese Positionen obliegt es dem Versicherungsnehmer, Sicherheitsmaßnahmen nach dem Stand der Technik vorzuhalten.

 

D. Persönlichkeitsrechte

 

Die IT-Zusatzversicherung ersetzt neben Daten-, Personen-, Sachschäden und Zugangsschäden die Verletzung von Persönlichkeits- und Namensrechten.

 

E. Geltungsbereich

 

Versichert sind Schäden weltweit, wenn sie in Europa und nach europäischem Recht geltend gemacht werden.

 

Der Versicherungsschutz besteht für die Nutzer von Internet-Technologien, nicht aber für deren Hersteller, Händler, Installateure, für Netzwerkbetreiber, Rechenzentren oder Cloudbetreiber.

Für diese Betriebe gelten die Besonderen Bedingungen und Risikobeschreibungen für die  Haft-pflichtversicherung von IT-Dienstleistern, Musterbedingungen des GDV (Stand: April 2007).

 

 

Teil 4 - Cyberversicherung

 

A. Einleitung

 

Die Cyberversicherung deckt Fremd- und Eigenschäden. Sie ist Sach- und Rechtsversicherung.

 

Sachversicherungen schützen die Sachwerte des Versicherungsnehmers, Rechtsversicherungen kümmern sich um die rechtlichen Belange des Versicherungsnehmers, die, zumeist als Ansprüche Dritter, das Vermögen und damit bilanztechnisch die sogenannten Passiven des Versicherungs-nehmers beeinträchtigen.

 

Die Sachversicherung zählt damit zu den Aktiven-Versicherungen, die Haftpflichtversicherung zu den Passivenversicherungen. Bilanztechnisch.

 

Damit ist die Cyberversicherung die erste wirkliche Bilanzschutzversicherung - wenn auch nur für Schäden im Zusammenhang mit Daten, also an oder durch Daten.

Verwaltungstechnisch eine Besonderheit in der Weise, dass die Deckung nicht als Vertrags-bündelung, also als die Kombination zweier selbständiger Verträge angeboten wird, sondern als Deckungskombination, das heißt, als zwei Teile eines einheitlichen Vertrages. 

 

Sie ist eine neuartige Verbindung von Sach- und Rechtsversicherungen in der Weise, dass Schäden, die der Versicherungsnehmer selbst erleidet, etwa durch Datenverlust und Betriebs-ausfall, im Rahmen einer Sachversicherung versichert sind und die Schäden, die durch  eine Informationssicherheitsverletzung (ISV) etwa beim Kunden entstehen, durch die Haftpflichtver-sicherung von der Deckung erfasst werden.

 

Cyberversicherungen stehen in einem engen Zusammenhang mit der IT-Deckung und einer Ver-trauensschaden-Versicherung. 

 

B. Cyber ...

 

Cyberrisiko ist das Risiko einer Datenveränderung durch Vernetzung.

 

Datenveränderungen sind Daten-Verfügbarkeitsänderungen, das Löschen und das Abhanden-kommen von Daten. 

Cybercrime ist vorsätzliche Datenveränderung. Cyberspace ist das Internet einschließlich der Daten in Sende- und Empfangseinrichtungen.

 

C. Struktur

 

I. Kombination

 

Die Cyberversicherung ist mit ihrer Kombination von Sach- und Rechtsversicherung ein einheit-licher Vertrag und nicht Bündelung zweier selbständiger Verträge.

 

II. Abschnitt A

 

Abschnitt A beschreibt den Gegenstand der Deckung mit den Bedingungen zur Fremdver-sicherung und Eigenversicherung sowie den Bedingungen, die für beide Teile gelten, und zusätz-lich versicherte oder versicherbare Kostenpositionen.

 

III. Abschnitt B

 

Abschnitt B regelt die Versicherungstechnik, wie die Zahlung des Beitrags, die Vertragsdauer, die Obliegenheiten des Versicherungsnehmers und weitere Hinweise zur ordnungsgemäßen Verwal-tung des Vertrags.

 

D. Gegenstand der Deckung

 

I. Allgemein

 

1. Informationssicherheitsverletzungen (ISV).

 

Gegenstand der Versicherung nach Maßgabe des Basis-Bausteins A1 der Musterbedingungen des GDV sind Vermögensschäden durch Informationssicherheitsverletzungen (ISV).

Informationssicherheitsverletzungen sind Daten-Beeinträchtigungen, unabhängig davon, ob sich die Daten beim VN oder bei einem externen Dienstleister befinden. Die Datensicherheits-verletzung beeinträchtigt die Verfügbarkeit, die Integrität oder die Vertraulichkeit von elektronisch-en Daten und wird bewirkt durch Eingriffe, Angriffe, unberechtigte Zugriffe, datenschutzwidrige Handlungen sowie Schadprogramme.

 

Unter Vermögensschäden versteht die Deckung selbständige Vermögensschäden, nicht aber solche als Folge eines Personen- oder Sachschadens.

 

2. Versicherungsfall

 

Als Versicherungsfall gilt das Manifestationsprinzip, wonach der Versicherungsfall der erstmals nachprüfbar festgestellte Schaden ist. Der Versicherungsfall muss allerdings während der Wirk-samkeit der Versicherung eingetreten sein. Der Versicherer kombiniert also das Schadenereig-nisprinzip und das Manifestationsprinzip.

Mit einer Nachhaftungsregelung können Informationssicherheitsverletzungen versichert werden, die zwar während der Laufdauer der Versicherung eingetreten sind, aber noch keine Feststellung eines Vermögensschadens zur Folge hatten. 

Mit einer Rückwärtsdeckung können auch vorvertragliche ISV erfasst werden.

 

3. Örtlicher Geltungsbereich

 

Die gedeckten Schäden gehen von den Versicherungsorten aus, können sich aber weltweit reali-sieren.

 

4. Beginn der Leistungspflicht

 

Die Leistungspflicht des Versicherers entsteht nach zwei Wochen im Rahmen der Fremdversich-erung und nach einem Monat im Bereich der Eigenversicherung.

 

5. Deckungsvoraussetzungen

 

Der Versicherungsnehmer muss aktiv Datensicherung betreiben. Vorgeschrieben sind dabei ge-trennte Benutzungsebenen, Passwörter, Administratorenvorbehalte und Sicherungssysteme, wie Firewalls, Authentifizierungen, Verschlüsselungen und Diebstahlsicherungen.

 

Was heißt das?

 

a)  Datensicherung
Backup-Systeme bewirken Datensicherung insbesondere durch Kopieren von Daten mit dem Ziel, die kopierte Datei im Schadenfall durch die Kopie zu ersetzen. Das Speichermedium wird redun-dant. 

 

Aktive Datensicherung wird auf der Basis der typischen Betriebssysteme Windows, Mac OS oder Linux betrieben mit Antivirenprogrammen, Virenscanner oder Virenschutz-Programmen, also mit einer Software, die Schadprogramme wie z. B. Computerviren, Computerwürmer oder Trojanische Pferde ermitteln, behindern und beseitigen soll.

 

Bestandteil eines effektiven Schutzprogramms ist dabei eine Firewall. Sie  soll vor unberechtigten An- oder Eingriffen Dritter in das Netzwerk des Angegriffenen schützen. 

Schadprogramme oder junkware verursachen schädliche Funktionen innerhalb der Hardware, insbesondere im Rechner sowie in der Software, also allen nicht dreidimensionalen Teilen eines Rechners, aber auch im Rahmen der Firmware, also den embedded Software-Systemen, die typischerweise in Flash-Speichern, EPROM, EEPROM oder ROMs gespeichert werden und kaum austauschbar sind. 

 

b) Datenverschlüsselung
Gefordert wird alternativ eine Datenverschlüsselung. Verschlüsselung ist die Konvertierung von lesbaren Daten in ein verschlüsseltes Format. Und umgekehrt.

 

c) 2-Faktor-Authentifizierung
Mit der 2-Faktor-Authentifizierung müssen sich Anwender in zwei aufeinanderfolgenden Schritten authentifizieren.

 

Stufe 1: Persönliche Information, etwa das Passwort.

Stufe 2: Authentifizierung etwa durch SMS- oder E-Mail-basierte Verifizierungscodes.

 

Angreifer benötigen also neben dem Passwort eines Anwenders Zugriff auf dessen Handy oder E-Mail-Account.   

 

Ein Passwort enthält eine unique Zeichenfolge, durch welche die Identität des berechtigten Be-nutzers bestätigt wird.

 

d) Systemadministration
Der Systemadministrator richtet ein, verwaltet und beendet Computersysteme mit weitgehenden  Zugriffsrechten auf das System. 

Befugnisebenen weisen dem Benutzer Zugriffsmöglichkeiten auf Ebenen zu, die es etwa ermög-lichen, das Tagesgeschäft zu erledigen oder - auf anderer Ebene - Systemverwaltung zu betrei-ben.

 

e) Versionsnummer
Software-Versionsnummern sind die Programm-Indices zur Versionsunterscheidung. Die Num-mernfolge weist regelmäßig Hauptversionsnummer, Nebenversionsnummer und Revisionsnum-mer aus.

 

Die Hauptversionsnummer indiziert dabei wesentliche  Änderungen – wie etwa ein neu geschrie-benes Programm mit gleichem Namen. 

Nebenversionsnummern bezeichnen dagegen zumeist die Funktionserweiterungen der Software. Revisionsnummern bezeichnen zumeist die Anzahl von Fehlerbehebungen.

 

f) Patchmanagement
Das vom Versicherer geforderte Patchmanagement dient der Fehlerbehebung.

Patches beseitigen Fehler der Software und dienen damit der Datensicherung nach Bekannt-werden von Sicherheitslücken. Im Code Signing bestätigen digitale Signaturen den Autor der Soft-ware. 

 

6. Ausschlüsse

 

Ausgeschlossen sind vorvertragliche Schäden und alle Versicherungsfälle oder Schäden auf-grund des Ausfalls einer gesamten Infrastruktur, die etwa dann vorliegt, wenn Gebietskör-perschaften oder ganze Stadtteile vom Ausfall betroffen sind.

 

II. Service und Kosten

 

Der Vertrag begrenzt die Leistungen des Versicherers auf die Versicherungssumme und eine Jahreshöchstentschädigung, die aber durch die einschränkende Serienschadenregelung prak-tisch ohne Bedeutung bleibt.

Alle Service Einsätze müssen mit dem Versicherer abgestimmt werden. Das beeinträchtigt die Zu-verlässigkeit des Versicherungsschutzes.

 

Der Versicherer ersetzt die Kosten, die zur Erfüllung der Informationspflichten des Versiche-rungsnehmers erforderlich sind.

 

Diese Deckung ähnelt der Rückrufversicherung für mangelhafte “dreidimensionale” Erzeugnisse. Auf Antrag versichert werden können die Kosten für die Beauftragung eines externen Call-Centers sowie die Kosten für die Wiederherstellung der öffentlichen Reputation des Versicherungs-nehmers. 

 

III.  Fremdschäden

 

1. Haftpflichtversicherung

 

Der Drittschadenbaustein der Cyberversicherung ist eine Vermögensschaden-Haftpflichtversiche-rung.

 

2. Versichertes Risiko

 

Deckung besteht im Rahmen des versicherten Risikos, also innerhalb der Betriebstätigkeit, wenn durch Informationssicherheitsverletzungen Vermögensschäden entstehen, für die der Versiche-rungsnehmer von Dritten privatrechtlich in Anspruch genommen wird.

 

3. Leistung des Versicherers

 

Die Leistung des Versicherers umfasst die Prüfung der Haftpflichtfrage, die Abwehr unberechtigter Ansprüche sowie die Freistellung des Versicherungsnehmers von berechtigten Schadenersatz-ansprüchen.

 

Die Leistung des Versicherers wird begrenzt auf die vereinbarte Versicherungssumme und die Jahreshöchstentschädigung.

 

4. Ausschlüsse

 

Ausgeschlossen bleiben Ansprüche auf Vertragserfüllung und solche Ansprüche, die aufgrund einer vertraglichen Vereinbarungen über den Umfang der gesetzlichen Haftpflicht des Versiche-rungsnehmers hinausgehen.

 

Die Deckung kann erweitert werden auf Ansprüche wegen Verletzungen von Persönlichkeits-, Namensrechts-, Urheberrechts- und Markenrechtsverletzungen.

Auf Antrag mitversichert werden können Vertragsstrafen wegen der Verletzung eines Payment Card Industry (PCI) Daten-Sicherheitsstandards sowie Schäden oder Aufwendungen im Vertrauen auf die ordnungsgemäße Vertragserfüllung und Verzugsschäden.

Der Payment Card Industry Data Security Standard ist ein Regelwerk für Kreditkartentrans-aktionen.  

 

Ausgeschlossen von der Deckung bleibt der Rückruf von Erzeugnissen, Ansprüche untereinander sowie Ansprüche innerhalb des Versicherungsnehmer-Konzerns. 

 

IV. Eigenschäden

 

1. Einleitung

 

Der Eigenschadenbaustein der Cyberversicherung ist eine von den Regeln der Sachversicherung ausgehende Deckung für Vermögensschäden mit einer Anschlussdeckung für Betriebsunter-brechungen und sieht demgemäß für den Fall einer Informationssicherheitsverletzung zunächst sowohl die Wiederherstellung der von der ISV betroffenen Daten, als auch die Entfernung der Schadsoftware vor.

 

2. Vermögensschaden

 

Der VN muss zur Nutzung dieser Daten berechtigt sein. Die Leistung des Versicherers wird durch die Versicherungssumme und die Jahreshöchstentschädigung begrenzt.

 

Für den Zeitraum der Wiederherstellung der notwendigen Daten sowie die Entfernung der Schad-software wird eine named period vereinbart.

 

Ausgeschlossen bleibt die Deckung für Datenverluste und das Eindringen einer Schadsoftware, wenn Abschaltung oder Löschung geplant waren, neue informationsverarbeitende Systeme ein-geführt werden sollten oder im Falle ungetesteter oder unberechtigter Software. Ausgeschlossen sind Softwarefehler, die nicht auf einer Sicherheitslücke beruhen.

 

3. Unterbrechungsschaden

 

Versichert ist die Betriebsunterbrechung im Rahmen der versicherten Haftzeit in Höhe eines ver-einbarten Tagessatzes.

Eine Betriebsunterbrechung liegt vor, wenn infolge der ISV Daten nicht mehr zur Verfügung stehen und die übliche Leistung nicht erbracht werden kann.

Als Unterbrechungsschaden gelten der ausfallende Betriebsgewinn und die fortlaufenden Kosten.

 

Kein Versicherungsschutz besteht für den Zeitraum einer geplanten Abschaltung oder durch eine geplante Datenlöschung sowie durch die Einführung neuer informationsverarbeitender Systeme.

Nicht versichert ist der Einsatz ungetesteter oder unberechtigter Software.

Nicht versichert sind  außergewöhnliche Ereignisse, behördliche Betriebsbeschränkungen, das Fehlen finanzieller Mittel um die Gesamtstruktur der innerbetrieblichen Datenverarbeitung wieder-herzustellen, für Verbesserungen des Systems sowie für Sach- und Personenschäden. 

 

E. Versicherungstechnik

 

Neben den Sonderregeln zur Beschreibung einer Cyberversicherung erfasst der Versicherer in Abschnitt B des Vertrages die auch für andere Versicherungen geltenden Regelungen zur Bei-tragszahlung, Vertragsdauer, Obliegenheiten des Versicherungsnehmers und die Vertrags-verwaltung.

 

Edermünde, 01.12.2023

 

 

 

 

 

Die Versicherung von Cyber-Schäden

Deckung für Cyber-Attacken 

 

von Johannes F. Nickel

 

A. Einleitung

 

Die Cyber-Deckung ist im Rahmen der Fremddeckung eine Rechtsversicherung, die die Deckungen der Betriebsrisiken, der Produzentenhaftung oder der Umweltschäden ergänzt um Angriffe auf die informationstechnologische Infrastruktur des Kunden.

 

Der Bedingungsgeber unterscheidet dabei Fremdschäden und Eigenschäden. Rückwirkungs-schäden und Wechselwirkungsschäden findet man in den Versicherungsbedingungen, die sich mutig mit diesem neuen Thema befassen, noch nicht. 

 

Auch nicht Sach- oder Personenfolgeschäden als Folge gedeckter Vermögensschäden.

 

Deckungen dieser Art können geboten werden als eine All-Risk-Deckung mit named exclusion clauses oder als Deckung von enumerativ aufgezählten named perils und named losses. Oder auch named periods.

 

In den Rechtsversicherungen wird man bezogen auf die vom Cyberangriff betroffenen Unter-nehmen den Hersteller unterscheiden müssen vom User und Service Provider.

 

Die Deckung hat zu unterscheiden Inhousehacker und Outdoorhacker. 

Die betroffenen Rechtsgüter können unterteilt werden in 

 

   Hardware, 

   Software, 

   Firmware und 

   Malware.

 

Besonderes Augenmerk liegt auf den Angriffsarten, die den Versicherungsfall triggern, also auslösen. Dem stehen die Defenses gegenüber. Es geht um die Frage, welche Personen ge-schützt und welche Gefahrenarten erfasst werden sollen. 

 

Selbstbeteiligungen als Steuerungselement der Deckung fallen in der Regel dann aus, wenn erforderliche Sicherheitsvorkehrungen durch den Versicherungsnehmer nicht getroffen werden können. 

Dabei sind allgemeine Schadenverhütungsobliegenheiten, für die keine Deckung besteht, von den konkreten Schadenverhütungsobliegenheiten zu unterscheiden, für die eine Deckung be- steht.

 

Und was alles ist eine Datenverletzung? 

Wie wird man den Mangelverdacht behandeln? 

 

Lassen sich auch unbenannte Gefahren versichern - Gefahren also, die den Deckungskategorien zunächst nicht zugeordnet werden können?

 

Unterscheidet man Einzelschäden, Schäden im Piconet und Intranet des Kunden? 

Lassen sich Unterschiede begründen für die kaufmännische und technische Ausrüstung des Versicherungsnehmers? 

 

Wie sieht es mit der Haftzeit in der Betriebsunterbrechung aus? 

Gibt es eine Stromausfall-Deckung?

 

Unterscheiden wir Vorsatz, Fahrlässigkeit und Zufall bei Schadenverursachung und Schaden-eintritt? Wie grenzt man den Schaden vom Verschleiß ab?

 

Wie erfasst man Peripherieschäden in der Schadenumgebung? 

Wie geht man mit Einarbeitungs- und Testzeiten nach Schadenbeseitigung um? 

Was ist mit Prüf- und Sortierkosten und Aus- und Einbautatbeständen?

 

Was ist mit einer verschuldensunabhängigen Haftung? 

Kommen Vorläufige Deckungszusagen in Betracht? 

Was ist mit Wechselwirkungen zwischen Hard- und Software nach einem Cyberangriff? 

 

Ein spannendes Thema also.

 

B. AHB und Cyber-Fremddeckung

 

I. Cyber in den AHB

 

Ausgangspunkt für die Bewertung der Bedingungen sind die Allgemeinen Haftpflicht- Bedingungen (AHB), die sich beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV) als Musterbedingungen herunterladen lassen. 

 

Dort finden wir zwei konkurrierende Systeme innerhalb der Bedingungen. 

 

Zunächst werden Personenschäden und Sachschäden nach dem All-Risk-System versichert und nur durch Ausschlusstatbestände eingeschränkt. 

Vermögensschäden dagegen werden dem All-Risk-Prinzip entzogen und sind lediglich mit enume-rativer Aufzählung, etwa bei Datenschutzverletzungen, versichert. 

 

Danach ist von folgender Situation in den Allgemeinen Versicherungsbedingungen auszugehen. 

 

Ziffer 7 AHB - Ausschlüsse - Falls im Versicherungsschein oder seinen Nachträgen nicht ausdrücklich etwas anderes bestimmt ist, sind von der Versicherung ausgeschlossen:

 

Ziffer 7.15 AHB - Haftpflichtansprüche wegen Schäden aus dem Austausch, der Übermittlung und der Bereitstellung elek-tronischer Daten, soweit es sich handelt um Schäden aus

 

(1) Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung von Daten,

(2) Nichterfassen oder fehlerhaftem Speichern von Daten,

(3) Störung des Zugangs zum elektronischen Datenaustausch,

(4) Übermittlung vertraulicher Daten oder Informationen.

 

II. Die Cyberdeckung in Ziffer I - Was ist versichert

 

1. Personen- und Sachfolgeschäden

 

Geht man davon aus, dass in Ziffer 7.15 AHB Schäden aller Art durch Datenfehler aus- geschlossen sind, stehen die im Rahmen einer zusätzlichen Cyber-Deckungen vorgesehenen Vermögensschäden zweifelsohne im Vordergrund. 

 

Was aber ist mit Schäden, die als Personenfolgeschäden oder Sachfolgeschaden nach der eingetretenen Netzwerksicherheitsverletzung eintreten?

 

Hier muss man sich zunächst ganz deutlich vor  Augen halten, dass die Betriebshaftpflicht- versicherung, deren primärer Deckungsgrund Personenschäden und Sachschäden sind, in einer Zeit, in der die kausalen Abläufe im Wesentlichen durch elektronische Datenverarbeitung entstehen, überhaupt nicht mehr versichert sind. 

Damit ist die Betriebshaftpflichtversicherung der Modernisierung in die elektronische Welt nicht gefolgt.

 

So kann z.B. eine Ampel auf einer Kreuzung auf feindliches Grün geschaltet werden oder in einem Krankenhaus können Personenschäden durch Ausfall oder Fehlfunktion von IT-Systemen entstehen. 

 

Die bedingungsgemäße Definition der Vermögensschäden bezieht sich lediglich auf Vermö- gensschäden, die aus Personenschäden abgeleitet werden, nicht aber auf Personenschäden, die aus Vermögensschäden abgeleitet werden. 

 

2. Die erweiterte Cyber-Produkthaftpflichtversicherung

 

Die Cyber-Versicherung sieht die Deckung der Beschädigung von Sachen vor. 

 

Nun ist aber die mangelhafte Herstellung einer Sache noch kein Sachschaden. 

 

Das Recht unterscheidet Mängel und Schäden. 

Im Umfang eines Mangels kann die Sache nicht beschädigt werden. 

 

Die mangelhafte Herstellung einer Sache ist Gegenstand der Erweiterten Produkthaftpflicht-versicherung. Dort werden aber lediglich mangelhafte Erzeugnisse eine Deckung begründen. Netzwerkskompromittierungen, die das gleiche Ergebnis verursachen, nämlich mangelhafte Gesamtprodukte und damit einen in Geld messbaren Wertschöpfungsausfall, sind nicht Gegen-stand der Produkthaftpflichtversicherung. 

 

Hier hätten die Versicherungswirtschaft die Gelegenheit, eine Erweiterte Produkthaftpflichtver-sicherung im Rahmen der Cyber-Deckung zu begründen.

Ein neues, möglicherweise lohnendes Geschäftsfeld für den Cyberversicherer, zumindest aber für den aufmerksamen Technischen Makler. 

 

3. Google fällt aus

 

Die Cyber-Deckung sieht Versicherungsschutz vor für Netzwerksicherheitsverletzungen, Bedien-fehler, Datenrechtsverletzungen und Erpressungen. 

 

Alle diese Verletzungsbereiche beziehen sich auf Insel- und Intranet-Anlagen des Versiche-rungsnehmers. Es fehlen externe Rückwirkungsschäden und Wechselwirkungsschäden.

 

Derartige Schäden entstehen dann, wenn der Provider des Versicherungsnehmers gleichartige Mängel und Schäden zu vertreten oder in Kauf zu nehmen hat.

Wenn also etwa Google ausfällt, weil dort eine Netzwerksicherheitsverletzung erfolgt ist; oder wenn ein Update von Windows kein Update von Windows ist, sondern ein Hackerangriff, haben wir keine Netzwerksicherheitsverletzung beim VN, sondern Rückwirkungsschäden und Wechsel-wirkungsschäden durch derartige Sicherheitsverletzungen außerhalb der Netzwerkinfrastruktur des Versicherungsnehmers. 

 

Es empfiehlt sich also, mit dem Versicherungsgeber darüber zu sprechen, ob unter Berücksich-tigung von Sublimiten und Prämienerhöhungen, nicht aber unter Berücksichtigung von Selbstbe-teiligungen, die hier kaum einen Sinn machen, eine Deckung geboten werden kann. 

 

4. Der vom Mitarbeiter mitgebrachte Virus

 

Als Netzwerksicherheitsverletzung wird der Zugriff auf das IT-System des Versicherten definiert. Private Geräte dürfen im Rahmen einer bring-your-own-device-Regelung eingesetzt werden. 

 

Hier sollte mit dem Versicherer über das bring-your-own-virus-System gesprochen werden. 

 

5. Statische und dynamische Malware

 

Schadprogramme wie Viren, Würmer oder Trojaner sind versichert, wenn sie sich im IT-System eines Versicherten ausbreiten. 

 

Mit dem Versicherer sollte darüber gesprochen werden, dass Deckung auch dann besteht, wenn sich diese Programme nicht ausbreiten, sondern lediglich in der Netzwerkumgebung platziert werden und ohne Ausbreitung Schaden am und im System anrichten. 

 

6. Bananenprogramme

 

Versichert sind Netzwerksicherheitsverletzungen. 

Nicht versichert sind Netzwerksicherheitsmängel.

 

Die Verletzungen unterscheidet sich vom Mangel dadurch, dass die Verletzung exogen von außen oder doch durch die Mitarbeiter verursacht wird, während der Mangel ganz grundsätzlich endogen mitgeliefert wird und gleich einem Virus die Netzwerksystematik nach Tätigkeits-aufnahme an der Anlage beeinträchtigt,

 

Wir gehen davon aus, dass dies im Rahmen einer normalen unternehmensüblichen Cyber-Versicherung weder versichert ist, noch versichert sein soll. 

 

Die Frage ist aber, ob unter Berücksichtigung einer möglichen Regressnahme gegen ein Soft-warehaus dort auch eine Versicherung für Netzwerksicherheitsmängel geboten werden kann. 

 

Typischerweise benannt als Bananenprogramme, die dann erst beim Kunden “reifen”.

 

7. Gastschäden

 

Ein unzulässiger Zugriff auf das IT-System stellt eine (versicherte) Netzwerksicherheitverletzung dar.  

 

Hier wäre es sinnvoll, für vom Gastgeber zugelassene Gastnutzer im Internet die Deckung auch dann zu bestätigen, wenn sie zwar zulässig auf das IT-System zugreifen, dies ist aber in einer unzulässigen Weise. 

 

Beispiel: Der Gast meldet sich im WLAN mit dem Zugriffscode an und hackt dann das Intranet; er verursacht durch unzulässiges Vorgehen einen Angriff von außen oder sein mit Trojanern “infiziertes” Endgerät wird systemimmanent und breitet sich in der Netzwerkumgebung des Gast-gebers aus.

 

8. Interne Wechsel- und Rückwirkungen

 

Während externe Wechselschäden und Rückwirkungsschäden von besonderer Bedeutung sind, weil ein Ausfall von Google eine unmittelbare und vollständige Auswirkung auf die IT-Infrastruktur des Versicherten hat, mögen interne Wechselschäden und Rückwir- kungsschäden seltener sein. 

 

Sie sind aber etwa dann gegeben, wenn ein zulässiger Einsatz eines privaten Gerätes im Betrieb durch ein im privaten Bereich aufgeladenen Virus Schäden verursacht. 

 

9. Komprommittierungsdauer 

 

Das ist etwa wie bei einer HIV-Infektion. Ist man infiziert, ist man noch nicht krank. 

 

Hier stellt sich die Frage, welche Deckung geboten wird, wenn festgestellt wird, dass das IT-System des Versicherten noch beobachtet wird, ohne aber dass bereits Einfluss darauf genom-men wurde. 

 

In welchem Umfang besteht hierfür eine Deckung?

 

10. Beweislast

 

Voraussetzung für einen ersatzpflichtigen Versicherungsfall ist der Eintritt einer Netzwerk- sicherheitsverletzung, der Eintritt eines Bedienfehlers oder Programmierfehlers oder auch der Nachweis einer Datenrechtsverletzung oder Erpressung. 

 

Für den Versicherungsnehmer, der Drehteile oder Kunststoffspritzteile herstellt, ist es schwer, dem Versicherer gegenüber im Schadenfall eine Netzwerksicherheitsverletzung substantiiert dar-zulegen und zu beweisen. 

 

Hier wäre mit dem Versicherer eine Vereinbarung im Sinne eines claims handling agreement in der Weise nützlich, dass darüber gesprochen wird, in welchem Umfang und was der Ver-sicherungsnehmer zu beweisen hat.

 

Denn oft wird ihm nicht mehr als der Anscheinsbeweis gelingen. 

 

Edermünde, 01.02.2024