Cyber-Risiken: Oft nur ausschnittsweise versichert

Berater Top News Gastkommentar von Hanno Pingsmann

Häufiger Kunden-Einwand bei der Beratung zur Cyber-Absicherung: Die Risiken seien durch bestehenden Versicherungsschutz gedeckt. Wie Vermittler in der Beratung die Abgrenzung von anderen Sparten deutlich machen können, erläutert Hanno Pingsmann (CyberDirekt) im Gastbeitrag.

Cyber-Police: Wie grenzt man sie von anderen Sparten ab?

Wie grenzt man Cyberpolicen erfolgreich von anderen Sparten im Gewerbebereich ab? Foto: Christian Augustin

Cyber-Risiken können bereits über verschiedene Versicherungsverträge wie Elektronik, Betriebsunterbrechung, Vertrauens- oder Vermögensschaden abgedeckt sein. Hierbei ist jedoch zu berücksichtigen, dass viele Cyber-Risiken in klassischen Deckungen nur ausschnittsweise versichert sind. Der Versicherungsschutz ist in klassischen Sparten i.d.R. unzureichend, weil einerseits weitreichende Ausschlüsse für relevante Cyber-Risiken bestehen und andererseits die Definition des Versicherungsfalls nicht greift.

So führt in der Ertragsausfall- oder Elektronikversicherung bereits die Erfordernis eines Sachschadens dazu, dass keine Leistung erfolgt, wenn die Beeinträchtigung durch eine Veränderung von Daten (z.B. Verschlüsselung durch Schadsoftware) verursacht wurde. Punktuelle Deckungserweiterungen für diese Szenarien sind in der Regel sublimitiert.

Vertrauensschaden von Cyberschaden abgrenzen

Eine Vertrauensschadenpolice dient der Absicherung gegen Wirtschaftskriminalität und ist primär zur Deckung von Eigenschäden gedacht. Versichert sind z.B. Diebstahl und Schäden am Vermögen sowohl durch Innentäter, als auch externe Angriffe. Dazu zählen z.B. Fake-President Attacken, welche durch eine gezielte Täuschung von Mitarbeitern einen erheblichen Vermögensschaden zur Folge haben können. Die Erpressung des Unternehmens mittels Verschlüsselung von Daten ist jedoch in der klassischen Vertrauensschadenversicherung nicht versichert. Darüber hinaus sind mittelbare Schäden wie z.B. entgangener Betriebsgewinn ausgeschlossen. Grundsätzlich sind nur gezielte Angriffe versichert, wobei das Risiko einer Infizierung durch automatisiert versendete Phishing E-Mails nicht abgedeckt ist. Ein umfassender Schutz gegen Cyber-Attacken kann durch eine Vertrauensschadenversicherung allein nicht hergestellt werden.

Eine Vermögensschadenhaftpflichtversicherung kann eine erste Basis zur Absicherung von Drittschäden darstellen, welche von einer Cyber-Attacke verursacht wurden. Im Rahmen der gesetzlichen Haftpflicht sind z.B. Datenschutzverletzungen abgedeckt. Allerdings sollten Vermittler darauf hinweisen, dass damit einhergehende Kosten wie z.B. für die Benachrichtigung der Betroffenen nach Art.34 DSGVO nicht Teil der Haftpflichtdeckung sind.

Hinweispflichten für Vermittler

Vermittler müssen grundsätzlich auf spezielle Ausschlüsse und Bedingungen hinweisen, welche sich in konventionellen Versicherungen wiederfinden, jedoch in einer guten Cyber-Versicherung nicht vorhanden sind. Als Beispiel lässt sich die Stand-der-Technik Klausel anführen, welche zu Hemmnissen bei der Schadensregulierung führen kann.

Eine Cyber-Versicherung bietet hingegen einen ganzheitlichen Lösungsansatz zur Absicherung digitaler Risiken und beinhaltet weitergehende Leistungen, welche in klassischen Versicherungsprodukten nicht enthalten sind. Dazu zählen u.a. die Übernahme von Lösegeld, Kosten der IT-Forensik, Rechtsberatung und Wiederherstellung von IT-Systemen. Auch Benachrichtigungskosten, PCI-Vertragsstrafen und Aufwendungen zur Abwehr von Bußgeldverfahrens sind Bestandteile einer leistungsstarken Cyber-Versicherung.

Über den Autor: Hanno Pingsmann, Geschäftsführer und Gründer von CyberDirekt.

  • Facebook Kommentare
  • Disqus Kommentare