GDV überarbeitet Musterbedingungen bei Cyberversicherungen

Nachdem die Einführung der Musterbedingungen für Cyberrisikoversicherungen bereits sieben Jahre zurückliegt, ist es Zeit für ein Update. Die Neufassung der unverbindlichen Musterbedingungen sieht Änderungen und Klarstellungen unter anderem im Zusammenhang mit mobilem Arbeiten, externen Dienstleistern, Kriegen und staatlichen Angriffen sowie bei den Obliegenheiten vor.

Denn der Markt für Cyber-Policen hat sich laut GDV (Gesamtverband der Deutschen Versicherungswirtschaft e. V.) in den vergangenen Jahren sehr dynamisch entwickelt. Angetrieben durch die Corona-Pandemie arbeiten Mitarbeiter verstärkt remote und viele Software-Anwendungen sind in die Cloud abgewandert. Hier werden nun auch zum Teil Schäden bei externen Dienstleistern inkludiert, was bislang ausgeschlossen war. Zudem gibt es Regularien wie die DSGVO, die neue Schadenfälle durch Schadenersatzansprüche bei Daten-Lecks geschaffen haben.

Mobiles Arbeiten: Die neuen Musterbedingungen stellen klar, dass auch der Fernzugriff auf die Unternehmens-IT versichert ist.

Verletzung von Datenschutzgesetzen: Seit 2018 räumt die Datenschutzgrundverordnung (DSGVO) den Betroffenen eines Datenlecks ein Recht auf Schadenersatz ein. Da von einem solchen Datenleck oft viele Menschen betroffen sind, können diese Zahlungen sehr hoch ausfallen. Dieses Risiko wird in der Neufassung der Musterbedingungen mitversichert.

Krieg und staatliche Angriffe: Die Neufassung stellt klar, dass ein Krieg im Sinne der Bedingungen nicht den Einsatz physischer Waffengewalt voraussetzt. Schäden durch Kriegshandlungen sind auch dann ausgeschlossen, wenn der Krieg mit digitalen Mitteln geführt wird. Darüber hinaus formulieren die neuen Musterbedingungen einen Ausschluss für staatliche Cyberangriffe. Demnach sind Schäden ausgeschlossen, die eine direkte oder indirekte Folge eines erfolgreichen staatlichen Angriffs auf kritische Infrastrukturen sind.

Externe Dienstleister: Schäden infolge einer Störung bei externen Dienstleistern wie Cloud-Anbietern, Rechenzentren oder Software-as-a-Service-Lösungen waren vom Versicherungsschutz bislang ausgeschlossen. Diese Einschränkung wird in den neuen Musterbedingungen größtenteils aufgehoben: Werden beim Dienstleister gespeicherte Daten manipuliert, mit Schadsoftware infiziert oder für unberechtigte Personen zugänglich, besteht Versicherungsschutz. Weiterhin ausgeschlossen bleibt hingegen der Ausfall des Dienstleisters, also die fehlende Verfügbarkeit der Daten.

IT-Sicherheitsniveau: Die vom versicherten Unternehmen zu erfüllenden Obliegenheiten wurden neu formuliert, um den aktuellen technischen Stand abzubilden und das Verständnis beim Leser zu verbessern. Die Basis für ein angemessenes IT-Sicherheitsniveau bilden weiterhin die bekannten, einfach umzusetzenden Maßnahmen wie regelmäßige Datensicherungen, starke Passwörter, individuelle Zugänge, Virenscanner, Firewalls und schnell installierte Sicherheitsupdates.