Cyberversicherungen : Aktueller Stand und Potenzial einer dynamischen Entwicklung
Versicherungen sind noch immer eine eher unübliche Möglichkeit der Risikobewältigung von Cyberbedrohungen – dabei könnten sie zumindest die finanziellen Folgen von Angriffen abfedern, sofern man passende Angebote findet. Allerdings sind Cyberversicherungen derzeit noch sehr heterogen und nicht selten individuell verhandelt. Unsere Autoren beleuchten, wie sich der Markt in diesem Segment entwickelt hat.
Von Lutz Martin Keppeler und Gina Rosa Wollinger, Köln
Die allgemeine Kriminalitätssituation in Deutschland ist seit Jahren durch eine erfreuliche Entwicklung geprägt: Gewaltdelikte, Straßenkriminalität und Wohnungseinbruchdiebstahl verzeichnen sinkende Fallzahlen. Eine Ausnahme von diesem Trend stellt hingegen das Aufkommen von Cybercrime-Vorfällen dar.
Das Kriminologische Forschungsinstitut Niedersachsen e. V. und das Informatikinstitut L3S der Universität Hannover haben, finanziert durch die Initiative IT-Sicherheit in der Wirtschaft vom Bundesministerium für Wirtschaft und Energie, 2018/2019 eine repräsentative bundesweite Befragung bei 5000 Unternehmen ab zehn Mitarbeitern durchgeführt [1]. Hierbei zeigte sich, dass 41,1 % der Unternehmen in Deutschland innerhalb der vorangegangenen zwölf Monate mindestens einen Cyberangriff erlebt hatten – mehr als die Hälfte (57,2 %) berichtete von mehrmaligen Attacken. Bezogen auf die Zeit seit Unternehmensgründung bejahten 65,0 %, mindestens einen Cyberangriff erlebt zu haben.
Die Folgen von Angriffen sind naturgemäß vielfältig. Neben unmittelbaren Auswirkungen auf IT-Systeme, vor allem bei E-Mail und Kommunikation, Auftrags- und Kundenverwaltung sowie Rechnungswesen und Controlling, sind häufig auch sensible (Kunden-)Daten betroffen. Ferner haben Cyberangriffe auch finanzielle Effekte. Im Ergebnis zeigt die genannte Studie, dass besonders in den Bereichen der Sofortmaßnahmen zur Abwehr und Aufklärung, Wiederherstellung und Wiederbeschaffung sowie durch die Hinzuziehung externer Beratung direkte Kosten entstehen. Die höchsten finanziellen Einbußen fallen durch abgeflossene Gelder, Betriebsunterbrechungen und die Wiederherstellung und Wiederbeschaffung an.
Die Wahrscheinlichkeit, dass ein Täter Schadensersatz leistet, ist hingegen schon allein aufgrund einer sehr niedrigen Anzeigerate (11,9 %) und einer mageren Erfolgsaussicht bei der Strafverfolgung gering. Im Prinzip könnte eine Cyberversicherung somit eine gute Möglichkeit sein, um sich vor den finanziellen Folgen eines Cyberangriffs zu schützen.
Anbieter und Leistungen
Während in den USA schon seit etwa 2012 eine signifikante Zahl von Cyberversicherungen abgeschlossen wurde, treten Versicherer in Europa und Deutschland erst seit ein paar Jahren mit Cyberpolicen auf. Doch auch die Liste der deutschen Versicherungsunternehmen, die nunmehr auch Cyberversicherungen anbieten, wird stetig länger. Während es 2014 gerade einmal vier Anbieter auf dem deutschen Markt gab, ist die Zahl inzwischen auf über 40 gestiegen.
Bei Cyberpolicen handelt es sich typischerweise um ein „Versicherungspaket“ – bestehend aus klassischen Versicherungsbestandteilen, die etwa Eigen- und Drittschäden des Versicherungsnehmers im Zusammenhang mit einem IT-Sicherheitsvorfall abdecken. Ergänzt wird dieser Kern einer Cyberpolice typischerweise um sogenannte Assistanceleistungen.
Inhaltlich unterscheiden sich die Bedingungswerke der Versicherer sehr: Der Versicherungsumfang wird üblicherweise individuell vom Versicherer mit dem Kunden ausgehandelt, sodass es keine „üblichen“ Konditionen gibt. Zwar hat der Gesamtverband der deutschen Versicherungswirtschaft e. V. (GDV), der nach eigener Aussage die zentrale Dachorganisation der privaten Versicherer in Deutschland ist und die Interessen von aktuell 460 Mitgliedsunternehmen vertritt, seit 2017 unverbindliche Musterbedingungen für Cyberversicherungen (AVB Cyber) veröffentlicht [2]. Diese haben sich bislang aber noch nicht als Standard auf dem Markt etabliert – die Versicherer gehen vielmehr ihren „eigenen Weg“.
Zumindest aber solche IT-Schadensfälle, die als Folge eines Cyberangriffs typischerweise anfallen, werden üblicherweise in Cyberversicherungen übernommen. Zu nennen sind hier als Beispiel Datenrechtsverletzungen, bei denen vertrauliche Informationen, wie Firmen-, Rechnungs- oder Mitarbeiterdaten, ausgespäht wurden, oder als Beispiel für Assistanceleistungen die Wiederherstellung und Reparatur von IT-Systemen oder die Deckung der Kosten von IT-Forensikern, die einen Schadensfall untersuchen.
Trotz der sehr unterschiedlichen Ausgestaltung der Cyberpolicen in der Praxis gibt es einzelne Regelungsgegenstände, die man in jedem Cyberversicherungsvertrag findet. Im Folgenden werden zwei Punkte dargestellt, die es im Rahmen des Abschlusses eines Cyberversicherungsvertrags besonders zu beachten gilt.
Versicherungsumfang
Die Reichweite des Versicherungsschutzes hängt zunächst davon ab, welche „Teile“ der IT des Versicherungsnehmers nach der Übereinkunft der Vertragsparteien als versichert gelten. In den heute üblichen komplexen IT-Landschaften werden immer weniger IT-Services auf eigenen Servern und Endgeräten selbst betrieben und immer mehr Applikationen von Drittanbietern über die Cloud bereitgestellt (Software as a Service, SaaS). Von typischen Office-Programmen (z. B. Microsoft Office 365) bis hin zu spezifischer Verwaltungssoftware (z. B. dem regionalen „Kita-Navigator“) laufen heute viele Applikationen nicht auf den Servern einer Kommune oder eines Unternehmens, sondern in der Cloud eines Rechenzentrums oder eines nationalen oder internationalen Cloud-Anbieters.
Verfügt der Dienstleister selbst über eine Cyberpolice, ist es eventuell nicht sinnvoll, solche Bestandteile der IT „doppelt“ zu versichern. Es ist in einem solchen Fall kostengünstiger, mit dem Dienstleister die Aufrechterhaltung eines Cyberversicherungsschutzes nach bestimmten Kriterien vertraglich zu vereinbaren.
Die Reichweite des Versicherungsschutzes hängt auch von der konkreten Definition des Versicherungsfalls ab: Damit eine Versicherung in einem Schadensfall greift und das Versicherungsunternehmen zur Zahlung der Versicherungssumme verpflichtet wird, bedarf es eines vertraglich festgesetzten „Auslösers“. Dieser wird in jedem Versicherungsvertrag geregelt und ist somit auch für jede Cyberversicherung individuell zu bestimmen. Möglich sind hier sowohl generell-abstrakte Definitionen, als auch konkret aufgelistete Szenarien. In der Praxis wird das versicherte Risiko in den meisten Fällen mittels eines kombinierten Ansatzes definiert.
Typische Ausschlüsse
Auch Cyberversicherungsverträge enthalten in der Regel typische Ausschlussklauseln, bei deren Greifen die (eigentlich bestehende) Versicherungspflicht des Versicherungsgebers ausnahmsweise nicht greift. Diskutiert wird beispielsweise ein Ausschluss von Versicherungsfällen oder Schäden, die sich aufgrund des Ausfalls einer Infrastruktur ergeben haben. Wenn etwa ein regionaler Stromanbieter oder Stromnetzbetreiber durch einen Hacking-Angriff eine Vielzahl von Kunden nicht mehr beliefern kann, können erhebliche Schadensersatzforderungen entstehen, für welche die Cyberversicherung einspringen müsste. Solche Risiken versuchen Versicherungsunternehmen zum Beispiel durch Haftungshöchstgrenzen zu beschränken.
Den für Versicherungsnehmer wohl wichtigsten Ausschlussgrund stellen hingegen Obliegenheitsverletzungen dar – hier ist die anzutreffende Bandbreite in der Praxis besonders groß. Während es einerseits Verträge gibt, die noch nicht einmal verlangen, dass der Versicherungsnehmer eine IT-Sicherheit nach dem „Stand der Technik“ unterhält, verlangen andere explizit die Aufrechterhaltung bestimmter Zertifizierungen.
Risikobewertung
Bevor eine Cyberversicherung abgeschlossen wird, führt der Versicherungsgeber in der Regel eine eigene Risikoerhebung und -bewertung durch, in welcher der Stand der Daten- und IT-Sicherheit des Versicherungsnehmers analysiert wird, um das zu versichernde Risiko abzuschätzen zu können.
Die Durchführung dieser Risikobewertung wird wiederum sehr unterschiedlich gehandhabt. Einige Anbieter von Cyberpolicen verfügen über kompetente IT-Forensiker, welche die Risikobewertung durchführen, während andere Anbieter lediglich eine „Selbsterhebung“ des potenziellen Kunden durch einen Fragebogen durchführen. Seit Ende 2019 gibt es hierzu auch einen „unverbindlichen Muster-Fragebogen“ zur Risikoerfassung im Rahmen von Cyberversicherungen für kleine und mittelständische Unternehmen (KMU) von der GDV [3].
Teilweise wird auch ganz auf eine Bewertung verzichtet, was freilich nur zu einer groben Einstufung und ungenauen Kategorisierung des Risikos führt. Zumal überdies häufig das Problem besteht, dass ein Versicherungsnehmer das eigene „Cyberrisiko“ nur unzureichend einschätzen kann.
Nutzung von Sicherheitszertifikaten
In der Praxis wird in vielen Cyberversicherungsverträgen der Versicherungsschutz in einem IT-Sicherheitsfall ausgeschlossen, wenn der Versicherungsnehmer nicht den vertraglich vorausgesetzten Stand der Daten- und IT-Sicherheit aufrechterhält. Problematisch ist allerdings die Definition dieses Niveaus! Die einzelnen (stark uneinheitlichen) Klauselwerke der Versicherungsunternehmen nutzen dazu häufig unbestimmte Formulierungen wie „Stand der Technik“ oder „übliche Sicherheitsmaßnahmen“ ohne diese zu erläutern.
Das kann zu einem Problem für den Versicherungsnehmer führen: Wegen des unbestimmten Sicherheitsniveaus kann er sich – gerade vor dem Hintergrund der sich im ständigen Fluss befindlichen IT-Sicherheitsstandards – kaum sicher sein, das eigene Sicherheitsniveau auf dem „Stand der Technik“ zu halten.
Kommt es zu einem Versicherungsfall, wird der Versicherer mithilfe eines IT-Forensikers regelmäßig nicht nur die Schadenbeseitigungsmöglichkeiten, sondern auch die Schadenursache untersuchen. Wie die – noch sehr vereinzelt – von Versicherern hierzu vorgelegten Gutachten zeigen, findet man dabei regelmäßig auch Schwachstellen in der IT des Versicherungsnehmers. Es ist dann fraglich, ob die Obliegenheit der Einrichtung einer IT-Sicherheit nach dem Stand der Technik erfüllt wurde – dies wird im Zweifel ein Richter (mithilfe von Gutachtern) in einem Prozess klären müssen.
Ob der Versicherungsnehmer wirklich über einen effektiven Versicherungsschutz verfügt, wird er daher häufig erst nachträglich im Schadensfall erfahren, was den Versicherungsschutz faktisch erheblich entwerten kann.
Die naheliegende Lösung für dieses wechselseitige Problem ist die Verpflichtung zur Einhaltung eines bestimmten Standards und eventuell sogar die Zertifizierung der Einhaltung dieses Standards durch einen neutralen Dritten. Verständigen sich Versicherungsnehmer und Versicherungsgeber auf die Einhaltung eines konkreten Standards, stellt dies zum einen zugunsten des Versicherers sicher, dass ein stetiger Verbesserungsprozess und zumindest die Umsetzung der am dringendsten gebotenen Sicherheitsmaßnahmen angestoßen werden. Zum anderen kann sich der Versicherungsnehmer durch die Orientierung an einem Standard oder durch Aufrechterhaltung einer entsprechenden Zertifizierung auch selbst wesentlich sicherer sein, dass er im Schadenfall auch tatsächlich Versicherungsschutz genießt.
Fazit
Aus kriminologischer Perspektive ist davon auszugehen, dass Cyberkriminalität stetig zunehmen wird. Dafür spricht, dass die Deliktsbereiche hinsichtlich Cybercrime an sich keine neuartigen Phänomene sind, sondern mit klassischen Eigentums- und Erpressungsdelikten sowie Vandalismus korrespondieren, die zur Massenkriminalität gehören. Die Motivation hinter den Taten ist demnach meist nicht spezifisch, sondern vor allem durch finanzielle Interessen sowie dem Bedürfnis nach Machtdemonstration geprägt. Demnach liegt ein großer (potenzieller) Täterkreis vor, der zur Tatbegehung nicht über besondere IT-Kenntnisse verfügen muss (Stichwort: Crime as a Service).
Cyberversicherungen könnten demnach eine Möglichkeit sein, dieses Risiko abzusichern. Derzeit machen hiervon jedoch nur wenige Unternehmen Gebrauch. In der eingangs genannten Untersuchung gaben lediglich 17,9 % an, dass ihr Unternehmen bereits über eine Cyberversicherung verfügte – wobei 19,9% der Unternehmensvertreter hierzu keine Angabe machen konnten. Dabei sind große Unternehmen ab 500 Mitarbeitern mit 27,1 % eher versichert als kleine Unternehmen mit 10–49 (17,3 %) oder 50–99 Mitarbeitern (17,8 %).
Etwas verbreiteter waren Spezialversicherungen hinsichtlich von IT-Risiken (z. B. Datenlöschung/-diebstahl, Betriebsunterbrechung durch Malware/Angriffe, Imageschäden, Spionage o. Ä.) bei den Teilnehmern der letzten <kes>/Microsoft-Sicherheitsstudie von 2018: Etwa 35 % der Stichprobe besaßen eine solche Police. Dabei musste übrigens etwa jede siebte für den Abschluss mindestens einer Versicherung ein Audit zur InformationsSicherheit durchlaufen oder ein anerkanntes Zertifikat vorlegen – jede fünfte Organisation erhielt für solche Maßnahmen günstigere Konditionen bei mindestens einem ihrer Verträge.
Neben den im vorliegenden Beitrag genannten Herausforderungen, eine Versicherungspolice abzuschließen, die im Ernstfall auch tatsächlich greift, werden Erfahrungen aus der Praxis in Zukunft erst noch zeigen müssen, wie sich Cyberversicherungen sowohl für den Versicherungsnehmer als auch für den Versicherungsgeber zufriedenstellend ausgestalten lassen, um dann eines Tages standardisierte Klauseln und Policen zur Auswahl zu haben.
Dr. Lutz Martin Keppeler ist Fachanwalt für Informationstechnologierecht und Partner der Kanzlei Heuking Kühn Lüer Wojtek. Prof. Dr. Gina Rosa Wollinger ist Professorin für Soziologie und Kriminologie an der Hochschule für Polizei und öffentliche Verwaltung NRW.
Literatur
[1] Arne Dreißigacker, Bennet von Skarczinski, Gina Rosa Wollinger, Cyberangriffe gegen Unternehmen in Deutschland, Ergebnisse einer repräsentativen Unternehmensbefragung 2018/2019, Forschungsbericht 152 des Kriminologischen Forschungsinstitut Niedersachsen e. V., Februar 2020, https://kfn.de/wp-content/uploadsForschungsberichte/FB_152.pdf
[2] Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV), Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber), Musterbedingungen des GDV, April 2017, www.gdv.de/resource/blob/6100/d4c013232e8b0a5722b7655b8c0cc207/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung–avb-cyber–data.pdf
[3] Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV), Unverbindlicher Muster-Fragebogen zur Risikoerfassung im Rahmen von Cyber-Versicherungen für kleine und mittelständische Unternehmen, Dezember 2019, www.gdv.de/resource/blob/6102/aa4b9afe6fa3e23c51c598bd23194ba1/02-risikofragebogencyber-data.pdf
[4] Gina Rosa Wollinger und Anna Schulze (Hrsg.), Handbuch Cybersecurity für die öffentliche Verwaltung, Oktober 2020, Kommunal- und Schul-Verlag (KSV), ISBN 978-3-8293-1606-4 bzw. 978-3-8293-1633-0 (E-Book), www.ksv-medien.de/suche/do/search/?searchstring=cybersecurity