Der Markt um die Cyberversicherungen ist aktuell stark in Bewegung und nimmt mit immer neuen Produkten Schwung auf. Das einstige Nischenprodukt Cyberversicherung schickt sich an, ein Standardprodukt zu werden.

Cyberprodukte gehören für Versicherer und Versicherungsmakler daher heute zum Pflichtrepertoire. Mit zunehmender Schadenerfahrung werden die Versicherer, die derzeit noch mit zahlreichen neuen Konzepten auf den sich stark entwickelnden Markt drängen, Risiken nur noch selektiver zeichnen und höhere Prämien verlangen. Auch im Hinblick auf das voraussichtlich steigende Prämienniveau sollte der Abschluss einer Cyberversicherung daher auf die Agenda der Unternehmensleiter gesetzt werden.

In der komplexen IT-Landschaft vieler Unternehmen kann jedoch nur dann ein guter Rückhalt und schnelle Hilfe im Schadensfall gewährleistet werden, wenn Versicherer und Versicherungsberater die Herausforderungen und Möglichkeiten gut kennen.

Essenzieller Schutz für intern und extern

Mit der Digitalisierung und der zunehmenden Vernetzung spielen Cyberversicherungen eine immer wichtigere Rolle. Ist das Computersystem mit samt Kundendaten einmal gehackt oder wurde die Internetplattform eines Unternehmens lahmgelegt, ist der Schaden schnell sehr groß und teilweise existenzgefährdend.

Gelingt es Kriminellen beispielsweise, Zugang zur IT zu erlangen und Daten eines Unternehmens zu erbeuten, kann eine vorab abgeschlossene Cyberversicherung Unternehmen erheblich unterstützen: Im Fall der Fälle gleicht die Versicherung nicht nur den entstandenen finanziellen Schaden aus, sondern stellt dem Geschädigten einen Dienstleister zur Seite, wenn es darum geht, Daten zu retten oder das IT-System wieder in Betrieb zu nehmen. Auch wenn es zu behördlichen Ermittlungen kommt, bietet die Versicherung – je nach Vertrag – Rechtsschutz und deckt sogar Schäden, die durch eigene Mitarbeiter verursacht wurden. Ein Schutz, der also nicht nur externe, sondern auch interne Risiken auffängt.

Herausforderungen auf beiden Seiten

So umfassend der Schutz, so groß sind auch die Herausforderungen vor denen Versicherer, Makler und Unternehmen aktuell stehen. Der hohe Beratungsbedarf ergibt sich insbesondere auch daraus, dass es bisher keine Standardbedingungen gibt. Die Marktsituation ist vielmehr noch unübersichtlich, was die genaue Analyse von Bedarf, Risiken und Deckungskonzepten erfordert:

• Risikoanalyse: Für Unternehmen lohnt es sich, ihr individuelles Risiko im Vorfeld genau zu analysieren, um Deckungsumfang und Deckungssumme bestimmen und anschließend die Versicherungsangebote vergleichen zu können. Für Makler ist die Risikoanalyse Primärpflicht und zugleich Beratungsgrundlage. Ein passgenaues Angebot, das individuell auf die jeweiligen Anforderungen zugeschnitten werden kann, ist ein deutlicher Wettbewerbsvorteil. Eine Verkennung des Bedarfes kann umgekehrt zur Haftung des Versicherungsmaklers führen.

• Spartenübergreifende Deckungsbausteine: Verschiedene Deckungsbausteine fallen in verschiedene Sparten, was zu zusätzlichem Prüfungsbedarf führt. Nicht jeder Versicherer besitzt die Genehmigung für jede Sparte und kann also möglicherweise keinen Rundum-Schutz anbieten.

• Engpässen bei der Assistance-Leistung vorbeugen: Zentrale Leistung des Versicherers ist die Gewährung von Assistance-Leistungen, um die schadenbetroffenen IT-Systeme samt der dort gespeicherten Daten möglichst rasch wieder zu sichern. Da bei groß angelegten Attacken zahlreiche Unternehmen in enger zeitlicher Abfolge betroffen sind, ist es wichtig, bereits vor einer Schadenwelle die nötigen Geschäftsbeziehungen mit dem Dienstleister geregelt zu haben. Die IT-Spezialisten sollten bereits vor einem Schadenfall die maßgeblichen IT-Systeme kennen, um bei Bedarf schnell eingreifen zu können. Wer hingegen bei einer rollenden Schadenwelle erst auf die Suche nach einem tauglichen Dienstleister geht, darf sich hinten anstellen.
• Zertifizierung: Wenn Mindestkriterien zum vorausgesetzten Sicherheitsniveau des IT-Systems nicht genau definiert sind („Stand der Technik“), wird dies im Schadenfall schnell zum Streitpunkt. Daher sollten Unternehmen das eigene System durch Drittanbieter zertifizieren lassen und die regelmäßige Erneuerung des Zertifikates als abschließende Voraussetzung definieren. Nur so ist beiden Seiten eine verlässliche Grundlage garantiert.

Beachten Makler und Unternehmen diese Besonderheiten, so kann im Schadensfall schnell gehandelt werden.

Versicherung mit Potenzial

Dass die Cyberversicherung längst nicht mehr nur den Platz in der Nische hat, zeigen auch die rechtlichen Fortschritte beim Thema IT-Sicherheit. Zwar gibt es bereits außergesetzliche Regelungen, wie etwa die Normreihe ISO2700 oder den Grundschutz des Bundesamts für Sicherheit in der Informationstechnik. Aktuell belegt zudem die europäische Verordnung zum IT-Sicherheitsgesetz mit ersten detaillierten Regelungen die Wichtigkeit dieses Themas und damit – indirekt – auch das Potential der Cyberversicherung.

Über die Autoren:

Lutz Martin Keppeler ist Fachanwalt für Informationstechnologierecht und Spezialist für IT-Sicherheitsrecht und Datenschutz der Sozietät Heuking Kühn Lüer Wojtek.

Stefan Jöster ist Fachanwalt für Versicherungsrecht sowie Spezialist für Cyber-Versicherungen der Sozietät Heuking Kühn Lüer Wojtek.