Cyber-Versicherungen werden immer relevanter

Veröffentlicht mit Genehmigung der Redaktion. Dieser Artikel wurde erstmals veröffentlicht in versicherungsmagazin, Ausgabe 4/2024. Autor Udo Pickartz, Simmons & Simmons LLP.

Viele Unternehmen in Deutschland sind von Cyber-Attacken betroffen. Durch die größere Verbreitung von KI könnte die Gefahr solcher Angriffe sogar noch steigen. Die Bedingungen von Cyber-Versicherungen variieren jedoch erheblich.

58 Prozent: So hoch ist der Anteil der Unternehmen in Deutschland, die gemäß einer Umfrage des Versicherers Hiscox im Jahr 2023 Opfer einer Cyber-Attacke geworden sind. Dies waren zwölf Prozent mehr als im Vorjahr – Tendenz steigend. Die Absicherung gegen solche Angriffe wird daher für Unternehmen immer wichtiger. Denn nicht nur Cyber-Angriffe nehmen zu, auch die Methoden werden vor allem durch die Nutzung von Künstlicher Intelligenz (KI) immer ausgefeilter. Vor diesem Hintergrund rückt die Frage einer direkten oder indirekten Cyber-Versicherung für Unternehmen stärker in den Fokus. Für die Versicherungsbranche liegen hier große Potenziale – zum einen für Versicherer bei der Produktgestaltung, zum anderen für Vermittler in der Beratung. Dabei gilt es, auch die versicherungsrechtliche Perspektive zu berücksichtigen.

Direkte und indirekte Cyber-Versicherungen

Viele Unternehmen haben seit Jahren Policen abgeschlossen, die ihre (technischen) Einrichtungen vor Schäden schützen. Klassischerweise sind dies Sachversicherungen, aber auch so genannte technische Versicherungen oder spezielle Elektronikversicherungen.
Auch wenn diese oft als Allgefahrenversicherung ausgeführt werden und somit einen weiteren Deckungsumfang aufweisen als zum Beispiel eine Feueroder Sachversicherung, die nur bei Schäden aus bestimmten und vordefinierten Anlässen zahlt, so sind in der Regel Cyber-Angriffe nicht (vollständig) versichert. Eine klare Abgrenzung gibt es oft nicht, auch wenn sich große Versicherungsmärkte wie zum Beispiel Lloyd‘s of London für mehr Klarheit einsetzen und ihre Syndikate und damit die Versicherer aufgefordert haben, klar zu definieren, ob das Thema Cyber-Sicherheit abgedeckt ist oder nicht. Organisationen, die auf Nummer sicher gehen wollen, benötigen eine direkte oder reine Cyber-Versicherung, deren Versicherungsumfang Cyber-Kriminalität sicher abdeckt. Doch auch dort drohen Abstimmungsprobleme und Fallstricke.

Die Bedingungswerke der Cyber-Versicherungen variieren erheblich. Einige Anbieter schränken den Versicherungsgegenstand bereits bei der Beschreibung direkt wieder ein und bedienen sich zum Teil versteckter Ausschlüsse. Andere nutzen einen Definitionsteil und grenzen den Deckungsumfang insbesondere von anderen Versicherungen wie der technischen Versicherung oder „Kidnap & Ransom“ ab. Eine Abgrenzung ist sinnvoll, da Doppelversicherungen im Schadensfall ähnlich problematisch sein können wie eine echte Deckungslücke. Vorzuziehen wäre – auch im Hinblick auf die Beweislast im Schadensfall oder vor Gericht – eine Einschränkung des Deckungsschutzes im Bereich der Ausschlüsse. Deckt der Versicherer beispielsweise nur Schäden durch „zielgerichtete Angriffe Dritter“ ab, bleiben wichtige Fragen offen. Weitere Fragen sind: Umfasst der Versicherungsschutz auch Schäden, die durch Schadsoftware entstehen und damit nicht nur zielgerichtet gegen das versicherte Unternehmen gerichtet sind, sondern oft gegen eine Vielzahl von Systemen und Unternehmen gleichzeitig? Wie ist das fahrlässige Fehlverhalten von eigenen Mitarbeitern einzuschätzen? Kann ein Mitarbeiter „Dritter“ im Sinne der Versicherungsbedingungen sein?

Cyber-Policen enthalten oft Auschlüsse für Programmierfehler. In diesem Fall besteht kein Versicherungsschutz, wenn etwa Entwicklungsfehler eines Programms bei der Anwendung auftreten und einen Systemausfall verursachen. Hier wäre dann die Lücke durch eine Elektronikversicherung zu schließen.

Ebenfalls ausgeschlossen sind regelmäßig Schäden, die darauf beruhen, dass Programme nicht auf dem „aktuellen Stand der Technik“ sind. Wie schon in der Produkthaftpflichtversicherung ist auch für den Bereich der Cyber-Deckungen nicht geklärt, was unter dem Begriff „Stand der Technik“ zu verstehen ist – gerade in Bezug auf die sich ständig ändernden IT-Sicherheitsanforderungen. In der Praxis – und möglicherweise auch vertraglich – erfordert dieser Ausschluss daher, dass der Versicherungsnehmer aktuelle Sicherheitssoftware verwendet (Firewall, Antivirensoftware) und erkannte Sicherheitslücken in verwendeten Programmen über Updates oder „Patches“ schließt.

So genannte Abstimmungsvorbehalte, die in einigen Bedingungswerken vorgeschrieben sind, können Schwierigkeiten in der Schadensregulierung verursachen. Das betroffene Unternehmen muss dabei mit dem Versicherer die von ihm beabsichtigten Maßnahmen im Vorfeld abstimmen, damit die Kosten später übernommen werden. Dies macht Sinn bei der Einschaltung von IT-Forensikern zwecks Schadensermittlung. Leider entstehen hier in der Praxis oft Probleme, da der Versicherungsnehmer gerne auf eigene oder bekannte externe Ressourcen bei der Schadensminderung zurückgreift, ohne dies mit dem Versicherer abzustimmen.

Cyber-Versicherungen und VVG verbesserungswürdig

Eine wesentliche rechtliche Frage ist auch, wie die Cyber-Versicherung zu den Regelungen des Versicherungsvertragsgesetzes (VVG) passt. Die Schadensregulierung in der Cyber-Versicherung betritt nicht nur bei den verwendeten Begrifflichkeiten und technischen Definitionen Neuland. Auch muss vielfach noch geklärt werden, wie die Regelungen des VVG auf diese Versicherung, die Risiken in den unterschiedlichsten Bereichen von Organisationen abdeckt, übertragen werden können. Das bisherige Verständnis von vorvertraglichen Anzeigepflichten und Gefahrerhöhungen oder auch von Auskunftspflichten muss gegebenenfalls vom Gesetzgeber angepasst werden. Oft ist es obligatorisch, vor einem Vertragsabschluss technische Fragebögen auszufüllen. Gerne werden auch Risikodialoge geführt, um das technische Risiko besser zu verstehen. Noch ist aber nicht klar, wie sich derartige Pflichten und Dialoge rechtssicher in das Geflecht der vorvertraglichen Anzeigepflichten einbinden lassen. Weitere Unsicherheiten entstehen durch die Entwicklungen von KI. Die Eropäische Union (EU) hat mit dem AI Act das weltweit erste Gesetz zur Regulierung von KI verabschiedet. Ziel der EU ist es, einen Rechtsrahmen vorzugeben, um die EU-Bürgerinnen und -Bürger zu schützen. Zudem sollen die Möglichkeiten von KI in den Mitgliedstaaten der EU genutzt werden können. Diese Anforderungen spiegeln sich auch im Bereich von Cyber-Angriffen und deren Absicherung wider. Dabei spielen eben nicht nur Schutzmaßnahmen für Hard- und Software, sondern auch Cyber-Versicherungen eine tragende Rolle. Diese sollen die finanziellen Konsequenzen von Cyber-Angriffen übernehmen oder zumindest abmildern. Cyber-Kriminelle nutzen KI gezielt für Angriffe, etwa indem sie schädliche E-Mails (so genannte Spear-Phishing-Mails) generieren, die Spamfilter durchbrechen. Die Nutzung von ChatGPT kann die Gefahren von Cyber-Kriminalität auf ein neues Level heben, was wiederum Konsequenzen für Cyber-Versicherungen hätte.

Weitere Maßnahmen mit der Cyberversicherung kombinieren

Insgesamt sind Cyber-Angriffe von gesteigerter Professionalität, Geschwindigkeit und wachsender Anzahl geprägt. Kriminellen finden wertvolle Informationen über ihre Opfer immer schneller, Angriffe lassen sich immer kostengünstiger durchführen und Bots programmieren, wobei diese auch an die Security-Systeme der Firmen angepasst werden. Mit Deep-Fake-Technologien wie Voice-Cloning oder automatisiertem Password-Guessing zielen Kriminelle immer häufiger auf wertvolle Daten.
Eine Versicherung muss daher so speziell und dabei umfassend wie möglich sein. Für Organisationen stellt sich die Frage, ob alle betreffenden Bereiche mitversichert sind. Auch geht es um die Reichweite von Ausschlüssen in Fällen, in denen zum Beispiel Mitverschulden von Mitarbeitenden eine Rolle spielt. Zahlreiche Terminologien und Klauseln sind bisher jedoch noch unbestimmt und auslegungsbedürftig.

Vor allem beim Thema KI bleiben derzeit noch Unsicherheiten. Es könnte aber gut sein, dass Versicherer etwa Prämien für ihre Policen danach bestimmen, wie risikobehaftet ein Unternehmen selbst ist – also zum Beispiel wie viel KI es einsetzt oder wie es seine IT gegen den Einsatz von Schad-KI abgesichert hat. Präventiv wird es für Unternehmen darauf ankommen, verschiedene Maßnahmen zu kombinieren: Aufklärungsarbeit zur Reduzierung der Risiken durch menschliche Einfallstore, innovative Lösungen und Präventionsmaßnahmen aufseiten der Technik sowie eine ausreichende Schadensabsicherung.

Auch wenn es bei der Cyber-Versicherung noch offene Fragen gibt: Um sich gegen finanzielle Auswirkungen und Belastungen, die ein Cyber-Angriff nach sich ziehen kann, zu schützen, führt kein Weg an einer passenden Versicherung vorbei. Versicherer müssen mehr denn je sicherstellen, dass sie die dynamischen Entwicklungen in ihren Vertragswerken abbilden. Vermittler wiederum können sich gerade vor dem Hintergrund dieser Dynamiken als fundierte Experten rund um Cyber-Risiken positionieren.