39 Millionen US-Dollar – das war die gesamte Schadenssumme, die deutsche Unternehmen im Jahr 2014 verbuchen mussten. Fünf Jahre später sind es schon 88 Millionen – die Kosten haben sich mehr als verdoppelt. Daher ist es kein Wunder, dass immer mehr Firmenlenker auf eine Cyberversicherung zurückgreifen, die Schäden durch Cyberkriminalität abdeckt. Verschiedenste Anbieter unterstützen Unternehmen bei Problemen im Internethandel, bei Daten- und Identitätsdiebstahl, bei Rufschädigung oder Virenangriffen. Wird ein Unternehmen Opfer eines solchen Angriffs, deckt die Versicherung die finanziellen Schäden ab und zahlt – je nach Police – die unter Umständen sehr hohen Summen an den Versicherungsnehmer.
Versicherungspolicen meist nicht einheitlich
Mittlerweile haben die Versicherungen allerdings festgestellt, dass ihre Policen für sie selbst große Kostenrisiken bergen. Während sich bei Brandschutz- oder Kfz-Versicherungen sehr präzise kalkulieren lässt, wie häufig eine Lagerhalle niederbrennt oder sich ein Verkehrsunfall ereignet, lassen sich Vorkommen und Kosten eines Cyberangriffs auf die IT-Infrastruktur des versicherten Unternehmens kaum abschätzen. Das führte in der Vergangenheit dazu, dass die Versicherungsunternehmen immense Summen zahlen mussten.
Eine Folge ist, dass sich der Markt verschließt. Hohe Deckungssummen können häufig nur noch erzielt werden, wenn mehrere Versicherungen dahinterstehen. Zudem untersuchen die Versicherungen – statt grundsätzlich zu zahlen – die Fälle von Cyberproblemen im Detail. Hat ein Unternehmen alle Obliegenheiten eingehalten? Werden etwa alle Betriebssysteme im Unternehmen zeitnah mit einem Update versorgt? Erfüllt die IT-Sicherheit des Unternehmens den „Stand der Technik“? Wurde ein Information Security Management System (ISMS) implementiert und wie stand es vor dem Cybervorfall mit den Awarenessschulungen? Solche Fragen sind Ansätze für Versicherungen, um Zahlungen ganz oder teilweise aufgrund einer Mitschuld des Unternehmens zu verweigern.
Für Unternehmen ist es daher sinnvoll, gemeinsam mit einem Anwalt für IT-Sicherheit die Wahl der Policen zu überprüfen. Sind alle relevanten Schäden abgedeckt? Ergeben die Policen Sinn? Ist der gebotene Schutz eindeutig oder sind die gewählten Wordings unmissverständlich formuliert? Rechtsexperten können auf diese Fragen Antworten geben, da sie sich täglich mit den dynamischen und komplexen Entwicklungen im Bereich der Cyberversicherungs-Anbieter auseinandersetzen.
Denn die Konsequenzen eines unpassenden oder unzureichenden Versicherungsschutzes können verheerend sein. Einerseits droht der gesamten Infrastruktur der Zusammenbruch, andererseits kommen auf die verantwortlichen Personen – meistens der Geschäftsführer oder Bereichsleiter, in dem der Vorfall passiert – zivilrechtliche Regressansprüche zu, wenn diese ihren Pflichten nicht nachgekommen sind.
Fachexpertise ist gefragt
Ist es zu einem Ausbruch gekommen, liefert die Versicherung je nach Police Unterstützung in verschiedenen Fachbereichen. Es geht um IT-Forensiker und Datenspezialisten, die sich die gestohlene Datenmenge anschauen und unter Hochdruck ermitteln, was noch zu retten ist. Auch Krisenkommunikatoren kommen ins Spiel, wenn sensible Daten von hoher Bedeutung oder Daten von sehr vielen Menschen auf einmal betroffen sind. Fordern Kriminelle Lösegeld, bedarf es eines Verhandlers mit Erfahrung und Geschick, um auch hier die Forderungen senken zu können. Mitunter benötigt das Unternehmen sehr kurzfristig sehr spezielle Expertise – etwa, wenn die Erpresser ein Lösegeld in einer Kryptowährung einfordern.
Datenschutz-Compliance ist wichtiger denn je
Unternehmen können auch trotz eines geeignetem Schutzes Bußgelder und Schadensersatzforderungen drohen. Denn das Thema Datenschutz spielt eine immer größere Rolle – und lässt sich häufig nur mit externer Hilfe effizient behandeln. Seit der Einführung der EU-weit einheitlichen Datenschutzrichtlinie DSGVO mehren sich die Bußgeldbescheide in den Briefkästen der von Cyberangriffen geplagten Firmen. So gilt es im Schadensfall, schnell zu reagieren: Unternehmen müssen eine Dokumentation der Datenschutz-Compliance vorweisen. Häufig ist es so, dass es zwar an irgendeiner Stelle im Unternehmen einen Datenschutzbeauftragten gibt – dieser aber entweder nicht zuständig für den betroffenen Unternehmensbereich ist oder unvollständig gearbeitet hat. Auch Schadensersatzforderungen, die die Unternehmen über Sammelklagen erreichen, können ebenfalls ein Loch in die Kasse schlagen.
Die Rechtsprechung der vergangenen Jahre hat gezeigt, dass insbesondere Leaks von Kundeninformationen wie E-Mail-Adressen und Passwörtern den Unternehmen teuer zu stehen kommen, wenn der Klage stattgegeben wird.
Es zeigt sich: Cyberangriffe können bei Unternehmen Millionenschäden verursachen – und sie in den finanziellen Ruin treiben. Cyberversicherungen sind ein entscheidendes Puzzleteil beim Schutz gegen solche Angriffe – doch es gilt, sie behutsam und mit Bedacht auszuwählen, denn mittlerweile zahlen die Versicherungen nicht mehr in jedem Schadensfall. Mit einem fachkundigen Partner an seiner Seite gelingt es, sich gegen die größten Risiken abzusichern und ein Fangnetz unter die Unternehmensinfrastruktur zu spannen. Kommt es dennoch zu einem kriminellen Vorfall, ist schnelles Handeln das A und O. Hier ist die Hilfe von Experten unabdingbar, um schnell die richtigen Schritte in die Wege zu leiten und den Schaden zu minimieren. So kommt man in den meisten Fällen mit einem Schrecken davon.
Lutz Martin Keppeler ist Fachanwalt für IT-Recht und Salaried Partner bei der Sozietät Heuking Kühn Lüer Wojtek.
