Subjektive Risikobegrenzung: 6 von 13 betrachteten Bedingungswerken bestimmen keine Verhaltensregeln bei der Datensicherung für Versicherungsnehmer.
Subjektive Risikobegrenzung: 6 von 13 betrachteten Bedingungswerken bestimmen keine Verhaltensregeln bei der Datensicherung für Versicherungsnehmer.Quelle: Fotolia
Erschienen in Ausgabe 1-2018Märkte & Vertrieb

Auf dem Stand der Technik

Ein Marktüberblick zu den Sicherheitsobliegenheiten in der Cyber-Versicherung

Von Prof. Dr. Dirk-Carsten Günther und Nazan IderVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.

Im April 2017 veröffentlichte der GDV Musterbedingungen zur Cyberversicherung. Zielgruppe sind Unternehmen mit einem Umsatz bis 50 Mio. Euro. Diese Musterbedingungen sind der Ausgangspunkt für einen Vergleich der gegenwärtig noch heterogenen Bedingungswerke auf dem Markt. Der Vergleich ist beschränkt auf eine der wichtigsten Regelungen in einer Cyber-Versicherung - und zwar die vor Eintritt des Versicherungsfalls durch den Versicherungsnehmer zu erfüllenden Sicherheitsobliegenheiten i.S.d. § 28 Abs. 1 VVG.

Grundsätzlich können die Obliegenheiten in die Kategorien Datensicherung, Zugriffssicherung, aktuellen technischen Stand der Systeme, Schutz gegen Schadsoftware und weitere Obliegenheiten unterteilt werden.

Während der GDV vorgibt, mindestens einen wöchentlichen Sicherungsprozess durchzuführen, gibt es innerhalb dieses Vergleichs nur zwei Versicherer, die ebenfalls diese Vorgabe machen. Andere Wordings sehen eine tägliche Datensicherung vor. Zu beachten, dass der zeitliche Intervall, in dem die Datensicherungen durchgeführt werden sollten, sich nach dem Unternehmens  zu richten. Die Obliegenheit ist entsprechend anzupassen.

Des Weiteren sehen die GDV-Musterbedingungen und auch die Bedingungen verschiedener Versicherer vor, die Datensicherungsmedien physisch von den gesicherten Systemen zu trennen. Sind Backup-Systeme mit ihren Zielsystemen verbunden, können sie möglicherweise nachträglich vom betroffenen System verändert werden und es besteht die Gefahr, dass sie bei einem Angriff ebenfalls zu Schaden kommen.

Hindernis für den Hacker

Auf erste Sicht ist erstaunlich, dass 6 von den 13 betrachteten Bedingungswerken keine Obliegenheiten oder Verhaltensregeln für den Versicherungsnehmer für dessen Datensicherung bestimmen, was gerade bei einem Kumulereignis enorme negative Auswirkungen für diese Cyber-Versicherer haben kann, da dann nur noch die allgemeinen subjektiven Risikobegrenzungen mit ihren hohen Nachweisanforderungen - insb. §§ 23, 26 VVG (Gefahrerhöhung), § 81 Abs. Abs. 2 VVG (grob fahrlässige Herbeiführung des Versicherungsfalls), § 82 VVG (Verletzung der Schadenminderungsobliegenheit) zurückgegriffen werden kann. 

„Etwa die Hälfte der betrachteten Versicherer formuliert keine Obliegenheit zur Zugangssicherung, was sich aus geringen Entschädigungslimits oder veralteten Wordings erklären dürfte."

Die Obliegenheiten zur Zugriffssicherung sehen laut GDV-Empfehlungen Maßnahmen zur Sicherung der Zugänge zu betrieblichen Daten, Programmen und Systemen vor…