Erschienen in Ausgabe 9-2019Schlaglicht

Aufrüsten für den digitalen Ernstfall

Offene Fragen und Trends in der Schadensbearbeitung des Cybergeschäfts

Von Dr. Paul Malek und Amrei ZürnVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.

Cybergefahren stellen für Unternehmen und für Cyberversicherer ein schwer kalkulierbares Risiko dar. Aktuelle Fälle lassen das Ausmaß der wirtschaftlichen Risiken durch Cyberangriffe erkennen. Beispielsweise hat die britische Datenschutzaufsichtsbehörde im Fall von British Airways erst kürzlich das bisher höchste Bußgeld angekündigt. British Airways soll wegen rund 500.000 betroffener Kundendaten, welche die Täter über eine gehackte British Airways Website abgefangen haben, ein Bußgeld in Höhe von 1,5 Prozent des gesamten weltweit erzielten Jahresumsatzes zahlen, rund GBP 183 Mio. Die daneben entstandenen sonstigen Schäden für IT-Forensik, Datenschutzverfahren, Abwehr und Regulierung (individueller) zivilrechtlicher Ansprüche dürften ebenfalls enorm sein. Marktbekannt ist, dass Britisch Airways ein speziell auf Fluggesellschaften ausgerichtetes Cyberversicherungsprogramm unterhält.  Im Fall der US Bank Capital One wurde im Juli 2019 bekannt, dass personenbezogene Daten von rund 106 Mio. Personen aus den USA und Kanada durch einen unbefugten Zugriff auf die Cloud-Infrastruktur abgegriffen wurden. Angesichts eines Jahresumsatzes von EUR 28 Mrd. von Capital One dürfte ein etwaiges Bußgeld wohl ebenfalls nicht gering ausfallen.

Herausforderungen im Schadensfall

In der dargestellten wirtschaftlichen Risikolandschaft bewegen sich Cyberversicherer und Versicherungsnehmer, wenn es um die Versicherung von Cyberrisiken und deren Regulierung im Schadensfall geht. Dies muss zusätzlich vor dem Hintergrund gesehen werden, dass bei Cyberrisiken im Zeitpunkt der Schadensanzeige angesichts einer möglicherweise akuten IT-Sicherheitslücke und datenschutzrechtlicher/behördlicher Meldepflichten die Schadensentwicklung noch in vollem Gange sein kann. Ein schnelles Handeln ist dann gefordert, z.B. im Hinblick auf die Einschaltung von IT-Forensikern und die Einhaltung datenschutzrechtlicher Meldepflichten.
Zugleich kann aber im Zeitpunkt der Schadensanzeige gänzlich offen sein, ob der Vorfall überhaupt einen gedeckten Versicherungsfall darstellen könnte (oder jedenfalls "begründete Anhaltspunkte" für einen solchen vorliegen, die bei vielen Policen bereits den Versicherungsschutz für bestimmte Leistungen auslösen). Beispielsweise geht es um den Fall, dass der Versicherungsnehmer dem Versicherer "vorsorglich" anzeigt, dass er das Abhandenkommen von (unverschlüsselten) personenbezogenen Daten festgestellt hat, die genaue Ursache und das Ausmaß hierfür aber noch unbekannt ist.
Mit…