Home » Fachbeiträge » Security Management » So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe und die Versicherer: So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder enthalten versteckte Klauseln. Unser Autor zeigt die Fallstricke auf.

7 Min. Lesezeit
Digitales Schild
Foto: ©AdobeStock/Andrii

Hinweis: Dieser Artikel stammt aus der Ausgabe 5/2024 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Wird das Unternehmen Opfer eines Cyberangriffs, tritt der Versicherungsfall ein und die Firma erwartet den eingekauften Versicherungsschutz. Der Angriff ist aber gleichzeitig Anlass für den Cyberversicherer, die Risikovorsorge des Unternehmens umfassend zu prüfen – und bei Missständen die Versicherungsleistung zu kürzen. Doch worauf können Entscheider achten, damit es gar nicht erst so weit kommt?

Ablauf der Schadenregulierung

Die Schadenregulierung nach Cyberangriffen teilt sich in verschiedene Phasen auf:

Phase 1: Krisenmanagement

In der ersten Phase steht das Krisenmanagement im Vordergrund. Das Unternehmen versucht, das Ausmaß der Attacke zu erkennen und den womöglich noch andauernden Angriff zu stoppen, oft mithilfe externer Dienstleister. Danach stellt das Unternehmen seine Arbeitsfähigkeit wieder her.

Phase 2: Schadenbegutachtung

Spätestens mit Ende des akuten Krisenmanagements beginnt der Cyberversicherer mit der Erhebung des Schadensausmaßes und der Analyse der Ursachen für den erfolgreichen Cyberangriff. In dieser Phase verlangt der Versicherer meist umfassende Informationen und beauftragt Dritte mit der Begutachtung des Schadens und des Schadenhergangs.

Phase 3: Verhandlungen und Abschluss des Schadens

Hat der Versicherer seine Schadenbegutachtung abgeschlossen, beginnen in der Regel die Verhandlungen zwischen dem Unternehmen und seinem Cyberversicherer über den konkreten Umfang der Versicherungsleistung. An dieser Stelle machen viele Verantwortliche Fehler, die leicht vermeidbar wären.

Einwand 1: Verletzung der Anzeigeobliegenheit

Im Rahmen der Schadenregulierung prüfen die Cyberversicherer stets, ob das Unternehmen die vor Abschluss des Cyberversicherungsvertrages gestellten Fragen falsch beantwortet hat und der Cyberversicherer aufgrund einer solchen – vermeintlichen – Falschbeantwortung leistungsfrei ist.

Anzeigeobliegenheit – was bedeutet das?

Vor Abschluss eines Cyberversicherungsvertrags verlangt der Cyberversicherer meist die Beantwortung einer Vielzahl an Fragen, die dem Cyberversicherer die Risikobewertung ermöglichen sollen. Meist fragt der Versicherer beispielsweise ab, ob das Unternehmen regelmäßige Updates und Backups macht und welche anderweitigen Sicherheitsvorkehrungen (Firewalls, Multi-Faktor-Authentifizierung etc.) die Firma trifft.

Das Unternehmen ist dann gesetzlich verpflichtet (§ 19 Versicherungsvertragsgesetz VVG), die abgefragten bekannten und gefahrerheblichen Umstände dem Cyberversicherer mitzuteilen. Verletzt es diese sogenannte Anzeigeobliegenheit durch eine grob fahrlässige Falschbeantwortung, kann der Cyberversicherer vom Vertrag zurücktreten und die geschädigte Firma erhält keine Versicherungsleistung. Gerade diese erhebliche Rechtsfolge – keine Versicherungsleistung – erzeugt somit in Verhandlungen ein starkes Drohpotenzial.

Welche Argumente helfen im Streitfall?

Um zu überprüfen, ob das Unternehmen eine Frage nicht richtig beantwortet hat, vergleicht der Cyberversicherer die Ergebnisse des Forensikberichts mit den vor Vertragsschluss gegebenen Antworten und stellt weitergehende Nachfragen. Behauptet der Cyberversicherer daraufhin, dass das Unternehmen vor Vertragsschluss eine Frage falsch beantwortete, so gilt es, diese Behauptung zu widerlegen. Des Weiteren sollte die Firma überprüfen, ob der Cyberversicherer das Unternehmen hinreichend über die Rechtsfolgen einer Falschbeantwortung belehrt (nach § 19 Abs. 5 VVG) und die einmonatige Rücktrittsfrist (nach § 21 Abs. 1 VVG) eingehalten hat. Außerdem sollte das Unternehmen versuchen darzulegen, dass die behauptete Falschbeantwortung die Schadenregulierung des Cyberversicherers nicht beeinflusste (sogenannter „Kausalitätsgegenbeweis“).

Tipp: Fragen sorgfältig beantworten

Obwohl somit dem Unternehmen mehrere Verteidigungslinien gegen die vermeintliche Leistungsfreiheit des Cyberversicherers verbleiben, erzeugt oft schon die Drohung mit einem vollständigen Entfallen des Versicherungsschutzes erheblichen Druck. Entscheidungsträger sollten daher schon bei Abschluss eines Cyberversicherungsvertrags die Fragen des Cyberversicherers sorgfältig beantworten und damit das notwendige Risikobewusstsein an den Tag legen.

Ebenfalls sollten es Entscheider vermeiden, auf komplexe Fragen pauschal mit Nein oder Ja zu antworten. Solche absoluten Antworten auf nicht klar beantwortbare Fragen machen es dem Versicherer leicht, später eine Verletzung der Auskunftsobliegenheit einzuwenden. Ein Beispiel: Ein Unternehmen erhält vor Abschluss einer Cyberversicherungspolice einen Fragebogen des Versicherers. Eine Frage lautet, ob alle Unternehmens-Server mit aktuellen Betriebssystemen ausgestattet sind.

Das Unternehmen verfügt über fünf Server, von denen vier über die neueste Version des Betriebssystems verfügen. Auf dem fünften läuft ein Betriebssystem, das zwar mit einer älteren Version läuft, für das aber noch einige Monate Updates und Support vom Hersteller bereitgestellt werden. Kann das Unternehmen daher die Frage nach „aktuellen Betriebssystemen“ auf allen Servern mit „Ja“ beantworten? Die individuelle Risikosituation der Unternehmen ist oft komplexer, als die Fragen suggerieren.

In solchen Fällen empfiehlt es sich, die konkrete Situation mit den wichtigsten Details schriftlich zu erläutern, statt schlicht „Ja“ oder „Nein“ anzukreuzen. Gute Forensik kann den Versicherungsschutz retten Weiterhin ist entscheidend, dass der Forensikbericht möglichst präzise die Ursachen für den erfolgten Cyberangriff ermittelt. In einem vor dem Landgericht Tübingen verhandelten Streit zwischen einem angegriffenen Unternehmen und seinem Cyberversicherer konnte das Unternehmen mithilfe eines Forensikberichts darlegen, dass der Angriff auch erfolgreich gewesen wäre, wenn alle Updates rechtzeitig erfolgt wären. Somit war irrelevant, dass das Unternehmen Fragen zu Updates möglicherweise falsch beantwortet hatte (LG Tübingen, r+s 2023, 652).

Einwand 2: Obliegenheitsverletzung

Ein weiterer typischer Einwand der Cyberversicherer ist die Behauptung, das versicherte Unternehmen habe vertragliche IT-Obliegenheiten verletzt. Was ist eine IT-Obliegenheitsverletzung? Die meisten Cyberversicherungsverträge enthalten IT-bezogene Obliegenheiten und verpflichten das Unternehmen etwa, regelmäßig Backups durchzuführen oder Updates stets unverzüglich zu installieren. Verletzt das Unternehmen eine solche Obliegenheit grob fahrlässig, ist der Cyberversicherer zu einer quotalen Kürzung berechtigt (nach § 28 Abs. 2 VVG). Eine vorsätzliche Obliegenheitsverletzung führt gar dazu, dass das Unternehmen den Versicherungsschutz vollständig verliert.

Verteidigungslinien

Ist der Vorwurf des Versicherers technisch korrekt oder hat das Unternehmen die Obliegenheit doch erfüllt? Gab es vielleicht eine Vereinbarung mit dem Versicherer oder seinem Vertreter, dass andere als die im Vertrag genannten IT-Maßnahmen ebenfalls akzeptiert sind? Auch kann sich das Unternehmen damit verteidigen, dass kein Repräsentant (in den Versicherungsbedingungen aufgeführte Personen) grob fahrlässig die Obliegenheit verletzte oder sich die Obliegenheitsverletzung nicht auf die Schadenregulierung auswirkte.

Handlungsempfehlungen

Neben der auch hier zentralen Dokumentation des vorvertraglichen Austauschs mit dem Versicherer sollten die Unternehmen frühzeitig die Wirksamkeit relevanter Vertragsbedingungen durch in der Cyberversicherung erfahrene Rechtsexperten überprüfen lassen. Darüber hinaus ist es aber auch wichtig, mögliche andere Gründe für den erfolgreichen Cyberangriff zu finden und im Rahmen des Kausalitätsgegenbeweises vorzutragen.

Einwand 3: Grob fahrlässige Herbeiführung des Schadens

War ein Cyberangriff erfolgreich, so steht fest, dass die IT-Sicherheit nicht ausreichend war, um den Angriff zu verhindern. Diese Erkenntnis eines jeden erfolgreichen Angriffs nehmen Cyberversicherer teilweise zum Anlass, die Leistungen wegen einer vermeintlich grob fahrlässigen Herbeiführung des Schadens zu kürzen.

Die grob fahrlässige Schadenherbeiführung

Nach § 81 Abs. 2 VVG steht dem Cyberversicherer ein Leistungskürzungsrecht zu, wenn das Unternehmen den Schaden grob fahrlässig herbeiführte. Das Unternehmen kann den Schaden etwa dann aus Sicht des Versicherers grob fahrlässig herbeigeführt haben, wenn die Angreifer einen nicht über eine Multi-Faktor-Authentifizierung (MFA) gesicherten Zugang ausnutzten.

Verteidigungslinien

Das Unternehmen kann gegen eine solche Leistungskürzung des Versicherers einwenden, dass die Risikolage (etwa keine MFA) schon bei Vertragsschluss bestand und der Versicherer diese Risikolage hätte abfragen können. § 81 Abs. 2 VVG verpflichtet das Unternehmen nicht, die bei Vertragsschluss bestehende Risikolage zu verbessern (LG Tübingen, r+s 2023, 652).

Handlungsempfehlungen

Viele Versicherer verzichten bereits darauf, dem Versicherungsnehmer eine Herbeiführung des Versicherungsfalls nach § 81 Abs. 2 VVG vorzuwerfen. Ein solcher Verzicht muss schriftlich in den Versicherungsbedingungen festgehalten sein. Die entsprechende Klausel gilt seit Kurzem als Marktstandard. Versicherungsnehmer sollten also den Verzicht von ihrem Versicherer einfordern oder andernfalls nach Möglichkeit den Versicherer wechseln.

Einwand 4: Unzureichende Darlegung des Schadens

Selbst wenn der Cyberversicherer keine Leistungskürzungsrechte einwendet, besteht regelmäßig Streit über die Höhe der Wiederherstellungskosten und des Betriebsunterbrechungsschadens. Die Darlegung des Schadens Das Unternehmen muss den geltend gemachten Schaden darlegen und beweisen. Das ist in der Praxis oft schwierig, denn mitten im Cyberangriff hat das Unternehmen meist andere Prioritäten als eine genaue Dokumentation der Wiederherstellungskosten – noch dazu, wenn eine Arbeit auf den Systemen zeitweise nicht möglich ist. Kann das Unternehmen aber die konkrete Wiederherstellungsmaßnahme (etwa Überstunden) nicht nachweisen, muss der Cyberversicherer diese Wiederherstellungskosten auch nicht ersetzen.

Darüber hinaus ist die genaue Berechnung des erlittenen Betriebsunterbrechungsschadens meist umstritten. Die vom Cyberversicherer beauftragten Gutachter stehen nicht selten dem Cyberversicherer als regelmäßigem Auftraggeber näher als dem geschädigten Unternehmen.

Handlungsempfehlungen

Für das betroffene Unternehmen kann es sich lohnen, möglichst frühzeitig den Betriebsunterbrechungsschaden durch einen eigenen Sachverständigen begutachten zu lassen oder zumindest durch eine gute Datenlage die spätere Begutachtung zu ermöglichen. Des Weiteren ist die Vorbereitung auf einen erfolgreichen Cyberangriff entscheidend. Das Unternehmen sollte über physisch abgelegte Ablaufpläne verfügen.

Externe Dienstleister sollten schon vor einem Cyberangriff das Unternehmen kennen. Frühzeitig in die Krise eingeschaltet, können auch Unternehmensberater und Rechtsanwälte bei der Dokumentation und Kommunikation mit dem Versicherer wertvolle Unterstützung bieten.

Eine enge Abstimmung mit dem Cyberversicherer zu den konkreten Maßnahmen der Wiederherstellung ist empfehlenswert. Maßnahmen, die der Versicherer freigibt, sind in aller Regel auch vom Versicherungsschutz gedeckt.

Fazit

Die Stolperfallen auf dem Weg zu einer vollständigen Schadenregulierung sind vielseitig und sollten schon vor Abschluss eines Versicherungsvertrags bekannt sein und berücksichtigt werden. Eine umfassende physische Dokumentation der Vertragsverhandlungen und Kommunikation mit dem Versicherer ist wichtig. Für Unternehmen gilt: Die gute Vorbereitung auf einen erfolgreichen Cyberangriff verkürzt nicht nur die Betriebsunterbrechung, sondern ermöglicht auch eine optimale Durchsetzung des Versicherungsanspruchs. Die frühzeitige Einbindung von Experten, die idealerweise schon vor dem Cyberangriff das Unternehmen kennen, erhöht darüber hinaus die Durchsetzungschancen.

Porträt Dr. David Ulrich

Dr David Ulrich Rechtsanwalt am Berliner Standort der Sozietät WILHELM. Er berät Unternehmen und Entscheidungsträger unter anderem in Fragen der Cyberversicherung und der Haftpflichtversicherung.

Andere interessante Fachbeiträge

Symbol der E-Mail-Verschlüsselung

Effiziente E-Mail-Verschlüsselung weiterentwickelt mit GINA V2

Mit GINA V2 steht eine innovative Lösung für die sichere Spontanverschlüsselung bei der E-Mail-Kommunikation bereit, diese Verschlüsselungsform bietet höchsten Datenschutz und ermö...

Digitale Daten vor Strommasten

Zugriff verweigert

Kritische Infrastrukturen (KRITIS) sind nicht zuletzt aufgrund ihrer hohen gesellschaftlichen und politisch-strategischen Relevanz ein beliebtes Ziel für Cyberangriffe. Die zunehme...

Datenschutz-Symbol vor Industrieanlage

So schützt das KRITIS-Dachgesetz kritische Infrastrukturen

Am 6. November 2024 hat das Bundeskabinett das neue KRITIS-Dachgesetz beschlossen: ein zentrales Gesetz, das den Schutz kritischer Infrastrukturen (KRITIS) stärkt. Mit dieser Regel...