Reuschlaw

Stei­gen­de Anfor­de­run­gen bei Cyberversicherungen

Die aktu­el­le Lage aus anwalt­li­cher Sicht

Die IT-Sicherheitslage ver­schärft sich seit Jah­ren und die Schä­den durch Cyber-Angriffe neh­men ste­tig zu. Für Unter­neh­men birgt die­se Situa­ti­on gro­ße Risi­ken. Die Absi­che­rung durch eine Cyber­ver­si­che­rung ist daher für vie­le Unter­neh­men unum­gäng­lich gewor­den. Mit der Zunah­me der Cyber­be­dro­hun­gen stei­gen aber auch die Anfor­de­run­gen an Cyberversicherungen.

Immer stren­ge­re Vor­ga­ben der Cyberversicherungen

Cyber­ver­si­che­run­gen bie­ten Unter­neh­men die Mög­lich­keit, sich gegen Cyber­an­grif­fe und dar­aus resul­tie­ren­de Schä­den abzu­si­chern. Vor­aus­set­zung für den Abschluss einer Cyber­ver­si­che­rung ist in der Regel die Durch­füh­rung einer Sicher­heits­prü­fung durch den Ver­si­che­rer anhand eines Risi­ko­fra­gen­ka­ta­logs. Durch die Zunah­me der Cyber­kri­mi­na­li­tät und das pro­fes­sio­nel­le Vor­ge­hen der Angrei­fer sind die Anfor­de­run­gen an Cyber­ver­si­che­run­gen, die sich am Sicher­heits­ni­veau der zu schüt­zen­den Sys­te­me ori­en­tie­ren, jedoch deut­lich gestie­gen. Die Zahl der Fäl­le, die als nicht ver­si­cher­bar ein­ge­stuft wer­den, nimmt zu. Bereits der Abschluss einer Cyber­ver­si­che­rung kann für ein Unter­neh­men des­halb eine erheb­li­che Hür­de darstellen.

Doch selbst wenn die Hür­de des Ver­trags­ab­schlus­ses genom­men wur­de, ist eine Scha­dens­re­gu­lie­rung nicht garan­tiert. Unse­re Erfah­run­gen zei­gen, dass die Ver­si­che­rer bei Deckungs­zu­sa­gen zuneh­mend zurück­hal­tend reagie­ren und die Regu­lie­rung von Schä­den zu einem Kraft­akt wird. Typi­sche Ein­wän­de, die mit­un­ter in einem mona­te­lan­gen Frage- und Ant­wort­spiel vor­ge­bracht wer­den, sind das Nicht­zu­stan­de­kom­men eines wirk­sa­men Ver­si­che­rungs­ver­trags , die Ver­let­zung (vor-)vertraglicher Pflich­ten und Oblie­gen­hei­ten sowie Leis­tungs­kür­zun­gen wegen nach­träg­li­cher Gefahr­er­hö­hun­gen. Die Lis­te der mög­li­chen Aus­schluss­grün­de der Ver­si­che­rer ist meist lang, so dass eine auf­wen­di­ge Prü­fung der ein­schlä­gi­gen Ver­trags­un­ter­la­gen sowie der Umstän­de des kon­kre­ten Ein­zel­falls erfor­der­lich ist.

Ers­te Fäl­le lan­den vor Gericht

Die ver­än­der­te Situa­ti­on bei Cyber­ver­si­che­run­gen führt auch dazu, dass Strei­tig­kei­ten zuneh­mend vor Gericht aus­ge­tra­gen wer­den müs­sen. Ein aktu­el­les Urteil des LG Tübin­gen (4 O 193/21) zeigt jedoch, dass die Ein­wän­de der Ver­si­che­rer nicht in jedem Fall erfolg­reich sind. Das Gericht ent­schied, dass der Ver­si­che­rer bei einem erfolg­rei­chen Phishing-Angriff mit anschlie­ßen­der Ver­schlüs­se­lung der IT-Systeme den ent­stan­de­nen Scha­den zu erset­zen hat, obwohl die Sys­te­me teil­wei­se nicht mit aktu­el­len Sicher­heits­up­dates aus­ge­stat­tet waren. Die Ein­wän­de des Ver­si­che­rers, es läge eine arg­lis­ti­ge Ver­let­zung der vor­ver­trag­li­chen Anzei­ge­pflicht hin­sicht­lich des Sicher­heits­ni­veaus der Sys­te­me und eine nach­träg­li­che Gefahr­er­hö­hung durch das Unter­las­sen des Ein­spie­lens von Sicher­heits­up­dates vor, grif­fen nach Ansicht des Gerichts nicht durch. Es fehl­te an der erfor­der­li­chen Kau­sa­li­tät, da der Ver­si­che­rungs­neh­mer nach­wei­sen konn­te, dass die vor­ge­tra­ge­nen Umstän­de kei­nen Ein­fluss auf den Ein­tritt des IT-Sicherheitsvorfalls hat­ten (sog. Kau­sa­li­täts­ge­gen­be­weis). Auch der Ein­wand der grob fahr­läs­si­gen Her­bei­füh­rung des Ver­si­che­rungs­falls hat­te kei­nen Erfolg, da die Gefah­ren­la­ge hin­sicht­lich der Sicher­heits­up­dates bereits bei Ver­trags­schluss bestand und Grund­la­ge der Risi­ko­prü­fung des Ver­si­che­rers hät­te sein müs­sen. Eine Oblie­gen­heit des Ver­si­che­rungs­neh­mers zur Ver­bes­se­rung der Gefah­ren­la­ge habe gera­de nicht bestanden.

Tipps für die Praxis

Die stren­gen Anfor­de­run­gen der Cyber­ver­si­che­run­gen stel­len Unter­neh­men sowohl bei Ver­si­che­rungs­ab­schluss als auch im Scha­dens­fall zuneh­mend vor Her­aus­for­de­run­gen. Unter­neh­men soll­ten sich davon jedoch nicht abschre­cken las­sen, son­dern sich im Ein­zel­fall mit den Anfor­de­run­gen und etwa­igen Ein­wän­den der Ver­si­che­rer aus­ein­an­der­set­zen. Unse­re Erfah­rung zeigt, dass ins­be­son­de­re bei einer ver­zö­ger­ten oder gar ver­wei­ger­ten Scha­dens­re­gu­lie­rung eine Kon­fron­ta­ti­on des Ver­si­che­rers mit einer juris­ti­schen Bewer­tung des Sach­ver­halts das Blatt wen­den kann. Unter­neh­men soll­ten einen Maß­nah­men­plan für die Kom­mu­ni­ka­ti­on mit ihrem Ver­si­che­rer bereit­hal­ten, der ins­be­son­de­re fol­gen­de Aspek­te beinhal­ten sollte:

  • Doku­men­ta­ti­on des Sach­ver­halts und der ergrif­fe­nen Maßnahmen
  • Recht­li­che Bewer­tung (ins­be­son­de­re bei Lösegeldzahlungen)
  • Kom­mu­ni­ka­ti­on und Abstim­mung mit dem Versicherungsmakler
  • Erstel­lung der not­wen­di­gen Compliance-Dokumente
zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.