In einer zunehmend vernetzten Welt, nimmt die Bedrohung, Opfer eines Cyberangriffs zu werden unaufhaltsam zu. Eine Möglichkeit in der Risikobehandlung ist die Auslagerung von verbleibenden Risiken an sogenannte Cyberversicherungen. In der täglichen Kundenberatung werden wir regelmäßig nach der Sinnhaftigkeit gefragt.  

Im Kontext der Informationssicherheit fungiert die Cyberversicherung als ein Baustein neben vielen anderen. Ihre Bedeutung tritt besonders dann hervor, wenn tatsächlich ein Vorfall eintritt. Aufgrund der anhaltend hohen Bedrohungslage, steigt die Wahrscheinlichkeit, von einem Angriff betroffen zu sein. Genau dann sollten die Vorteile einer Cyberversicherung greifen. Das können beispielsweise finanzielle Ausgleiche für die Einbindung von Spezialisten zur forensischen Untersuchung, Ausgleiche für Produktionsunterbrechungen, Haftungsansprüche, Wiederherstellungsmaßnahmen oder ganz allgemeine Krisenunterstützung und Kommunikation sein. 

Wenn wir als IT-Dienstleister zur Behandlung eines Cyberangriffs involviert werden, ist einer unserer ersten Schritte die Überprüfung des Vorhandenseins einer Cyberversicherung. Wenn eine Police vorliegt, sollten die nächsten Schritte in enger Abstimmung mit der Versicherung erfolgen.

Damit Sie am Ende die gewünschten Ausgleiche erhalten, müssen die initial angegebenen Sicherheitsmaßnahmen vorhanden und kontinuierlich weiterbetrieben worden sein. Es liegt in der Natur der Sache, dass Versicherungen kritisch hinterfragen, um sich möglicherweise auf eine Leistungskürzung zu berufen.

Erstes gerichtliches Verfahren am Landgericht Tübingen

Mitte 2023 hat es hierzu das erste gerichtliche Verfahren vor dem Landgericht Tübingen gegeben (Urteil vom 26.05.2023 Az. 4 O 193/21). Im Rahmen der Gerichtsentscheidung trifft das Landgericht Feststellungen zur grob fahrlässigen Herbeiführung eines Versicherungsfalles. 

In diesem Fall stritten sich der Versicherungsnehmer und der Cyber-Versicherer darum, ob ein beim Versicherungsnehmer eingetretener Schadensfall, aufgrund einer Phishingmail mit anschließender Verschlüsselung der IT-Systeme durch einen Trojaner, vom Versicherungsschutz gedeckt sei. Der Versicherer berief sich auf eine Verletzung von vorvertraglichen Anzeigepflichten (initialer Fragenkatalog) und damit auf eine Ablehnung der Leistungspflicht.  

Auslagerung von verbleibenden Risiken

Für die Praxis bedeutet das, dass der initial auszufüllende Fragenkatalog des Cyber-Versicherers die tatsächlich vorhandenen technischen und organisatorischen Maßnahmen abbilden sollte, um den Spielraum einer grob fahrlässigen Herbeiführung eines Versicherungsfalles auszuschließen. Parallel kann zur Stärkung der Aussagekraft die Implementierung eines Sicherheitsstandards umgesetzt und zertifiziert werden. 

Dem Stand der Technik entsprechende Sicherheitsmaßnahmen sind das Gebot der Stunde. Denn oberstes Ziel sollte es sein, so wenig Angriffsfläche wie möglich zu bieten und im Fall einer Cyberattacke das Eindringen so frühzeitig wie möglich zu erkennen und zu unterbinden. Risiken, die dann noch verbleiben, sollten über die Cyberversicherung abgedeckt sein. 

Kommen Sie jederzeit auf uns zu, wenn wir Sie in dieser Thematik unterstützen können!