Cyberversicherung: Stolperfallen in der Schadenregulierung
Cyberversicherung: Stolperfallen in der Schadenregulierung
Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder enthalten versteckte Klauseln.
For further information please contact:
Wird das Unternehmen Opfer eines Cyberangriffs, tritt der Versicherungsfall ein und das Unternehmen erwartet den eingekauften Versicherungsschutz. Der Cyberangriff ist aber gleichzeitig Anlass für den Cyberversicherer, die Risikovorsorge des Unternehmens umfassend zu prüfen – und bei Missständen die Versicherungsleistung zu kürzen. Was können Entscheidungsträger beachten, damit es nicht erst so weit kommt?
Ablauf der Schadenregulierung
Die Schadenregulierung nach Cyberangriffen teilt sich in verschiedene Phasen auf:
Phase 1: Krisenmanagement
In der ersten Phase steht das Krisenmanagement im Vordergrund. Das Unternehmen versucht das Ausmaß des Angriffs zu erkennen und den womöglich noch andauernden Angriff zu beenden, oft mithilfe externer Dienstleister. Anschließend stellt das Unternehmen seine Arbeitsfähigkeit wieder her.
Phase 2: Schadenbegutachtung
Spätestens mit Ende des akuten Krisenmanagements beginnt der Cyberversicherer mit der Erhebung des Schadensausmaßes und Analyse der Gründe für den erfolgreichen Cyberrangriff. In dieser Phase verlangt der Cyberversicherer meist umfassende Informationen und beauftragt Dritte mit der Begutachtung des Schadens und des Schadenhergangs.
Phase 3: Verhandlungen und Abschluss des Schadens
Schließt der Versicherer seine Schadenbegutachtung ab, beginnen meist Verhandlungen zwischen dem Unternehmen und seinem Cyberversicherer über den konkreten Umfang der Versicherungsleistung. An dieser Stelle machen viele Unternehmen Fehler, die leicht vermeidbar wären.
Einwand 1 - Verletzung der Anzeigeobliegenheit
Im Rahmen der Schadenregulierung prüfen Cyberversicherer stets, ob das Unternehmen die vor Abschluss des Cyberversicherungsvertrags gestellten Fragen falsch beantwortete und der Cyberversicherer wegen einer solch – vermeintlichen – Falschbeantwortung leistungsfrei ist.
Anzeigeobliegenheit – was bedeutet das?
Vor Abschluss eines Cyberversicherungsvertrags verlangt der Cyberversicherer meist die Beantwortung einer Vielzahl an Fragen, die dem Cyberversicherer die Risikobewertung ermöglichen sollen. Meist fragt der Versicherer beispielsweise ab, ob das Unternehmen regelmäßige Updates und Backups macht und welche anderweitigen Sicherheitsvorkehrungen (Firewalls, MFAs etc.) das Unternehmen trifft.
Das Unternehmen ist dann gesetzlich verpflichtet (§ 19 Versicherungsvertragsgesetz), die abgefragten bekannten und gefahrerheblichen Umstände dem Cyberversicherer mitzuteilen (sog. Anzeigeobliegenheit). Verletzt das Unternehmen diese Anzeigeobliegenheit durch eine grob fahrlässige Falschbeantwortung, kann der Cyberversicherer vom Versicherungsvertrag zurücktreten und das geschädigte Unternehmen erhält keine Versicherungsleistung. Gerade diese erhebliche Rechtsfolge – keine Versicherungsleistung – erzeugt somit in Verhandlungen ein erhebliches Drohpotential.
Welche Argumente helfen im Streitfall?
Um zu überprüfen, ob das Unternehmen eine Frage falsch beantwortete, vergleicht der Cyberversicherer die Ergebnisse des Forensikberichts mit den vor Vertragsschluss gegebenen Antworten und stellt weitergehende Nachfragen. Behauptet der Cyberversicherer daraufhin, dass das Unternehmen vor Vertragsschluss eine Frage falsch beantwortete, so gilt es, diese Behauptung zu bestreiten. Des Weiteren sollte das Unternehmen überprüfen, ob der Cyberversicherer das Unternehmen hinreichend über die Rechtsfolgen einer Falschbeantwortung belehrte (nach § 19 Abs. 5 VVG) und die einmonatige Rücktrittsfrist (nach § 21 Abs. 1 VVG) einhielt. Außerdem sollte das Unternehmen versuchen darzulegen, dass die behauptete Falschbeantwortung die Schadenregulierung des Cyberversicherers nicht beeinflusste (sogenannter „Kausalitätsgegenbeweis“).
Tipp: Fragen sorgfältig beantworten
Obwohl somit dem Unternehmen mehrere Verteidigungslinien gegen die vermeintliche Leistungsfreiheit des Cyberversicherers verbleiben, erzeugt oft schon die Drohung mit einem vollständigen Entfallen des Versicherungsschutzes erheblichen Druck. Entscheidungsträger sollten daher schon bei Abschluss eines Cyberversicherungsvertrags die Fragen des Cyberversicherers sorgfältig beantworten und damit das notwendige Risikobewusstsein an den Tag legen.
Ebenfalls sollten es Entscheidungsträger vermeiden, auf komplexe Fragen pauschal mit Nein oder Ja zu antworten. Solche absoluten Antworten auf nicht klar beantwortbare Fragen machen es dem Versicherer leicht, später eine Verletzung der Auskunftsobliegenheit einzuwenden.
Ein Beispiel: Ein Unternehmen erhält vor Abschluss einer Cyberversicherungspolice einen Fragebogen des Versicherers. Eine Frage lautet, ob alle Unternehmens-Server mit aktuellen Betriebssystemen ausgestattet sind. Das Unternehmen verfügt über fünf Server, von denen vier über die neueste Version des Betriebssystems verfügen. Auf dem fünften läuft ein Betriebssystem, das zwar mit einer älteren Version läuft, für das aber noch einige Monate Updates und Support vom Hersteller bereitgestellt werden. Kann das Unternehmen daher die Frage nach „aktuellen Betriebssystemen“ auf allen Servern mit „Ja“ beantworten? Die individuelle Risikosituation der Unternehmen ist oft komplexer als die Fragen suggerieren. In solchen Fällen empfiehlt es sich, die konkrete Situation mit den wichtigsten Details schriftlich zu erläutern, statt schlicht „Ja“ oder „Nein“ anzukreuzen.
Gute Forensik kann den Versicherungsschutz retten
Weiterhin ist entscheidend, dass der Forensikbericht möglichst präzise die Ursachen für den erfolgten Cyberangriff ermittelt. In einem vor dem Landgericht Tübingen verhandelten Streit zwischen einem angegriffenen Unternehmen und seinem Cyberversicherer konnte das Unternehmen mithilfe eines Forensikberichts darlegen, dass der Angriff auch erfolgreich gewesen wäre, wenn alle Updates rechtzeitig erfolgt wären. Somit war irrelevant, dass das Unternehmen Fragen zu Updates möglicherweise falsch beantwortet hatte (LG Tübingen, r+s 2023, 652).
Einwand 2 – Obliegenheitsverletzung
Ein weiterer typischer Einwand der Cyberversicherer ist die Behauptung, das versicherte Unternehmen habe vertragliche IT-Obliegenheiten verletzt.
Was ist eine IT-Obliegenheitsverletzung?
Die meisten Cyberversicherungsverträge enthalten IT-bezogene Obliegenheiten und verpflichten das Unternehmen etwa regelmäßig Backups durchzuführen oder Updates stets unverzüglich zu installieren. Verletzt das Unternehmen eine solche Obliegenheit grob fahrlässig, ist der Cyberversicherer zu einer quotalen Kürzung berechtigt (nach § 28 Abs. 2 VVG). Eine vorsätzliche Obliegenheitsverletzung führt gar dazu, dass das Unternehmen den Versicherungsschutz vollständig verliert.
Verteidigungslinien
Neben technischen Argumenten, warum entgegen der Auffassung des Cyberversicherers die Obliegenheit erfüllt wurde, kann das Unternehmen argumentieren, dass die Obliegenheit unwirksam ist oder durch eine individuelle Vereinbarung verdrängt wurde.
Auch kann sich das Unternehmen damit verteidigen, dass kein Repräsentant (in den Versicherungsbedingungen aufgeführte Personen) grob fahrlässig die Obliegenheit verletzte oder sich die Obliegenheitsverletzung nicht auf die Schadenregulierung auswirkte.
Handlungsempfehlungen
Neben der auch hier zentralen Dokumentation des vorvertraglichen Austauschs mit dem Versicherer, sollten die Unternehmen frühzeitig die Wirksamkeit relevanter Obliegenheiten durch in der Cyberversicherung erfahrene Rechtsexperten überprüfen lassen.
Darüber hinaus ist auch hier wichtig, mögliche andere Gründe für den erfolgreichen Cyberangriff zu finden und im Rahmen des Kausalitätsgegenbeweises vorzutragen.
Einwand 3 – Grob fahrlässige Herbeiführung des Schadens
Die grob fahrlässige Schadenherbeiführung
Nach § 81 Abs. 2 VVG steht dem Cyberversicherer ein Leistungskürzungsrecht zu, wenn das Unternehmen den Schaden grob fahrlässig herbeiführte. Das Unternehmen kann den Schaden etwa dann aus Sicht des Versicherers grob fahrlässig herbeigeführt haben, wenn die Angreifer einen nicht über eine Multifaktorauthentifizierung (MFA) gesicherten Zugang für ihren Angriff ausnutzten.
Verteidigungslinien
Das Unternehmen kann gegen eine solche Leistungskürzung des Versicherers einwenden, dass die Risikolage (etwa kein MFA) schon bei Vertragsschluss bestand und der Versicherer diese Risikolage hätte abfragen können. § 81 Abs. 2 VVG verpflichtet das Unternehmen nicht, die bei Vertragsschluss bestehende Risikolage zu verbessern (LG Tübingen, r+s 2023, 652).
Handlungsempfehlungen
Viele Versicherer verzichten bereits darauf, dem Versicherungsnehmer eine Herbeiführung des Versicherungsfalls nach § 81 Abs. 2 VVG vorzuwerfen. Ein solcher Verzicht muss schriftlich in den Versicherungsbedingungen festgehalten sein. Die entsprechende Klausel gilt seit kurzem als Marktstandard. Versicherungsnehmer sollten also den Verzicht von ihrem Versicherer einfordern oder andernfalls nach Möglichkeit den Versicherer wechseln.
Einwand 4 – Unzureichende Darlegung des Schadens
Selbst wenn der Cyberversicherer keine Leistungskürzungsreche einwendet, besteht regelmäßig streit über die Höhe der Wiederherstellungskosten und des Betriebsunterbrechungsschadens.
Die Darlegung des Schadens
Das Unternehmen muss den geltend gemachten Schaden darlegen und beweisen. Das ist in der Praxis oft schwierig, denn mitten im Cyberangriff hat das Unternehmen meist andere Prioritäten als eine genaue Dokumentation der Wiederherstellungskosten – noch dazu, wenn eine Arbeit auf den Systemen zeitweise nicht möglich ist. Kann das Unternehmen aber die konkrete Wiederherstellungsmaßnahme (etwa Überstunden) nicht nachweisen, muss der Cyberversicherer diese Wiederherstellungskosten auch nicht ersetzen.
Darüber hinaus ist die genau Berechnung des erlittenen Betriebsunterbrechungsschadens meist umstritten. Die vom Cyberversicherer beauftragten Gutachter stehen nicht selten dem Cyberversicherer als regelmäßigem Auftraggeber näher als dem geschädigten Unternehmen.
Handlungsempfehlungen
Für das betroffene Unternehmen kann es sich lohnen, möglichst frühzeitig den Betriebsunterbrechungsschaden durch einen eigenen Sachverständigen begutachten zu lassen oder zumindest durch eine gute Datenlage die spätere Begutachtung zu ermöglichen.
Des Weiteren ist die Vorbereitung auf einen erfolgreichen Cyberangriff entscheidend. Das Unternehmen sollte über physisch abgelegte Ablaufpläne verfügen. Externe Dienstleister sollten schon vor einem Cyberangriff das Unternehmen kennen. Frühzeitig in der Krise eingeschaltet können auch Unternehmensberater und Rechtsanwälte bei der Dokumentation und Kommunikation mit dem Versicherer wertvolle Unterstützung bieten.
Eine enge Abstimmung mit dem Cyberversicherer zu den konkreten Maßnahmen der Wiederherstellung ist empfehlenswert. Maßnahmen, die der Versicherer freigibt, sind in aller Regel auch vom Versicherungsschutz gedeckt.
Fazit
Die Stolperfallen auf dem Weg zu einer vollständigen Schadenregulierung sind vielseitig und sollten schon vor Abschluss eines Versicherungsvertrags bekannt sein und berücksichtigt werden. Eine umfassende physische Dokumentation der Vertragsverhandlungen und Kommunikation mit dem Versicherer ist wichtig. Für Unternehmen gilt: Die gute Vorbereitung auf einen erfolgreichen Cyberangriff verkürzt nicht nur die Betriebsunterbrechung, sondern ermöglicht auch eine optimale Durchsetzung des Versicherungsanspruchs. Die frühzeitige Einbindung von Experten, die idealerweise schon vor dem Cyberangriff das Unternehmen kennen, erhöht darüber hinaus die Durchsetzungschancen.
Autor: Dr. David Ulrich
Dieser Beitrag erschien zuerst in der Zeitschrift "IT-Sicherheit" Ausgabe 05-2024
Mehr Aktuelles:
Mehr Aktuelles:
Rescission of cyber insurance contracts: how policyholders should react on current judgements
Rescission of cyber insurance contracts: how policyholders should react on current judgements
When is the cyber insurer entitled to rescind a contract? Fabian Herdter analyses two recent judgements on the policyholder's duty to disclose risks before the contract is closed.
D&O: How to distribute insufficient cover
D&O: How to distribute insufficient cover
When there is not enough D&O cover left, how do insurers decide to split the remaining money? Fabian Herdter looks into a problem that urgently needs a fair solution for all insured directors and officers.
WILHELM lawyers among "Germany's Best Lawyers 2024"
WILHELM lawyers among "Germany's Best Lawyers 2024"
In the new ranking by Best Lawyers, published today in the business daily Handelsblatt, six of our lawyers are recommended in Insurance, Litigation, and M&A.
A right to D&O: No employment contract without a procurement clause
A right to D&O: No employment contract without a procurement clause
What is a procurement clause? And why should it be included in every managing director's employment contract? In the webinar series ‘D&O Update’, David Ulrich gave advice for current and prospective decision-makers.
Payments after factual insolvency – (once more) not covered by the D&O?
Payments after factual insolvency – (once more) not covered by the D&O?
In Germany, directors are liable for payments made after the company should have filed for insolvency. What is particularly critical is that D&O insurers often refuse to provide cover for such liability claims. Mark Wilhelm explains the objections currently brought forward by insurers.
"I can only warn against this"
"I can only warn against this"
In an interview with WELT am Sonntag, Mark Wilhelm explains the dos and don'ts in the settlement of flood damage – and warns against making quick blanket settlements.
What are the obstacles to successful claim settlement?
What are the obstacles to successful claim settlement?
Major claims harbour potential for legal conflict. Fabian Herdter provides an overview of current disputes for the insurance monthly VersicherungsPraxis.
How to cede D&O claims: options and recommendations
How to cede D&O claims: options and recommendations
If a company wants to bring claims against a D&O insurer, the insured manager first has to cede his cover claim – an insight by Fabian Herdter and David Ulrich.
"This can hit product liability insurers hard"
"This can hit product liability insurers hard"
Mark Wilhelm comments to Versicherungsjournal on the planned product liability reform and the consequences of the new right to bring class actions in Germany via associations.