Cyberversicherung: Stolperfallen in der Schadenregulierung
Cyberversicherung: Stolperfallen in der Schadenregulierung
Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder enthalten versteckte Klauseln.
Ihr Ansprechpartner
Wird das Unternehmen Opfer eines Cyberangriffs, tritt der Versicherungsfall ein und das Unternehmen erwartet den eingekauften Versicherungsschutz. Der Cyberangriff ist aber gleichzeitig Anlass für den Cyberversicherer, die Risikovorsorge des Unternehmens umfassend zu prüfen – und bei Missständen die Versicherungsleistung zu kürzen. Was können Entscheidungsträger beachten, damit es nicht erst so weit kommt?
Ablauf der Schadenregulierung
Die Schadenregulierung nach Cyberangriffen teilt sich in verschiedene Phasen auf:
Phase 1: Krisenmanagement
In der ersten Phase steht das Krisenmanagement im Vordergrund. Das Unternehmen versucht das Ausmaß des Angriffs zu erkennen und den womöglich noch andauernden Angriff zu beenden, oft mithilfe externer Dienstleister. Anschließend stellt das Unternehmen seine Arbeitsfähigkeit wieder her.
Phase 2: Schadenbegutachtung
Spätestens mit Ende des akuten Krisenmanagements beginnt der Cyberversicherer mit der Erhebung des Schadensausmaßes und Analyse der Gründe für den erfolgreichen Cyberrangriff. In dieser Phase verlangt der Cyberversicherer meist umfassende Informationen und beauftragt Dritte mit der Begutachtung des Schadens und des Schadenhergangs.
Phase 3: Verhandlungen und Abschluss des Schadens
Schließt der Versicherer seine Schadenbegutachtung ab, beginnen meist Verhandlungen zwischen dem Unternehmen und seinem Cyberversicherer über den konkreten Umfang der Versicherungsleistung. An dieser Stelle machen viele Unternehmen Fehler, die leicht vermeidbar wären.
Einwand 1 - Verletzung der Anzeigeobliegenheit
Im Rahmen der Schadenregulierung prüfen Cyberversicherer stets, ob das Unternehmen die vor Abschluss des Cyberversicherungsvertrags gestellten Fragen falsch beantwortete und der Cyberversicherer wegen einer solch – vermeintlichen – Falschbeantwortung leistungsfrei ist.
Anzeigeobliegenheit – was bedeutet das?
Vor Abschluss eines Cyberversicherungsvertrags verlangt der Cyberversicherer meist die Beantwortung einer Vielzahl an Fragen, die dem Cyberversicherer die Risikobewertung ermöglichen sollen. Meist fragt der Versicherer beispielsweise ab, ob das Unternehmen regelmäßige Updates und Backups macht und welche anderweitigen Sicherheitsvorkehrungen (Firewalls, MFAs etc.) das Unternehmen trifft.
Das Unternehmen ist dann gesetzlich verpflichtet (§ 19 Versicherungsvertragsgesetz), die abgefragten bekannten und gefahrerheblichen Umstände dem Cyberversicherer mitzuteilen (sog. Anzeigeobliegenheit). Verletzt das Unternehmen diese Anzeigeobliegenheit durch eine grob fahrlässige Falschbeantwortung, kann der Cyberversicherer vom Versicherungsvertrag zurücktreten und das geschädigte Unternehmen erhält keine Versicherungsleistung. Gerade diese erhebliche Rechtsfolge – keine Versicherungsleistung – erzeugt somit in Verhandlungen ein erhebliches Drohpotential.
Welche Argumente helfen im Streitfall?
Um zu überprüfen, ob das Unternehmen eine Frage falsch beantwortete, vergleicht der Cyberversicherer die Ergebnisse des Forensikberichts mit den vor Vertragsschluss gegebenen Antworten und stellt weitergehende Nachfragen. Behauptet der Cyberversicherer daraufhin, dass das Unternehmen vor Vertragsschluss eine Frage falsch beantwortete, so gilt es, diese Behauptung zu bestreiten. Des Weiteren sollte das Unternehmen überprüfen, ob der Cyberversicherer das Unternehmen hinreichend über die Rechtsfolgen einer Falschbeantwortung belehrte (nach § 19 Abs. 5 VVG) und die einmonatige Rücktrittsfrist (nach § 21 Abs. 1 VVG) einhielt. Außerdem sollte das Unternehmen versuchen darzulegen, dass die behauptete Falschbeantwortung die Schadenregulierung des Cyberversicherers nicht beeinflusste (sogenannter „Kausalitätsgegenbeweis“).
Tipp: Fragen sorgfältig beantworten
Obwohl somit dem Unternehmen mehrere Verteidigungslinien gegen die vermeintliche Leistungsfreiheit des Cyberversicherers verbleiben, erzeugt oft schon die Drohung mit einem vollständigen Entfallen des Versicherungsschutzes erheblichen Druck. Entscheidungsträger sollten daher schon bei Abschluss eines Cyberversicherungsvertrags die Fragen des Cyberversicherers sorgfältig beantworten und damit das notwendige Risikobewusstsein an den Tag legen.
Ebenfalls sollten es Entscheidungsträger vermeiden, auf komplexe Fragen pauschal mit Nein oder Ja zu antworten. Solche absoluten Antworten auf nicht klar beantwortbare Fragen machen es dem Versicherer leicht, später eine Verletzung der Auskunftsobliegenheit einzuwenden.
Ein Beispiel: Ein Unternehmen erhält vor Abschluss einer Cyberversicherungspolice einen Fragebogen des Versicherers. Eine Frage lautet, ob alle Unternehmens-Server mit aktuellen Betriebssystemen ausgestattet sind. Das Unternehmen verfügt über fünf Server, von denen vier über die neueste Version des Betriebssystems verfügen. Auf dem fünften läuft ein Betriebssystem, das zwar mit einer älteren Version läuft, für das aber noch einige Monate Updates und Support vom Hersteller bereitgestellt werden. Kann das Unternehmen daher die Frage nach „aktuellen Betriebssystemen“ auf allen Servern mit „Ja“ beantworten? Die individuelle Risikosituation der Unternehmen ist oft komplexer als die Fragen suggerieren. In solchen Fällen empfiehlt es sich, die konkrete Situation mit den wichtigsten Details schriftlich zu erläutern, statt schlicht „Ja“ oder „Nein“ anzukreuzen.
Gute Forensik kann den Versicherungsschutz retten
Weiterhin ist entscheidend, dass der Forensikbericht möglichst präzise die Ursachen für den erfolgten Cyberangriff ermittelt. In einem vor dem Landgericht Tübingen verhandelten Streit zwischen einem angegriffenen Unternehmen und seinem Cyberversicherer konnte das Unternehmen mithilfe eines Forensikberichts darlegen, dass der Angriff auch erfolgreich gewesen wäre, wenn alle Updates rechtzeitig erfolgt wären. Somit war irrelevant, dass das Unternehmen Fragen zu Updates möglicherweise falsch beantwortet hatte (LG Tübingen, r+s 2023, 652).
Einwand 2 – Obliegenheitsverletzung
Ein weiterer typischer Einwand der Cyberversicherer ist die Behauptung, das versicherte Unternehmen habe vertragliche IT-Obliegenheiten verletzt.
Was ist eine IT-Obliegenheitsverletzung?
Die meisten Cyberversicherungsverträge enthalten IT-bezogene Obliegenheiten und verpflichten das Unternehmen etwa regelmäßig Backups durchzuführen oder Updates stets unverzüglich zu installieren. Verletzt das Unternehmen eine solche Obliegenheit grob fahrlässig, ist der Cyberversicherer zu einer quotalen Kürzung berechtigt (nach § 28 Abs. 2 VVG). Eine vorsätzliche Obliegenheitsverletzung führt gar dazu, dass das Unternehmen den Versicherungsschutz vollständig verliert.
Verteidigungslinien
Neben technischen Argumenten, warum entgegen der Auffassung des Cyberversicherers die Obliegenheit erfüllt wurde, kann das Unternehmen argumentieren, dass die Obliegenheit unwirksam ist oder durch eine individuelle Vereinbarung verdrängt wurde.
Auch kann sich das Unternehmen damit verteidigen, dass kein Repräsentant (in den Versicherungsbedingungen aufgeführte Personen) grob fahrlässig die Obliegenheit verletzte oder sich die Obliegenheitsverletzung nicht auf die Schadenregulierung auswirkte.
Handlungsempfehlungen
Neben der auch hier zentralen Dokumentation des vorvertraglichen Austauschs mit dem Versicherer, sollten die Unternehmen frühzeitig die Wirksamkeit relevanter Obliegenheiten durch in der Cyberversicherung erfahrene Rechtsexperten überprüfen lassen.
Darüber hinaus ist auch hier wichtig, mögliche andere Gründe für den erfolgreichen Cyberangriff zu finden und im Rahmen des Kausalitätsgegenbeweises vorzutragen.
Einwand 3 – Grob fahrlässige Herbeiführung des Schadens
Die grob fahrlässige Schadenherbeiführung
Nach § 81 Abs. 2 VVG steht dem Cyberversicherer ein Leistungskürzungsrecht zu, wenn das Unternehmen den Schaden grob fahrlässig herbeiführte. Das Unternehmen kann den Schaden etwa dann aus Sicht des Versicherers grob fahrlässig herbeigeführt haben, wenn die Angreifer einen nicht über eine Multifaktorauthentifizierung (MFA) gesicherten Zugang für ihren Angriff ausnutzten.
Verteidigungslinien
Das Unternehmen kann gegen eine solche Leistungskürzung des Versicherers einwenden, dass die Risikolage (etwa kein MFA) schon bei Vertragsschluss bestand und der Versicherer diese Risikolage hätte abfragen können. § 81 Abs. 2 VVG verpflichtet das Unternehmen nicht, die bei Vertragsschluss bestehende Risikolage zu verbessern (LG Tübingen, r+s 2023, 652).
Handlungsempfehlungen
Viele Versicherer verzichten bereits darauf, dem Versicherungsnehmer eine Herbeiführung des Versicherungsfalls nach § 81 Abs. 2 VVG vorzuwerfen. Ein solcher Verzicht muss schriftlich in den Versicherungsbedingungen festgehalten sein. Die entsprechende Klausel gilt seit kurzem als Marktstandard. Versicherungsnehmer sollten also den Verzicht von ihrem Versicherer einfordern oder andernfalls nach Möglichkeit den Versicherer wechseln.
Einwand 4 – Unzureichende Darlegung des Schadens
Selbst wenn der Cyberversicherer keine Leistungskürzungsreche einwendet, besteht regelmäßig streit über die Höhe der Wiederherstellungskosten und des Betriebsunterbrechungsschadens.
Die Darlegung des Schadens
Das Unternehmen muss den geltend gemachten Schaden darlegen und beweisen. Das ist in der Praxis oft schwierig, denn mitten im Cyberangriff hat das Unternehmen meist andere Prioritäten als eine genaue Dokumentation der Wiederherstellungskosten – noch dazu, wenn eine Arbeit auf den Systemen zeitweise nicht möglich ist. Kann das Unternehmen aber die konkrete Wiederherstellungsmaßnahme (etwa Überstunden) nicht nachweisen, muss der Cyberversicherer diese Wiederherstellungskosten auch nicht ersetzen.
Darüber hinaus ist die genau Berechnung des erlittenen Betriebsunterbrechungsschadens meist umstritten. Die vom Cyberversicherer beauftragten Gutachter stehen nicht selten dem Cyberversicherer als regelmäßigem Auftraggeber näher als dem geschädigten Unternehmen.
Handlungsempfehlungen
Für das betroffene Unternehmen kann es sich lohnen, möglichst frühzeitig den Betriebsunterbrechungsschaden durch einen eigenen Sachverständigen begutachten zu lassen oder zumindest durch eine gute Datenlage die spätere Begutachtung zu ermöglichen.
Des Weiteren ist die Vorbereitung auf einen erfolgreichen Cyberangriff entscheidend. Das Unternehmen sollte über physisch abgelegte Ablaufpläne verfügen. Externe Dienstleister sollten schon vor einem Cyberangriff das Unternehmen kennen. Frühzeitig in der Krise eingeschaltet können auch Unternehmensberater und Rechtsanwälte bei der Dokumentation und Kommunikation mit dem Versicherer wertvolle Unterstützung bieten.
Eine enge Abstimmung mit dem Cyberversicherer zu den konkreten Maßnahmen der Wiederherstellung ist empfehlenswert. Maßnahmen, die der Versicherer freigibt, sind in aller Regel auch vom Versicherungsschutz gedeckt.
Fazit
Die Stolperfallen auf dem Weg zu einer vollständigen Schadenregulierung sind vielseitig und sollten schon vor Abschluss eines Versicherungsvertrags bekannt sein und berücksichtigt werden. Eine umfassende physische Dokumentation der Vertragsverhandlungen und Kommunikation mit dem Versicherer ist wichtig. Für Unternehmen gilt: Die gute Vorbereitung auf einen erfolgreichen Cyberangriff verkürzt nicht nur die Betriebsunterbrechung, sondern ermöglicht auch eine optimale Durchsetzung des Versicherungsanspruchs. Die frühzeitige Einbindung von Experten, die idealerweise schon vor dem Cyberangriff das Unternehmen kennen, erhöht darüber hinaus die Durchsetzungschancen.
Autor: Dr. David Ulrich
Dieser Beitrag erschien zuerst in der Zeitschrift "IT-Sicherheit" Ausgabe 05-2024
Mehr Aktuelles:
Mehr Aktuelles:
Verzinsung von Versicherungsleistungen – Potenziale und Fallstricke in der Praxis
Verzinsung von Versicherungsleistungen – Potenziale und Fallstricke in der Praxis
Umfangreiche Sachschäden reguliert der Versicherer oft erst nach Jahren. Stehen Versicherungsnehmern in diesem Fall Zinsen zu? Johannes Laiblin und Tobias Wessel geben darauf Antworten.
"Top-Kanzlei für Prozessführung": WirtschaftsWoche zeichnet WILHELM aus
"Top-Kanzlei für Prozessführung": WirtschaftsWoche zeichnet WILHELM aus
In ihrer aktuellen Ausgabe zeichnet die WirtschaftsWoche die führenden Kanzleien in der gerichtlichen Streitbeilegung aus. WILHELM ist erstmalig unter den genannten "Top-Kanzleien" und Dr. Fabian Herdter einer der führenden Anwälte.
Exportkreditgarantien: Lückenhafter Schutzschild für kritische Ausfuhrprojekte?
Exportkreditgarantien: Lückenhafter Schutzschild für kritische Ausfuhrprojekte?
In seinem Vortrag bei der Veranstaltung „Kreditrisiken 2024“ des GVNW erläuterte Dr. Fabian Herdter die Fallstricke der auch als Hermesdeckungen bekannten Exportkreditgarantien.
In anderen Umständen: Was bringt eine Umstandsmeldung in der D&O-Versicherung?
In anderen Umständen: Was bringt eine Umstandsmeldung in der D&O-Versicherung?
Die Meldung von Umständen ist ein wichtiges Instrument für Versicherungsnehmer und versicherte Manager in der D&O-Versicherung. Worauf dabei zu achten ist, erklärt Dr. Fabian Herdter.
Der fragwürdige Einwand der Kardinalpflichtverletzung in der D&O
Der fragwürdige Einwand der Kardinalpflichtverletzung in der D&O
Wenn der Versicherer dem Manager die Verletzung „elementarer Berufspflichten“ vorwirft, ist der Versicherungsschutz schnell verloren. In seinem Vortrag auf dem DGVH-Tage kritisierte Dr. Friedrich Isenbart diese Praxis in einem Vortrag.
Zwischen Ressort- und Gesamtverantwortung: Welcher Vorstand haftet wann?
Zwischen Ressort- und Gesamtverantwortung: Welcher Vorstand haftet wann?
Grundsätzlich tragen alle Mitglieder des Vorstands Verantwortung für das Unternehmen. Doch lässt sich durch eine Ressortverteilung die Haftung minimieren? Dr. Mark Wilhelm zeigt Möglichkeiten und Grenzen eines solchen Vorhabens auf.
Cyberversicherung: Stolperfallen in der Schadenregulierung
Cyberversicherung: Stolperfallen in der Schadenregulierung
Nach Cyberangriffen kommt es häufig zu Diskussionen über den Versicherungsschutz. Mit Einwänden versuchen Cyberversicherer ihre Leistungspflicht zu begrenzen. Dr. David Ulrich wirft einen Blick auf häufige Streitpunkte.
Handelsblatt, WirtschaftsWoche und FOCUS Business zeichnen WILHELM aus
Handelsblatt, WirtschaftsWoche und FOCUS Business zeichnen WILHELM aus
Alle drei Jahres-Rankings zählen unsere Sozietät erneut zu den führenden Kanzleien im Versicherungsrecht. Die vom Handelsblatt befragten Juristen würdigten zudem unsere Expertise in M&A und Konfliktlösung.
Rücktritt und Anfechtung in der Cyberversicherung: Aktuelle Urteile und Handlungsempfehlungen
Rücktritt und Anfechtung in der Cyberversicherung: Aktuelle Urteile und Handlungsempfehlungen
Wann darf der Cyberversicherer den Vertrag anfechten? Dr. Fabian Herdter analysiert zwei aktuelle Urteile zur vorvertraglichen Anzeigepflichtverletzung.