Vertrauensschaden- (VSH) versus Cybercrime-Versicherung

von Vkfm. Georg Eisenzopf Geschäftsführer SIVAG GmbH

Vielen Lesern stellt sich bei diesem Thema die Frage, welches Versicherungsprodukt wie und wann einzusetzen ist. Ist eine Kombination oder eine jeweilige Einzelsparte sinnvoller und wo liegen die Unterschiede? Haben beide Versicherungen heutzutage den gleichen Stellenwert wie eine Feuerversicherung? Fragen über Fragen, aber eines ist sicher: Cyberschäden treten mittlerweile häufiger als Feuerschäden auf.
Am Markt gibt es folgende Produktarten:
• Reine Cybercrimeversicherung
• Cybercrimeversicherung mit einschließbarer VSH-Deckung
• Cybercrime mit Haftpflicht und VSH-Einschluss und BU-Komponente
• Vertrauensschadenversicherung mit Cyberbaustein oder auch VSH alleine.

Wie aus der Aufzählung dieser Produktvarianten schon ersichtlich ist, sind diese Produkte verwandt, und überschneiden sich in vielen Punkten.

Was sind die Merkmale einer Cyberversicherung?
Hier handelt es sich der Definition nach vorwiegend um eine Haftpflichtversicherung mit Assistance-Leistungen nach einem Cyberangriff. Versichert sind die Folgen eines Cyberangriffes inkl. der Wiederherstellung der IT-Infrastruktur. Eine Hotline und Sofortberatung anlässlich eines Schadensfalles sind meist schon Standard bei diesen Produkten. Dazu gehört auch die BU-Versicherung, welche im Schadensfall den Ausfall von Deckungsbeiträgen ersetzt. Es gibt Branchen bzw. kleine Unternehmen, wie z. B. Friseur oder Fleischer, bei welchen es durch einen Hackerangriff eher zu keinem Betriebsunterbrechungsschaden kommen kann (z. B. Kassensystem eines Friseurs oder Fleischers), sodass hier die BU-Komponente eine untergeordnete Rolle spielt. Gedeckt sind z. B. indirekte und direkte Hackerschäden. Je größer der Betrieb ist bzw. je mehr IT-Steuerung eingesetzt wird, desto wichtiger wird die BU-Komponente in der Cyberversicherung. Maßgeblich sind jedoch die Obliegenheiten und sonstigen Vorschriften zur Sicherung der Daten und der IT-Infrastruktur. Oft hat der Versicherungsnehmer jedoch keinen Einfluss auf die Servicierung und die regelmäßigen Updates, sodass es sehr schnell zu einer Ablehnung im Schadensfall kommen kann. Beispielsweise kann der Kunde kaum Einfluss darauf nehmen, ob die Firewall die aktuellste Version zum Zeitpunkt des Schadens installiert hatte oder nicht, besonders wenn diese Dienstleistung ausgelagert ist. Wenn wir dieses Beispiel vertiefen: Die Betreuung einer Firewall war ausgelagert, der Dienstleister hat verabsäumt, die neueste Version der Firmware (Betriebssoftware für die Firewall) zu installieren, dadurch war ein Hackerangriff erfolgreich. Der dadurch entstandene Schaden wurde nicht von der Cyberversicherung übernommen, da eine Obliegenheitsverletzung vorlag, der Schaden wurde letztendlich von der Vertrauensschadenversicherung übernommen und der Versuch der Vertrauensschadenversicherung, sich am Softwaredienstleister zu regressieren, wurde durch die AGB des Softwaredienstleisters vereitelt. Manche Versicherer haben hier Obliegenheiten formuliert, worauf besonders zu achten ist. Gedeckt sind auch keine Schäden durch „Diebstahl von Geld“, z. B. durch das Hacken von Telebanking-Systemen bzw. das Abfangen von Zugangsdaten mittels SMS oder sonstigen Übermittlungsmethoden.
Ein weiteres Beispiel: Durch eine eingeschleuste Software wurden in einem Unternehmen sieben Monate lang die Eingaben und Bildschirmtätigkeiten des Bankprogrammes überwacht bzw. übermittelt und kontrolliert. Am Tage der Überweisung von Gehältern und Sonderzahlungen wurde vom „Täter“ in den Überweisungsvorgang eingegriffen. Dieselbe Summe, die Gehälter und Sonderzahlungen ausmachten, wurde widerrechtlich an ein Konto in einem anderen Land überwiesen, der Schaden wurde an einem Freitagmittag verursacht und bei Bekanntwerden am Montag konnte die Überweisung nicht mehr zurückgebucht werden. Die Cybercrimeversicherung bezahlte die Sofortmaßnahmen aus den Assistance-Leistungen. Die Vertrauensschadensversicherung hat in diesem Fall 380.000 Euro als Ersatz für das entwendete Geld erstattet.
Lesen Sie mehr in der aktuellen risControl Print Ausgabe: https://issuu.com/riscontrol/docs/riscontrol_2021_02_web