Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat Musterbedingungen für die Cyberversicherung überarbeitet. In der aktuellen Fassung seien notwendige Änderungen und Klarstellungen unter anderem im Zusammenhang mit mobilem Arbeiten, externen Dienstleistern, Kriegen und staatlichen Angriffen sowie bei den Obliegenheiten eingearbeitet worden.
Im April 2017 hatte die Versicherungswirtschaft erstmals unverbindliche Musterbedingungen für eine Cyberversicherungspolice vorgestellt. Damit reagierte der Versicherer-Verband auf die zunehmende Anzahl der Cyber-Angriffe und der daraus resultierenden finanziellen Schäden. Ein Grund für die Anfälligkeit von vor allem kleinen oder mittelständischen Unternehmen sei im mangelnden Risikobewusstsein für die Gefahren im Netz zu finden. Das unterstrich eine damalige Forsa-Studie, die der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in Auftrag gegeben hatte.
Um den Versicherern bei der Entwicklung eigener Angebote zu helfen, hatte der GDV die Musterbedingungen entwickelt. Für Unternehmen und Makler sollten die Bedingungen als Vergleichsmaßstab gelten, um Versicherungsangebote bewerten zu können, hieß es in einer Pressemitteilung.
Sieben Jahre später haben sich die Gefahren und die Absicherung deutlich gewandelt. Die Risiken und die entsprechende Risiko-Abwehr muten einem Katz- und Mausspiel an. Einhergehend damit hat sich der Lobby-Verband erneut den Musterbedingungen für die Cyberrisikoversicherung gewidmet und diese auf den Stand 2024 gehoben. „Seit der Erstveröffentlichung im Jahr 2017 hat sich der Cyberversicherungsmarkt sehr dynamisch entwickelt, zudem haben sich auch manche Rahmenbedingungen verändert: Mehr Beschäftigte arbeiten mobil, Anwendungen werden zunehmend über Cloud Computing angeboten, die Datenschutzgrundverordnung hat neue Schadenersatzansprüche bei Datenlecks geschaffen. Die neuen Musterbedingungen tragen diesen Entwicklungen Rechnung”, sagt GDV-Hauptgeschäftsführer Jörg Asmussen. An der grundlegenden Struktur einer Cyber-Police ändere sich hingegen nichts. „Eine Cyberpolice nach GDV-Musterbedingungen bietet kleinen und mittleren Unternehmen umfassenden Versicherungsschutz gegen Cyberangriffe“, so Asmussen.
Zu den Anpassungen zählen unter anderem die folgenden Punkte:
- Mobiles Arbeiten: Die neuen Musterbedingungen stellen klar, dass auch der Fernzugriff auf die Unternehmens-IT versichert ist.
- Verletzung von Datenschutzgesetzen: Seit 2018 räumt die Datenschutzgrundverordnung (DSGVO) den Betroffenen eines Datenlecks ein Recht auf Schadenersatz ein. Da von einem solchen Datenleck oft viele Menschen betroffen sind, können diese Zahlungen sehr hoch ausfallen. Dieses Risiko wird in der Neufassung der Musterbedingungen mitversichert.
- Krieg und staatliche Angriffe: Die Neufassung stellt klar, dass ein Krieg im Sinne der Bedingungen nicht den Einsatz physischer Waffengewalt voraussetzt. Schäden durch Kriegshandlungen sind auch dann ausgeschlossen, wenn der Krieg mit digitalen Mitteln geführt wird. Darüber hinaus formulieren die neuen Musterbedingungen einen Ausschluss für staatliche Cyberangriffe. Demnach sind Schäden ausgeschlossen, die eine direkte oder indirekte Folge eines erfolgreichen staatlichen Angriffs auf kritische Infrastrukturen sind.
- Externe Dienstleister: Schäden infolge einer Störung bei externen Dienstleistern wie Cloud-Anbietern, Rechenzentren oder Software-as-a-Service-Lösungen waren vom Versicherungsschutz bislang ausgeschlossen. Diese Einschränkung wird in den neuen Musterbedingungen größtenteils aufgehoben: Werden beim Dienstleister gespeicherte Daten manipuliert, mit Schadsoftware infiziert oder für unberechtigte Personen zugänglich, besteht Versicherungsschutz. Weiterhin ausgeschlossen bleibt hingegen der Ausfall des Dienstleisters, also die fehlende Verfügbarkeit der Daten.
- IT-Sicherheitsniveau: Die vom versicherten Unternehmen zu erfüllenden Obliegenheiten wurden neu formuliert, um den aktuellen technischen Stand abzubilden und das Verständnis beim Leser zu verbessern. Die Basis für ein angemessenes IT-Sicherheitsniveau bilden weiterhin die bekannten, einfach umzusetzenden Maßnahmen wie regelmäßige Datensicherungen, starke Passwörter, individuelle Zugänge, Virenscanner, Firewalls und schnell installierte Sicherheitsupdates.
Am grundlegenden Bedarf für Unternehmen hat sich derweil nichts geändert. Denn der Mittelstand unterschätzt weiterhin die Gefahren aus dem Web. Gleichzeitig wird das eigene Sicherheitsniveau überschätzt. „Eine Cyberversicherung kann das Risiko eines Hackerangriffs absichern – ein solcher Schutz setzt aber ein gewisses Maß an IT-Sicherheit voraus. Wir werden daher weiter aktiv daran arbeiten, die IT-Sicherheit der deutschen Wirtschaft zu verbessern“, sagt Asmussen.
Doch nicht nur Wirtschaft und Versicherer seien in puncto Cybersicherheit in der Pflicht. Auch die Politik müsse ihren Beitrag leisten, indem sie klare Zuständigkeiten und Rahmenbedingungen für mehr Cybersicherheit schaffe. Großflächige Angriffe auf Privatpersonen und Unternehmen müssten von den zuständigen Behörden schnell erkannt und bekannt gemacht werden. Idealerweise sollte es an dieser Stelle auch Hinweise zur Abwehr des Angriffs geben. Staatsanwaltschaften und Polizeibehörden seien hier gefordert. Sie sollten sowohl als Partner der Betroffenen agieren als auch einen hohen Ermittlungs- und Fahndungsdruck auf die Täter ausüben „Erfolge im Kampf gegen Cyberkriminelle sind möglich – setzen aber eine gemeinsame Anstrengung aller Akteure voraus“, so Asmussen.