Das Thema
Die berechtigte Befürchtung von Cyberattacken betroffen zu werden, nimmt nicht ab. Viele Unternehmen, unabhängig von ihrer Größenzuordnung, versuchen vor diesem Hintergrund das Risiko zu mildern, in dem sie eine Versicherung gegen Cyberattacken abschließen – ein Angebot, das in diesen Tagen von Versicherungsunternehmen kräftig beworben wird, insbesondere im KMU Umfeld.
Dabei spielt es nur eine untergeordnete Rolle, welcher Branche die Unternehmen angehören. Was sich jedoch branchenübergreifend herauskristallisiert, ist, dass viele der beantragenden Unternehmen eine Ablehnung durch die Versicherer erfahren. Dies erfolgt auch versicherungsübergreifend.
Warum wird das so wahrgenommen?
Wie bei den aller meisten Versicherungen, die abgeschlossen werden, sei es Lebens- oder Sachversicherungen, steht vor der Kür die Pflicht. Das bedeutet, dass die Versicherer nicht einfach auf Antrag versichern, sondern vor der Policierung ein Prüfverfahren zur Risikoabwägung durchführen. Damit kommen die Versicherungen ihrer Pflicht der Risikobeurteilung nach und schützen somit sich selbst sowie die anderen Versicherungsnehmer.
In aller Regel erhalten die Unternehmen, die über ihren Makler eine Cyberversicherung anstreben, einen umfangreichen Fragebogen zugeschickt, den es wahrheitsgemäß auszufüllen gilt. Dieser wird im Prozess der Antragstellung durch Fachleute der Versicherer geprüft. Bei eben diesen Prüfungen fielen bereits 2021 bei einem Industrieversicherer rund 70 % der Antragsteller durch und erhielten keine Versicherungspolice, wie in einem Interview auf finance-magazin.de berichtet wurde.
Die Anforderungen der Versicherer an die Unternehmen bezüglich der Eigenleistungen im Vorfeld einer Policierung sind hoch beziehungsweise weiter steigend. Das gleiche gilt auch für die Anzahl der täglichen Cyberangriffe auf die Unternehmen. Beispiele hierzu, für verschiedene „Online Monitoring“ Möglichkeiten von Cyberangriffen, finden Sie auf der Seite https://geekflare.com/de/real-time-cyber-attacks/.
Durch die Ablehnung der Versicherungsanträge sind antragstellende Unternehmen weiterhin wirtschaftlich nicht durch eine Cyberversicherung gegen die Kosten durch Cyberattacken geschützt.
Wie könnte die Ursachenforschung aussehen?
Die von einer Ablehnung betroffenen Unternehmen sind in der Regel weniger gut aufgestellt als von ihnen selbst vermutet, wenn es um die Sicherheit ihrer Informationen bzw. informationsverarbeitenden Systeme geht. Zudem sind viele Unternehmen in ihrem operativen Tagesgeschäft so eingebunden, dass eine transparente, nachvollziehbare und revisionssichere Dokumentation ihrer Maßnahmen zum Schutz ihrer Informationen bzw. informationsverarbeitenden Systeme nicht oder nicht hinreichend erfolgt.
„Was nicht dokumentiert ist, ist für die Prüfer in der Regel nicht existent.“ – so eine grundsätzlichen Prüferauffassung. Wie sonst sollten diese auch die Nachweise revisionssicher erfassen und Nachweisen?
Diese und weitere Versäumnisse werden in der Regel bei den Prüfungen der Versicherer aufgedeckt.
Dieser Sachverhalt erfreut weder Versicherungsmakler noch die Unternehmen, die sich durch den Abschluss einer entsprechenden Versicherung eine Risikoverlagerung bzw. -minderung erhofft haben. Dadurch, dass die meisten Versicherer eine Höchstsumme in den Policen festlegen, müssen Großunternehmen in der Regel mehrere Versicherungsgesellschaften einbinden. D.h. es müssen mehrfach entsprechende Prüfverfahren durchlaufen werden.
Noch schlimmer wird es, wenn Versicherungen Prüfer in die Unternehmen entsenden oder sich im Schadenfall herausstellt, dass nicht richtige Angaben bei der Antragstellung gemacht wurden.
Ein weiterer häufig anzutreffender Sachverhalt ist, dass die Anforderungen in den Versicherungsverträgen, dem so genannten Kleingedruckten, bei näherer Betrachtung, durch die Unternehmen nicht erfüllt werden. Das bedeutet, dass die Versicherung trotz Policierung nicht oder nur eingeschränkt leistungspflichtig ist.
Damit verbunden sind möglicherweise weiterreichende Folgen, wie beispielsweise eine Verweigerung der Begleichung eines möglichen Schadens und/oder die Aufhebung der Policierung durch die Versicherung. Zukünftige Policierungen könnten durch Versicherer auch verweigert oder kostspieliger (Risikoaufschlag) werden. Weitere Konsequenzen könnten Strafanträge und Schadenersatzforderungen gegen die gesetzlichen Vertreter des Unternehmens oder des Managements sein, zum Beispiel wegen Verletzung ihrer Obliegenheits- und Sorgfaltspflichten.
Vor der Kür kommt die Pflicht - die Lösung!
Sowohl Versicherungsmakler als auch Unternehmen, die beabsichtigen entsprechende Versicherungen abzuschließen, ist in der Regel durch fachkundige Unterstützung im Vorfeld einer Beantragung sehr geholfen.
Dabei können durch die Bewertungen unternehmensinterner (Sicherheits-) Maßnahmen in der Informationsverarbeitung Stolperfallen aufgezeigt und Workbooks formuliert werden, um zeitnah Maßnahmen zur Behebung einzuleiten. Auf dieser nachweisbaren, transparenten und dokumentierten Basis ist eine erfolgreiche Policierung wesentlich wahrscheinlicher.
Darüber hinaus sollten Unternehmen, die eine Policierung erhalten haben, genau prüfen, was im Kleingedruckten der Versicherungsvereinbarungen steht.
Häufig formulieren Versicherungen in diese Vertragsbestanteile Vorgaben für die Versicherten, bei deren Nichteinhaltung durch das versicherte Unternehmen es zu keinem Versicherungseintritt kommt oder in abgeschwächter Form, wie beispielsweise bei einer Unterversicherung in der privaten Hausratversicherung.
Gleichwohl ist auch nach einem vermeidlichen Schadenseintritt eine Nachweisführung, für die Ermittlung der Schadenssumme, ein überaus komplexes und mit vielen zu berücksichtigen Variablen versehenes Vorhaben. Auch hier sollte sich ein betroffenes Unternehmen sachkundige Unterstützung heranziehen.
Versicherungsunternehmen selbst sollten auch Unterstützungen in Betracht ziehen. Sowohl bei der Antragsprüfung sollte entsprechend sachkundige Unterstützung eingesetzt werden als auch bei der Prüfung von Unternehmen und deren (IT Sicherheits-) Maßnahmen vor Ort, um die in den Anträgen gemachten Angaben zu verifizieren.
Über den Autor
Der Autor ist seit nunmehr fast 30 Jahren in den Bereichen GRC-Implementierung, IT-Auditierung, Datenschutzumsetzung sowie Notfallmanagement und Revisionstätigkeiten zu Hause. Herr Dr. Krause hat verschiedene Examen in dem Bereich erfolgreich abgelegt, u.a. CISA, CISM, CDPSE, MBCI, ISO 27001 Auditor, ISO Sec. Officer, KRITIS Prüfberechtigt, Zertifizierter Datenschutz-Auditor, Zertifizierter Datenschutzbeauftragter. Seine Gesellschaft unterstützt in den o.g. Bereichen sowohl Makler, Unternehmen als auch Versicherer. Sie Erreichen ihn bei der compliance-net GmbH, Robert-Bosch-Straße 32, 63303 Dreieich oder via Mobile +49 172 65 17 99 5 bzw. via E-Mail: klaus.d.krause@compliance-net.com.