Navigation
Seiteninhalt

„Haben Sie schon den Erfolg Ihrer Digitalisierung versichert?“

Neue Technologien und die digitale Transformation in Unternehmen bringen nicht nur Vorteile, sondern stellen das Management vor neue Herausforderungen. Insbesondere das Risiko von Cyberangriffen steigt mit der fortschreitenden Digitalisierung. Der österreichische Versicherungsmarkt hat auf diese neuen Risiken reagiert und bietet vermehrt Versicherungen gegen Schäden aus Cyberangriffen an.
Von Mag. (FH) Mikhail Arshinskiy MSc, Mag. Karin Mair CFE, Mag. Shahanaz Müller BA, Ilse Schlepitzka LL.B. (WU)
01. September 2017 / Erschienen in Compliance Praxis 3/2017, S. 34

1. Einleitung

Digitalisierung betrifft uns alle: Unternehmen befinden sich in einem Digitalisierungsprozess und arbeiten an innovativeren Produkten sowie Dienstleistungen, Privatpersonen profitieren von Trends, wie dem autonomen Fahren und „Smart Living“. Die Unternehmen stehen beim Digitalisierungsprozess vor der Herausforderung, datenbezogene Systeme und neue Technologien zu entwickeln sowie einzusetzen, grundlegende datenbezogene Prozesse zu überarbeiten und gleichzeitig datenschutzrechtliche Vorschriften zu berücksichtigen. Stetig steigen damit für Unternehmen die Anforderungen an Cyber-Security-Maßnahmen. Denn das organisierte Verbrechen nutzt die Digitalisierung für neue Formen der (Cyber-)Kriminalität. Doch auch die besten Cyber-Security-Maßnahmen bieten keinen hundertprozentigen Schutz vor Angriffen, sodass ein gewisses Restrisiko bestehen bleibt.

Um im Falle eines Angriffs die Schäden so gering wie möglich zu halten, gehört der Abschluss einer Cyber-Versicherung in den USA mittlerweile zum Versicherungsportfolio eines jeden Unternehmens. Dies ist ua auch auf die zwingende Meldepflicht von Cyber-Angriffen bzw Datenschutzverletzungen zurückzuführen, die es in den USA schon seit 2002 gibt.1

Im Vergleich dazu sind in Österreich erst rund 3 Prozent gegen Cyberangriffe versichert, wobei davon auszugehen ist, dass sich diese Zahl in den nächsten Jahren deutlich erhöhen wird.2 Diese Entwicklung ist einerseits vor dem Trend der Digitalisierung zu sehen, da sich Unternehmen mit ihrem Datenhaushalt näher befassen und teilweise grundlegende datenbezogene Prozesse überarbeiten (müssen). Andererseits werden Unternehmen mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 nun auch dazu verpflichtet, Datenschutzverletzungen an die Aufsichtsbehörde und gegebenenfalls auch an die Betroffenen zu melden.3

Im vorliegenden Beitrag werden unterschiedliche Ausprägungen des Begriffs Cybercrime dargestellt. Anschließend wird anhand eines Fallbeispiels auf die wesentlichen Parameter, Chancen und Risiken von Cyber-Versicherungen für Unternehmen eingegangen.

2. Cybercrime – Definition und Ausprägungen

Dass das Thema Cybercrime auch für österreichische Unternehmen von Relevanz ist, zeigt die aktuelle Studie des Allianz Risk Barometers, einer zum sechsten Mal in 55 Ländern durchgeführten Umfrage, wonach Cyber- und IT-Risiken mit 32 Prozent die zweitgrößte Gefahr für österreichische Unternehmen darstellen.4 In der Finanzindustrie steigt diese sogar auf 40 Prozent.5 Auch das Bundeskriminalamt verzeichnete 2016 eine Zunahme von 30,9 Prozent an Anzeigen von Cyberdelikten.6

Wie bereits kurz angedeutet, zeichnet sich der Begriff Cybercrime durch seine stetige Weiterentwicklung, unterschiedliche Ausprägungen und eine Vielzahl an Angriffsmöglichkeiten aus. Es ist also nicht verwunderlich, dass sich dem österreichischen StGB keine (umfassende) gesetzliche Definition des Begriffs entnehmen lässt. Diverse damit zusammenhängende Tatbestände wurden im StGB einerseits im fünften („Verletzung der Privatsphäre und bestimmter Berufsgeheimnisse“) und im sechsten Abschnitt („Strafbare Handlungen gegen fremdes Vermögen“) normiert, die im Wesentlichen aus der am 23. November 2001 von Österreich unterzeichneten Cyber-Crime-Konvention des Europarats resultieren.

Eine mögliche Definition findet sich im Gabler Wirtschaftslexikon sowie im Jahresbericht des BKAs wieder, wonach unter Cybercrime jegliche Vergehen subsumiert werden, die unter Verwendung des Internets und mit Hilfe von Informations- und Kommunikationstechnik begangen werden.7 Gemeinsames Merkmal einiger österreichischer Cybercrime-Tatbestände ist, dass diese nur mit Ermächtigung des Verletzten verfolgt werden (zB §§ 118, 119a StGB).

Die meisten Cyberdelikte werden durch sog Ransomware8 (auch Krypto-Trojaner genannt) oder Denial of Service (DoS)9-Attacken begangen,10 wobei diese auf einen rasant wachsenden, professionell ausgestatteten kriminellen Wirtschaftszweig zurückzuführen sind. Das Ziel dieser Cyberangriffe ist nicht immer die Vermögensbereicherung des Angreifers, sondern oft auch die reine Zerstörung von Daten oder Sabotage. Grundsätzlich kann jedes Unternehmen Ziel eines Cyberangriffs werden und hat auch seinen Preis im „Darknet“,Der Begriff Darknet bzw. Darknet Markt bezeichnet den im Internet betriebenen Schwarzhandel. Gezahlt wird üblicherweise mit Bitcoins oder ähnlichen anonymen Währungen. 11 wo um wenige US-Dollar ua Ransomware-Toolkits12 oder Bot-Netze13 sowie gestohlene Datensätze erworben werden können.

Mögliche Schäden, die aus einem Cyberangriff resultieren, sind in erster Linie der Datenverlust bzw Datendiebstal, die laut aktueller Ponemon Institute Studie „Cost of Cyber Crime Study & the Risk of Business Innovation 2016“ als die teuerste Folge eines Cyberangriffs qualifiziert werden.14 Weitere Schäden, die aus einem Angriff resultieren, sind Datenschutzverletzungen, Ertragsausfälle durch Betriebsunterbrechungen, Entzug von geistigem Eigentum und massive Reputationsschäden. Hinzukommen auch Kosten für Leistungen iZm IT-Forensik, Rechtsberatung und PR- bzw Krisenmanagement, die im Schadensfall unentbehrlich sind. Die durchschnittlich dafür pro Angriff anfallenden Kosten belaufen sich laut einer aktuellen Studie „2016 Cyber Claims Study“ von NetDiligence auf rund 357.000 USD.15

Zwar gibt es mittlerweile einige Publikationen zur Quantifizierung der Schäden, die durch Cybercrime verursacht werden, allerdings sind diese vor dem Hintergrund zu sehen, dass eine Vielzahl von Cyberangriffen weder von den Unternehmen aufgearbeitet noch gemeldet wird und dadurch die Dunkelziffer weitaus höher sein kann. In einer Studie von McAfee und CSIS wurde der global verursachte Schaden im Jahr 2014 auf rund 400 Mrd USD weltweit geschätzt.16 Aus der bereits zuvor zitierten Studie von NetDiligence17 geht hervor, dass die Kosten eines Angriffs bis zu 15 Mio USD betragen können, wobei die höchsten Schäden die Finanzbranche treffen.18 Der Versicherer Lloyd‘s warnte in einem jüngst veröffentlichten Report „Counting the cost – Cyber exposure decoded“19 davor, dass die Schäden von Cyberattacken die Wirtschaft „mehrere Dutzend Milliarden Dollar kosten“ können und damit „so teuer wie der Hurrikan ‚Sandy‘ im Jahr 2012“ seien. Diese Zahlen verdeutlichen, dass ein Cyberangriff existenzbedrohende Ausmaße annehmen kann und dieses Risiko daher von den Unternehmen nicht außer Acht gelassen werden sollte.

3. Cyber-Versicherungen – Chancen, Risiken und Herausforderungen

Aufgrund des wachsenden Risikopotenzials von Cyberangriffen wählen immer mehr Unternehmen die Option des Risikotransfers20 (Risikoüberwälzung) durch den Abschluss einer Cyber-Versicherung. Das Wesensmerkmal einer Versicherung besteht darin, dass diese als „ein geeignetes Mittel zur Deckung eines eventuellen Bedürfnisses nach Eintritt von Schäden"21 fungiert. Um für das Unternehmen eine optimale Abdeckung von Cyber- und IT-Risiken zu erzielen, sind gewisse Parameter vor dem Abschluss einer Cyber-Versicherung zu berücksichtigen, auf die nachfolgend eingegangen wird.

Fallbeispiel: Ransomware

Da die Software über einen längeren Zeitraum nicht aktualisiert wurde, verschaffen sich Hacker Zugang zum IT-System eines Krankenhauses. Dadurch gelingt es ihnen, zahlreiche Computer und medizinische Geräte durch Verschlüsselung sämtlicher Patientendaten lahmzulegen. Die Hacker verlangen für die Entschlüsselung der Daten eine größere Summe Geld in Form von Bitcoins. Außerdem kann nicht ausgeschlossen werden, dass eventuell personenbezogene (Gesundheits-)Daten entwendet wurden.

3.1. Definition

Analog zum Begriff „Cybercrime“ existiert für den Terminus „Cyber-Versicherung“ weder eine einheitliche noch anerkannte Definition, da es sich um ein relativ neues und noch im Wandel befindliches Produkt handelt. Eine mögliche Definition findet sich im Gabler Versicherungslexikon, in dem diese als „Versicherung von Eigen- und Drittschäden, die durch externe Angriffe aus dem Internet oder fahrlässigen Datenverlust verursacht wurden“22, definiert werden.

Derzeit gibt es im Gegensatz zu Deutschland in Österreich noch keine einheitlichen Versicherungsstandards für Cyber-Versicherungen, wodurch die am Markt angebotenen Versicherungsprodukte erhebliche Unterschiede aufweisen.

Auch die Versicherungen selbst befinden sich derzeit mit ihren Produkten in einer Art „Probephase“, da auch sie auf wenig bis gar keine Erfahrungswerte zurückgreifen können. Dies zeigt sich einerseits daran, dass neben den unterschiedlichen Bezeichnungen, die von „Hacker-Versicherung“ bis hin zu „Cybercrime-Versicherung“ reichen, auch die angebotenen Leistungen und Deckungsmöglichkeiten stark variieren. Auf die wesentlichen Bestandteile wird im Folgenden eingegangen.

3.2. Deckungsumfang und Bestandteile einer Cyber-Versicherung

Grundsätzlich besteht die Wahl zwischen einer eigenen Cyber-Versicherung und einer Erweiterung von bestehenden Versicherungen um Cyberrisiken (zB Betriebshaftpflicht- oder Betriebsunterbrechungsversicherung). Vorteil einer eigenen Cyber-Versicherung ist mitunter die Betreuung aus einer Hand, was insbesondere im Schadensfall von Vorteil sein kann. Zudem können aber auch gewisse Risiken nicht im Rahmen bestehender Versicherungen erweitert werden (zB Kosten für IT-Forensik und andere Support-Leistungen).

Was wird nun von einer Cyber-Versicherung gedeckt und welche Risiken sind überhaupt versicherbar? Bestehende Versicherungsprodukte weisen einen modularen Aufbau auf und umfassen idR Komponenten einer Haftpflicht-, Sach- und Betriebsunterbrechungsversicherung und stellen sowohl eine Eigen- als auch Drittschadensversicherung dar. Somit handelt es sich bei der Cyber-Versicherung meistens um eine Schadensversicherung (§§ 49 ff VersVG) mit Bestandteilen der Aktiven- sowie der Passivenversicherung.23

Von einer Cyber-Versicherung können beispielsweise nachfolgende Risiken und (Eigen- bzw Fremd-)Schäden abgedeckt werden:

  • Ertragsausfälle durch eine Betriebsunterbrechung in Folge eines Cyberangriffs,

  • Kosten für die Daten-, Software- und Systemwiederherstellung,

  • Vermögenschäden aus einer Datenschutzrechtsverletzung (ua Kosten für Benachrichtigungen der Dateninhaber und Meldepflichten, Ansprüche Dritter aufgrund einer Datenschutzverletzung),

  • Vertragsstrafen und Strafschadenersatz („punitive“ bzw „exemplary damages“),

  • Lösegeld und Kosten aufgrund eines Ransomware-Angriffs bzw einer Cyber-Erpressung,

  • Vermögenschäden aus der Verletzung von Persönlichkeitsrechten, Urheberechten und Markenrechten,

  • Vermögenschäden wegen strafbarer Handlungen (zB aufgrund von Täuschungen Dritter, Stichwort „Fake President Fraud“).24

Zusätzlich bieten Cyber-Versicherungen auch die Deckung von Support-Leistungen im Schadensfall an. Die Leistungen reichen von der Übernahme der Kosten für die Analyse durch IT-Forensiker, PR- und Krisenberatung bis hin zur Übernahme von Rechtsanwaltskosten. Hier verfügen die meisten Versicherungen über bestimmte Kooperationspartner, die vom Versicherungsnehmer in Anspruch genommen werden können. Zudem wird oft eine 24/7 Support-Hotline bereitgestellt, um den Versicherungsnehmer im Schadensfall optimal und zeitnah zu betreuen.

Abhängig vom jeweiligen Versicherer ist es möglich, auch nur einzelne Support-Leistungen bzw Risiken zu versichern und die Deckung individuell zu gestalten. Meistens gibt es sogenannte Basis-Deckungen, die dann durch Zusatz-Bausteine auf weitere Risiken erweitert werden können.

Fallbeispiel: Ransomware

Das Management hat vor kurzem eine Cyber-Versicherung für das Krankenhaus abgeschlossen. Inkludiert wurde neben einer Cyber-Haftpflicht und Cyber-Eigenschaden-Komponente auch der Ersatz von Support-Leistungen im Schadensfall.

3.3. Wesentliche Parameter für den Abschluss einer Polizze

In der Regel werden vor Abschluss einer Polizze gemeinsam mit dem Versicherer das bestehende Risiko und dessen Eintrittswahrscheinlichkeit erhoben, zB in Form von Fragebögen. Im Fokus stehen hierbei insbesondere bestehende Sicherheitsmaßnahmen und unternehmensinterne Standards. Darauf aufbauend werden anschließend vom Versicherer ein möglicher Deckungsumfang sowie die Prämie kalkuliert.

Ermittlung des Risikos und des Versicherungsbedarfs

Abseits der Risikoermittlung durch oder gemeinsam mit dem Versicherer sollte das bestehende Risiko im Rahmen des Risikomanagements stets unternehmensintern evaluiert werden.

Die Risiken hängen sehr stark ua von Unternehmensgröße, -art und -branche ab. So wird bei einem Dienstleistungsunternehmen, das idR viele personenbezogene Daten verwaltet bzw verwendet, das Risiko eines Ransomware-Angriffs deutlich größer sein als jenes einer DoS-Attacke. Produktions- oder Warenhandelsunternehmen werden hingegen anfälliger für eine DoS-Attacke sein. Der Versicherungsnehmer sollte daher ua folgende Fragen beantworten können: Welche Daten sind besonders wichtig oder gefährdet, welche Arten von Cybercrime sind eine Bedrohung und wie können Daten aus dem Unternehmen abfließen?

Ausgehend vom konkreten Risiko sollte definiert werden, gegen welche Gefahren die Versicherung abzuschließen ist bzw welcher Versicherungsbedarf besteht. Zudem sollte ermittelt werden, welche Support-Leistungen der Versicherte tatsächlich benötigt und in Anspruch nehmen wird. Beispielsweise wird die Inanspruchnahme von PR- und Krisenmanagement für ein Unternehmen nur dann von Relevanz sein, wenn das Reputationsrisiko entsprechend hoch ist.

Eventuell sind gewisse Risiken auch schon von bestehenden Polizzen abgedeckt, beispielsweise bei Betriebshaftpflicht- oder Betriebsunterbrechungsversicherungen. Um etwaige Mehrfach- oder Doppelversicherungen25 zu vermeiden und einen verlässlichen Versicherungsschutz zu gewährleisten, sollte ein genauer Vergleich zu bereits bestehenden Polizzen vom Versicherungsnehmer vorab vorgenommen werden.26

Zu achten ist hier insbesondere auf Subsidiaritätsklauseln in den Versicherungsverträgen, welche dazu führen, dass die Deckung aus einem Vertrag dann nicht greift, wenn schon aus einem anderen Versicherungsvertrag eine Deckung besteht.27 Solche Klauseln in Versicherungsverträgen sind grundsätzlich zulässig und auch üblich. Problematisch sind insbesondere Fälle, in denen beide Versicherungsverträge Subsidiaritätsklauseln enthalten. Dies könnte dazu führen, dass beide Versicherer die Leistung im Schadensfall verweigern.

Fallbeispiel: Ransomware

Ein Krankenhaus verarbeitet ua Gesundheitsdaten28, die als besonders schutzwürdige personenbezogene Daten29 iSd EU-Datenschutz-Grundverordnung gelten. Dies erhöht beispielsweise das Risiko eines Ransomware-Angriffs und einer Datenschutzverletzung. Andererseits sinkt beispielsweise das Risiko eines DoS-Angriffes, da kein Online-Shop oder eine betriebsnotwendige Website betrieben wird.

Vergleich der am Markt angebotenen Versicherungsprodukte

Wie bereits dargelegt, unterscheiden sich die derzeit am Markt angebotenen Versicherungen erheblich und es liegen derzeit noch keine allgemeinen Versicherungsbedingungen dazu vor. Die Unterschiede sind teilweise eklatant und betreffen die angebotenen Deckungssummen, Prämien und Deckungsbausteine. Auch sind einige Versicherungsprodukte nur auf gewisse Branchen ausgerichtet, beispielweise auf kleine und mittlere Betriebe.

Dies erfordert einen Vergleich der am Markt angebotenen Versicherungen, sodass ein auf das Unternehmensrisiko abgestimmtes Produkt gewählt werden kann.

Unterschiedliche Definitionen in Versicherungsbedingungen

Derzeit unterscheiden sich in den Versicherungsprodukten am Markt auch die Definitionen der einzelnen Tatbestände, wie zB Cyber-Erpressung, Hacker-Angriff, Informationssicherheitsverletzung oder Netzwerksicherheitsverletzung, da es für diese Fachbegriffe oft noch keine allgemein gültigen Definitionen gibt. Häufig wird auch in den Versicherungsbedingungen auf weitere Fachbegriffe verwiesen. Um mögliche Deckungslücken zu vermeiden, sollten die Definitionen und Versicherungsbedingungen vor Vertragsabschluss auf mögliche Missverständnisse und Unklarheiten gesichtet werden.

Fallbeispiel: „Fake President Fraud“

Im Zuge der IT-forensischen Analysen wird festgestellt, dass sich im Krankenhaus ein „Fake President Fraud“-Fall ereignet hat. Aufgrund einer manipulierten E-Mail und eines vorgetäuschten Anrufs im Namen des Vorstands tätigte eine Mitarbeiterin der Buchhaltung eine Überweisung iHv 200.000 EUR für den angeblichen Erwerb eines neuen medizinischen Geräts. Das Management des Krankenhauses macht nun den Vermögensschaden im Rahmen seiner Cyber-Versicherung geltend. Der Versicherer weist den Anspruch jedoch zurück und verweigert die Deckung, da ein solcher Fall nicht von den Versicherungsbedingungen umfasst ist.30

Vorabüberlegungen zu Cyber-Security-Schutzmaßnahmen

Trotz der Möglichkeit des Risikotransfers durch Abschluss einer Cyber-Versicherung gibt es einige Maßnahmen, die ein Unternehmen unabhängig treffen sollte bzw aufgrund gesetzlicher Verpflichtungen zu implementieren hat.31 Zuvor wurde bereits dargelegt, dass das zu versichernde Risiko und der konkrete Versicherungsbedarf oftmals mit Hilfe von Musterfragebögen vom Versicherten abgefragt werden. Eine der geläufigsten Fragen hierbei betrifft bereits im Unternehmen implementierte IT-Schutzmaßnahmen, da angebotene Prämien und Versicherungssummen stark mit den bestehenden Schutzmaßnahmen zusammenhängen.32

Best Practices iZm Cybercrime

Mögliche technische Maßnahmen zur Reduzierung des Risikos sind ua die regelmäßige Erstellung von Backups, die Verschlüsselung von Daten, regelmäßige Passwortänderungen, regelmäßige Softwareupdates, die Einführung von Firewalls und Antivirensoftware. Abseits der technischen Möglichkeiten sollten auch organisatorische Maßnahmen gesetzt werden, wie Verhaltensrichtlinien, die Entwicklung eines „Incident-Response-Plans“,33 kontinuierliche Überprüfungen (zB „Penetration Tests“) und eine klare Verteilung von Zuständigkeiten.

Wichtig ist auch, dass das Cyber-Risiko nicht als reine IT-Frage gesehen, sondern ganzheitlich im Unternehmen betrachtet wird. Das Verhalten der Mitarbeiter und ihr Bewusstsein („Awareness“) sind dabei ein wesentlicher Faktor für den Schutz vor Cyberangriffen. Viele aktuelle Methoden von Cybercrime richten sich dezidiert an einzelne Mitarbeiter oder eine bestimmte Gruppe im Unternehmen (zB E-Mail-Phishing, Social-Engineering). Mit Hilfe von regelmäßigen Schulungen und Trainings kann die Awareness der Mitarbeiter gesteigert und dadurch das Risiko minimiert werden.

Schließlich besteht die Möglichkeit, durch Zertifizierungen (zB ISO 27001, EuroPrise, SOC2) den Nachweis eines Sicherheitsstandards und einer regelkonformen Datenverarbeitung zu erbringen.

Inanspruchnahme von Supportleistungen durch Externe

Die meisten Cyber-Versicherungen beinhalten auch die Abdeckung von Supportleistungen, wie zB die Kosten für IT-Forensiker, Rechtsanwälte, PR-Krisenmanagement und Sachverständige. Hier sollte vor Beauftragung externer Berater und Dienstleister darauf geachtet werden, ob es Einschränkungen in den Versicherungsbedingungen gibt.

Beispielsweise kann vereinbart sein, dass die Kosten für IT-Forensiker nur für einen bestimmten Zeitraum ersetzt werden. Bei Cyber-Versicherungen besteht idR auch eine Einschränkung auf bestimmte Kooperationspartner des Versicherers: Dies zeigt sich daran, dass der Versicherte angehalten ist, sich die Beauftragung der Kooperationspartner vom Versicherer genehmigen zu lassen oder die Dienstleister im Versicherungsschein (Polizze) bereits angeführt werden. In vielen bis dato offerierten Cyber-Versicherungen wird zumindest eine Vorauswahl von Externen durch den Versicherer vorgenommen. Sofern solche Einschränkungen bestehen, sollte beim Abschluss der Versicherung jedenfalls auch auf die Qualifikation der vom Versicherer angebotenen Dienstleister geachtet werden, um eine optimale Unterstützung im Schadensfall sicherzustellen. Auch ist zu bedenken, dass man hier uU nicht mit einem bereits vertrauten Unternehmen zusammenarbeiten kann und der Versicherer die Entscheidung trifft.

Grundsätzlich stellt sich bei der Inanspruchnahme externer Dienstleister die Frage, in wessen Auftrag dieses Unternehmen tätig wird und wie daher der Auftragsgegenstand definiert wird. Im Fokus des Versicherers wird neben einer kostensparenden und schnellen Aufarbeitung auch die Frage des Verschuldens bzw der Verletzung von Obliegenheiten durch den Versicherungsnehmer stehen. Auf der anderen Seite ist der Versicherungsnehmer an einer schnellen und vertrauenswürdigen Aufklärung interessiert, allerdings möchte er auch von den Leistungen seines Versicherungsschutzes Gebrauch machen.

Fallbeispiel: Ransomware

Der Vorstand des betroffenen Krankenhauses verständigt umgehend ein auf IT-Forensik spezialisiertes Beratungsunternehmen, um die Sicherheitslücke zu schließen, den Krankenhausbetrieb wiederherzustellen und den potenziellen Schaden zu ermitteln. Erst im Anschluss informiert er den im Versicherungsschein angeführten Betreuer der bestehenden Cyber-Versicherung. Der Versicherer verweigert im Anschluss die Deckung der Kosten für externe Leistungen, da die Beauftragung nicht vorab genehmigt wurde.

Obliegenheiten und Risikoausschlüsse

Versicherungsbedingungen determinieren idR gewisse Obliegenheiten des Versicherungsnehmers, bei deren Missachtung der Versicherer unter Umständen leistungsfrei wird. Unterschieden wird zwischen primären Obliegenheiten (§ 6 Abs 1a und 2 VersVG), welche schon vor Eintritt eines Versicherungsfalls gelten, und sekundären Obliegenheiten (§ 6 Abs 3 VersVG), die das Verhalten ab Eintritt eines Versicherungsfalls betreffen.34 Hier ist beispielsweise eine Schadensminderungspflicht oder verpflichtende Anzeige des Versicherungsfalls beim Versicherer innerhalb bestimmter Fristen zu nennen. Auch werden gewisse Risiken explizit in den Versicherungsbedingungen ausgeschlossen, beispielsweise ein aufgrund der Verwendung einer unerprobten bzw nicht zertifizierten Software entstandener Schaden oder der Ausschluss von nicht zielgerichteten Angriffen auf das Unternehmen.

Fallbeispiel: Ransomware

Die konsultierten IT-Forensiker kommen zur Erkenntnis, dass es sich bei dem Ransomware Angriff um keinen zielgerichteten Angriff auf das Krankenhaus handelte, sondern es zufällig Opfer der Schadsoftware wurde. Aufgrund dessen verweigert der Versicherer die Deckung der entstandenen Schäden unter Berufung auf den Ausschluss von willkürlichen bzw nicht zielgerichteten Angriffen.

4. Conclusio

Das Risiko eines Cyberangriffs ist vielfältig, die Folgen sowohl für Unternehmen als auch Privatpersonen nur schwer abschätzbar. Grundsätzlich sollten Unternehmen insbesondere im Zuge des Digitalisierungsprozesses geeignete Sicherheitsmaßnahmen implementieren, um ihre Daten und Systeme entsprechend zu schützen. Die Definition und Gestaltung dieser Maßnahmen hängen maßgeblich von unterschiedlichen Faktoren, wie beispielsweise der Unternehmensgröße sowie -branche ab.

Diese Cyber-Security-Maßnahmen können zwar das Risiko eines Angriffs verringern, bieten jedoch keinen vollumfänglichen Schutz. In Anbetracht der enormen Schäden, die durch Cybercrime verursacht werden können, sollten Unternehmen die Möglichkeit eines Risikotransfers durch Abschluss einer Cyber-Versicherung prüfen. Es gilt jedoch zu bedenken, dass Cyber-Versicherungen ein relativ neues Produkt darstellen und derzeit in Österreich noch keine allgemeinen Versicherungsbedingungen oder -standards vorliegen, was erhebliche Unterschiede in der Begriffsdefinition bzw den angebotenen Leistungsumfängen zur Folge hat. Die bei Versicherungsabschluss zu beachtenden Parameter reichen daher von der Risikoevaluierung bis hin zur Inanspruchnahme von externen Support-Leistungen.

Digitalisierung ist eine Reise in noch unerforschte und unbekannte Gebiete der Zukunft. So wie man vor einer spannenden Reise den Abschluss einer Reiseversicherung prüft, sollen auch Unternehmen sich mit dem Risikomanagement im Bereich der Digitalisierung proaktiv auseinandersetzen und geeignete Maßnahmen treffen.

Fußnoten

  1. Derzeit haben fast alle US-Bundesstaaten eine Meldepflicht (Data/Security Notification Laws) für Cyber Angriffe / Datenverletzungen normiert. Vgl für den US-Bundestaat California, https://oag.ca.gov/ecrime/databreach/reporting (03.08.2017).   ^
  2. Vgl Pfluger, Versicherungen entdecken Cybercrime als Thema, http://derstandard.at/2000051053298/Versicherungen-entdecken-Cybercrime-als-Thema (03.08.2017).   ^
  3. Art 33 und 34 EU-DSGVO. Die EU-Datenschutz-Grundverordnung tritt mit 28. Mai 2018 unmittelbar in Kraft. Begleitend wurde dazu Ende Juni 2017 das Datenschutz-Anpassungsgesetz 2018 vom Nationalrat beschlossen, das ebenfalls mit 28. Mai 2018 in Kraft tritt und das Datenschutzgesetz 2000 (DSG 2000) ersetzt.   ^
  4. Allianz Risk Barometer 2017, https://www.allianz.at/ueber-allianz/media-newsroom/news/aktuelle-news/20170111pa-risk-barometer-2017/ (03.08.2017).   ^
  5. Ebd.   ^
  6. Sicherheit 2016 – Kriminalitätsentwicklung in Österreich, http://www.bmi.gv.at/cms/BK/publikationen/krim_statistik/2016/Web_Sicherheit_2016.pdf (03.08.2017).   ^
  7. Vgl Gabler Wirtschaftslexikon, http://wirtschaftslexikon.gabler.de/Archiv/1408492/cybercrime-v3.html; Cybercrime Jahresbericht 2015 des Bundeskriminalamts, http://www.bmi.gv.at/cms/BK/publikationen/files/30102016_Cybercrime_2015.pdf (03.08.2017).   ^
  8. Ransomware ist eine spezielle Art von Schadsoftware, durch die Daten und Systeme am PC verschlüsselt werden. Im Anschluss wird für die Entschlüsselung der Daten ein Lösegeld (engl. ransom) verlangt. Vgl Bericht Cyber Sicherheit 2016 des Bundeskriminalamts, https://www.bka.gv.at/DocView.axd?CobId=63191 (03.08.2017).   ^
  9. Bei einem Denial of Service (DoS)-Angriff (engl. Dienstverweigerung) wird zB der Onlineshop eines Unternehmens durch eine Vielzahl von inszenierten Anfragen lahmgelegt. Anschließend wird ein Lösegeld für die Nutzung des Systems verlangt. Für weitere Details, Vgl Bericht Cyber Sicherheit 2016 des Bundeskriminalamts, https://www.bka.gv.at/DocView.axd?CobId=63191 (03.08.2017).   ^
  10. Vgl Cybercrime Jahresbericht 2015 des Bundeskriminalamts, http://www.bmi.gv.at/cms/BK/publikationen/files/30102016_Cybercrime_2015.pdf (03.08.2017).   ^
  11. Vgl ausführlicher zu Darknet Märkten: Schmitz, Was ist das Darknet im Vergleich zum offenen Internet?, http://www.security-insider.de/was-ist-das-darknet-im-vergleich-zum-offenen-internet-a-586479/ (03.08.2017).   ^
  12. Vgl Augusten, Erpressersoftware: Wie Ransomware entwickelt und verbreitet wird, http://www.security-insider.de/wie-ransomware-entwickelt-und-verbreitet-wird-a-509579/ (03.08.2017).   ^
  13. Ein Bot-Netz besteht aus mehreren miteinander verbundenen Computersystemen. Diese werden idR von einem kontrollierenden Server ferngesteuert und beispielsweise für DoS-Angriffe oder Spam-Verbreitungen verwendet. Der Zugriff auf einzelne Systeme erfolgt meistens widerrechtlich und bleibt bei den Besitzern oft unbekannt. Vgl Cybercrime Jahresbericht 2015 des Bundeskriminalamts, http://www.bmi.gv.at/cms/BK/publikationen/files/30102016_Cybercrime_2015.pdf (03.08.2017).   ^
  14. Ponemon Institute, Cost of Cyber Crime Study & the Risk of Business Innovation 2016, https://www.ponemon.org/local/upload/file/2016%20HPE%20CCC%20GLOBAL%20REPORT%20FINAL%203.pdf (03.08.2017).   ^
  15. Net Diligence, 2016 Cyber Claims Study, https://netdiligence.com/wp-content/uploads/2016/10/P02_NetDiligence-2016-Cyber-Claims-Study-ONLINE.pdf (03.08.2017).   ^
  16. McAfee/CSIS, Net Losses: Estimating the Global Cost of Cybercrime – Economic impact of cybercrime II, https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/attachments/140609_rp_economic_impact_cybercrime_report.pdf (03.08.2017).   ^
  17. Vgl Fn 21.   ^
  18. Ebd.   ^
  19. LLOYD’S, Counting the cost – Cyber exposure decoded, Emerging Risks Report 2017 Technology, https://www.lloyds.com/news-and-insight/risk-insight/library/technology/countingthecost (03.08.2017); APA, Große Cyber-Attacken kosten mehrere Dutzend Milliarden Dollar, http://derstandard.at/2000061415423/Grosse-Cyber-Attacken-kosten-mehrere-Dutzend-Milliarden-Dollar (03.08.2017).   ^
  20. Ausführlicher zum Begriff des Risikotransfers: Nguyen/Romeike, Versicherungsgswirtschaftslehre Grundlagen für Studium und Praxis (2013), 11, 18; Albrecht, Risikotheorie der Versicherung, in Wagner (Hrsg), Gabler Versicherungslexikon2 (2017) 778.   ^
  21. Farny, Theorie der Versicherung, B. Fortentwicklung der Theorie der Versicherung, in Farny/Helten/Koch/Schmidt (Hrsg), Handwörterbuch der Versicherung (1988) 867.   ^
  22. Wagner/Jost, Versicherungssparten, - zweige und –formen, in Wagner, Gabler Versicherungslexikon2 202.   ^
  23. Bei der Aktivenversicherung wird ein konkreter Vermögensgegenstand bzw. eine Gruppe von Gegenständen versichert (zB Haushaltsversicherung). Hingegen schützt eine Passivenversicherung vor bestehenden oder möglichen neuen Verbindlichkeiten (zB Haftpflichtversicherung); Vgl Schauer, Das österreichische Versicherungsvertragsrecht3 (1995) 3.   ^
  24. Siehe dazu Fallbeispiel „CEO Fraud / Fake President Fraud“. Diese Schäden werden oft nicht von Cyber-Versicherungen gedeckt und können (oft nur) durch eine Vertrauensschadenversicherung (VSV) abgedeckt werden. Vgl Gruber, Grundlagen der Vertrauensschadenversicherung, wbl 2017, 317; Koch, „Eine Cyber-Polizze wird Standard sein“, http://www.schwaebische.de/wirtschaft/aktuelle-nachrichten_artikel,-%E2%80%9EEine-Cyber-Police-wird-Standard-sein%E2%80%9C-_arid,10698104.html (03.08.2017).   ^
  25. In Bezug auf die Schadensversicherungsbestandteile der Cyber Versicherung, Vgl §§ 59 ff. VersVG.   ^
  26. Vgl Drave, Cyberrisiken als Herausforderungen für das Risikomanagement, VersicherungsPraxis 06/2015, 34.   ^
  27. Vgl ausführlicher Schauer in Fenyves/Schauer (Hrsg), VersVG – Versicherungsvertragsgesetz (3.Lfg, 2016) § 59 Rz. 49 ff.   ^
  28. Art 4 Z. 15 EU-DSGVO; § 36 Z. 14 DSG.   ^
  29. Art 9 EU –DSGVO; § 39 DSG.   ^
  30. Es handelt sich dabei um einen Vermögensschaden aus einer strafbaren Handlung von Dritten bzw. der Täuschung durch Dritte. Dieser ist oft nicht von den angebotenen Cyber Versicherungen gedeckt und kann meistens nur durch eine Vertrauensschadenversicherung (VSV) abgedeckt werden; Vgl Gruber, wbl 2017, 317.   ^
  31. Beispielsweise Datenschutzrechtliche Parameter (Mit Inkrafttreten der DSGVO müssen Unternehmen Datenschutz durch geeignete technische und organisatorische Maßnahmen (Art 25 und 32 EU-DSGVO; § 54 DSG gewährleisten.).   ^
  32. Vgl Hafen, So lassen sich IT-Risiken im Unternehmen versichern, com!Professional 3/2016, 117.   ^
  33. Dabei handelt es sich um einen Vorfallsplan, der u.a. Abläufe, Vorgehensweise und Zuständigkeiten im Falle eines Cyber Angriffes regelt. Vgl dazu auch ISO/IEC 27035-2:2016 als Teil einer ISO 27001-Zertifizierung, https://www.iso.org/standard/62071.html (03.08.2017).   ^
  34. Vgl dazu ausführlich: Fenyves in Fenyves/Schauer, VersVG (1.Lfg, 2014) § 6 Rz 68 ff und 100 ff.   ^

Autoren

Mag. (FH) Mikhail Arshinskiy MSc

Mag. (FH) Arshinskiy, MSc., FRM, zeichnet als Director & National Leader Analytic & Forensic Technology bei Deloitte Forensic in Wien ua für die Entwicklung und Anwendung fortschrittlicher Analysem...

Mag. Karin Mair CFE

Mag. Karin Mair, CFE ist Partner, National Leader Forensic und zeichnet im Management Board bei Deloitte Österreich für die Bereiche Financial Advisory sowie Clients & Industries verantwortlich. Si...

Mag. Shahanaz Müller BA

Mag. Shahanaz Müller, BA, CAMS ist als Senior Manager bei Deloitte Forensic in Wien federführend für den Bereich Regulatory Technology zuständig. In dieser Funktion zeichnet sie für die Beratung vo...

Ilse Schlepitzka LL.B. (WU)

Ilse Schlepitzka, LL.B. (WU) ist bei Deloitte Forensic in Österreich im Bereich Regulatory Technology tätig. Ihr Tätigkeitsschwerpunkt umfasst Beratungsprojekte hinsichtlich der Umsetzung regulator...