2 minute read
Wer den Cyber-Schaden hat, steht unter Verdacht
Täglich greifen über 300.000 neue Malware-Varianten deutsche Unternehmen an. Diese sollten auf aktuelle IT-Sicherheitssysteme setzen. Dennoch gelang es jüngst Hackern, mehrere hundert Unternehmen über eine seit 2021 bekannte Sicherheitslücke zu infiltrieren, da Updates fehlten.
Cyber-Versicherer suchen in solchen Fällen nach Mitverantwortlichen. Unternehmensorgane, Manager und externe IT-Dienste kommen unter die Lupe. Behörden und Datenschützer ermitteln mit, um eventuelle Gesetzesverstöße zu ahnden. Fahrlässiges, pflichtwidriges oder vorsätzliches Verhalten gefährdet den Ersatz aus Cyber-, Haftpflicht- und Rechtsschutz-Policen. Ohne diese Absicherungen droht ITDienstleistern und Managern jedoch das existenzielle Aus.
Unverhofft kommt oft, Malware öfter
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, vermerkte zuletzt jeden Monat weit über zehn Millionen frische Malware-Varianten. Der Gesamtverband der Versicherer moniert: „Dennoch scheinen weite Teile der deutschen Wirtschaft die Gefahr aus dem Internet bislang nicht ernst genug zu nehmen“. Der GDV führt weiter aus, dass „die Risiken durch Cyber-Kriminalität steigen, die Cy- ber-Sicherheit stagniert.“ Mehr als 220 Mrd. Euro verliert die deutsche Wirtschaft jährlich durch Diebstahl, Spionage und Sabotage. Die wesentliche Ursache ist Cyber-Kriminalität mit steigender Tendenz. In zwei Jahren verdreifachten sich Lösegelder für gekaperte IT. Zwei von drei illegalen Systemzutritten erfolgen per E-Mail mit Schadcode im Anhang, Bild oder Link. Lediglich ein Drittel der Angreifer attackieren direkt ausgewählte Ziele. Unternehmen steuern dem entgegen, qualifizieren ihre Belegschaft und erhöhen IT-Sicherheitsbudgets. Für externe Berater, IT-Dienstleister und Unternehmensmanager sind Cyber-Gefahren das zentrale Thema. Selbst kleine Fehler öffnen Hackern leicht Tür und Tor. Audits und Analysen im Risikomanagement nach Cyber-Angriffen offenbaren die Versäumnisse. Gesetzliche Dokumentationspflichten wie beispielsweise das Verarbeitungsverzeichnis gemäß DSGVO, der Datenschutz-Grundverordnung, machen Datenschützern und Strafverfolgern die Mängel, welche die Cyber-Attacken begünstigten, schnell transparent.
Schuld und Sühne … und Verantwortung
Früher war die Rollenverteilung im Haftpflichtfall klar: Der Verursacher schädigt das Opfer schuldhaft und leistet Ersatz. Eventuell traf den Geschädigten noch eine Mitschuld, aber die strafrechtliche Verfolgung galt dem Schädiger. Heute zielen Cyber-Attacken sowohl auf die Unternehmen als auch auf die dortigen Daten von Dritten. Das Strafgesetzbuch, kurz StGB, schreibt deshalb beispielsweise Medizinern und Rechtsberufen intensive Abschottung besonders schützenswerter Daten vor. Versicherungsmakler kennen das im Umgang mit Gesundheitsdaten zur Lebens- und Krankenversicherung. Auf den illegalen externen Datenzugriff folgen Strafermittlungen gegen Hacker sowie den eventuell Mitverantwortlichen für IT-Sicherheitslücken. Behörden und ein Fehlverhalten offenlegen. Erfolgreiche Cyber-Angriffe schaffen Fakten, die punktgenau den Schutz und die Sicherheit für Daten und IT in Frage stellen. Versicherer müssen jedes Fehlverhalten ergründen, um die Versichertengemeinschaft und sich selbst wirtschaftlich zu schützen. Entweder führen die Ermittlungen via Obliegenheiten oder Ausschlüsse zur Ersatzkürzung oder zu den Cyber-Kriminellen, bei denen selten etwas zu holen ist, sowie zu den weiteren Verantwortlichen. So gelangen Gesellschaftsorgane und Manager des geschädigten Unternehmens sowie ganze Regional- bzw. Stadtverwaltungen verloren bereits die IT-Systemzugriffe an Kriminelle. Lösegelder waren dabei als Folge noch das geringere Übel. Die DSGVO verordnet den Schutz personenbezogener Daten in Europa inklusive Unterbindung unbefugter Datenzugriffe. Erfolgen Zugriffe bei Cyber-Attacken, sind per se angegriffene Unternehmen nebst Manager des Datenschutzverstoßes verdächtig. Zuweilen sind bei illegalen Zugriffen ebenfalls externe IT-Dienstleister für die Sicherheitslücken verantwortlich und ersatzpflichtig. Eine Durchsetzung der Ersatzforderungen fällt bei nachgewiesenen Sorgfaltspflichtverletzungen oftmals leichter. So flankieren Anzeigen bei Datenschützern und Strafverfolgern die externen Regresse und können bei einer festgestellten Mitverantwortung das Strafmaß für Unternehmen und deren Manager verringern.
Völlig losgelöst und ungeschützt
Ein Schutz über Cyber-, D&O-, Haftpflicht-, Rechtsschutz-, Vertrauensschaden- und weiteren Versicherungen gehört für Beteiligte zum Pflichtprogramm. Die Herausforderung für Versicherungsmakler: Nach schwerem Verstoß gegen Schutz- und Sicherheitsgepflogenheiten kürzen Versicherer den Ersatz. Und fordern eventuell Schadenersatz zurück, wenn fortschreitende Regulierung oder Strafverfolgung externe IT-Dienstleister und andere Berater in den zusätzlichen Interessenfokus. Sind diese versichert, wird auf deren Versicherer zurückgegriffen. Behördlich festgestelltes Fehlverhalten unterstützt den Regresserfolg und stellt den Ersatzwillen der Versicherer wegen Ausschluss oder Obliegenheit wiederum auf die Probe. In solchen Fällen geraten Versicherungsvermittler mitunter zwischen die Fronten, wenn ihre Beratungen im Hinblick auf Ausschlüsse, Obliegenheiten und Regresse ausblieben. (gg)
Fazit
Cyber-Kriminelle hinterlassen häufig multiple Schäden. Zum wirtschaftlichen Verlust kommen ermittelnde Datenschützer, Strafverfolger sowie zuständige Aufsichtsbehörden. Die Versicherer ahnden Versäumnisse in puncto Cyber-Sicherheit mit Ersatzkürzungen und minimieren die Schadenaufwendungen durch Rückgriffe gegen Mitverantwortliche. Manager und IT-Dienstleister wähnen sich dabei bis zur Cyber-Attacke vielfach in einer trügerischen Sicherheit. Zu Recht zählen die Berufs-, Cyber- und Managerabsicherungen zur Königklasse in der Versicherungsberatung.
