Sind Cyberrisiken (noch) versicherbar? Der kurzfristige Blick bestätigt ein düsteres Bild. Cyber-Schäden häufen sich; ihre Höhe nimmt zu. Das verunsichert den Markt für Cyberversicherungen, der zu den schwierigsten in der Industrieversicherung zählt. Für Unternehmen wird der Weg zur Cyberdeckung immer härter. Versicherer sind restriktiver geworden. Versicherer reduzieren Kapazitäten, schränken den Deckungsumfang ein, verlangen höhere Prämien.
Der langfristige Blick aber, stimmt durchaus optimistisch. Unternehmen haben einen hohen Nachholbedarf in Sachen Cyberhygiene. Ihr Mindset wandelt sich aber zunehmend. Cybersicherheit gewinnt an Bedeutung. Unternehmen sind bereit, mehr in ihre IT-Sicherheit zu investieren. Hier liegt eine Chance für spezialisierte Industriemakler, wenn sie ihr Beratungsangebot verbreitern. Sie müssen ihre Kunden an die Hand nehmen, Maßnahmen zur IT-Sicherheit empfehlen und ihre Umsetzung begleiten und den Risikodialog mit dem Versicherer klug steuern – damit Unternehmen preiswerteren oder überhaupt Versicherungsschutz erhalten.
Vor allem aber: Wenn wir es mit der Digitalisierung der Wirtschaft erst meinen – und das sollten wir – müssen Cyberrisiken versicherbar bleiben. Das muss nicht bedeuten, dass Versicherer allein in der Pflicht sind. Cyberrisiken sind systemische Risiken. Zukünftig werden wir intensiver diskutieren müssen, ob diese Risiken teilweise auch systemisch unter Beteiligung des Staates abgesichert werden müssen. Ein Modell könnte die öffentlich-private Partnerschaft sein, die wir bei der Terrorversicherung kennen. Die wichtige Rolle der Versicherer aber wird bleiben.
Welche Rolle wollen die Versicherer zukünftig spielen, wenn es um die Absicherung von Cyberrisiken geht. Drei Aspekte zu Standortbestimmung und Kurs in Sachen Versicherungsschutz für Cyberrisiken.
Der falsche Weg: Kriegsausschlüsse in der Cyberversicherung
Richtig ist, dass das Risiko von Schäden aufgrund staatlich initiierter, finanzierter oder jedenfalls geduldeter Cyberangriffe weiter steigen dürfte. Aktionen im Vorfeld und im Zusammenhang mit dem Krieg Russlands gegen die Ukraine haben diesen Trend verstärkt. Es drohen weitreichende „Kriegsausschlüsse“ in den Policen.
Noch vor dem 24. Februar 2022 entwickelte sich eine Diskussion zu „Cyberangriffen“ und Kriegsausschlüssen in der Cyberversicherung, nachdem die Lloyd’s Market Association im November 2021 für die industrielle Cyberversicherung vier Musterklauseln zum Ausschluss von Cyberschäden aufgrund von Krieg bzw. staatlichen Cyberoperationen präsentierte. Auch hierzulande nahm das Thema Fahrt auf, und Kriegsausschlüsse in Cyberpolicen werden diskutiert.
Die Angst vor Kumulgefahren ist verständlich. Doch Kriegsausschlüsse in Cyberbedingungen sind der falsche Weg. „Cyber war“-Ausschlüsse schaffen keine Vertragssicherheit, im Gegenteil. Im Fokus stehen unter anderem die folgenden Problemfelder.
Attribution von Cyberoperationen zu Staaten
Wenn überhaupt, können allein staatliche Cyberaktionen „Krieg“ darstellen oder durch vertragliche Risikoausschlüsse Kriegsrisiken gleichgestellt werden. Fehlt die „Staatlichkeit“, verbietet sich eine solche Qualifikation.
Doch welche (rechtlichen und tatsächlichen) Voraussetzungen müssen vorliegen, damit von einem „staatlichen“ Akt gesprochen werden kann? In welcher Form muss welcher Akteur dafür handeln? Reicht ein wirtschaftlicher Zusammenhang im Sinn eines „state-sponsored attack“? Hier bieten weder die AVB Cyber noch die meisten marktüblichen Bedingungen Klarheit. Die Tatsache, dass jeder Versicherungsvertrag einen Ausschluss von Kriegsrisken enthält und dass sich die meisten Bedingungen an dem allgemeinen Kriegsausschluss der AVB Cyber orientieren, belegt nicht, dass die Klauseln ausreichend klar und wirksam wären. Im Gegenteil, sie verdeutlicht das Problem.
Beweisführung und Beweiserleichterungen
Legt man einmal zugrunde, dass eine Ausschlussklausel die Voraussetzungen ausreichend klar regelt (was ist zu beweisen?), bleibt die Tatsachenebene, nämlich vor allem die Frage „wie kann der Beweis“ geführt werden?
Die Lloyd’s-Musterausschlussklauseln treffen hier eine besondere Regelung – zugunsten des Versicherers. Sie sehen relevante Erleichterungen zur Beweisführung vor. Auch hierzulande verwendete Bedingungen orientieren sich teilweise an den englischen Klauseln. Doch diese taugen nicht als Blaupause. Die Beweiserleichterungen sind aus Sicht deutschen AGB-Rechts nicht haltbar.
Kausalität
Weitere Unklarheit: die Kausalität. Wie „eng“ muss die ursächliche Verbindung zwischen der staatlich gesetzten Ursache (dem „Angriff“) und dem beim Versicherungsnehmer eingetretenen Schaden sein? Schon in der analogen Welt ist die Kausalität in der Praxis häufig letztlich nur eine Wertungsfrage. Dies gilt erst recht mit Blick auf Cyberrisiken.
Die persönliche Haftung: Geschäftsleiter und IT-Sicherheit
Wie geht es weiter mit dem „persönlichen Exposure“ von Unternehmensleitern und dem D&O-Versicherungsschutz?
Ob es um Nachhaltigkeit, ESG oder IT-Sicherheit geht – der Trend ist klar. Global, aber auch im deutschen Rechtssystem wird die persönliche Haftung von Geschäftsleitern immer mehr ausgeweitet und konkretisiert. So auch in Sachen Cybersicherheit.
Nachdem hierzulande erst 2021 das IT-Sicherheitsgesetz 2.0 kam, steht dem nationalen Gesetzgeber wohl bald wieder Arbeit ins Haus. Die EU-Richtlinie über die Netzwerk- und Informationssicherheit (NIS) wurde überarbeitet und erweitert. EU-Rat und -Parlament müssen noch zustimmen, die Mitgliedsstaaten die Regelungen dann national umsetzen. Die NIS2 verschärft die Anforderungen durch
- einen erheblich erweiterten Anwendungsbereich für Unternehmen – über die Betreiber kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz hinaus;
- schärfere Standards wie Audits, Reporting;
- extrem kurze Meldepflichten bei Sicherheitsvorfällen;
- neue Regelungen zu Bußen bei Verstößen und schließlich
- durch eine persönliche Haftung der Geschäftsleiter
Eine gesetzliche Normierung der persönlichen Haftung für IT-Sicherheit. Sicher ein Anreiz für gutes Risikomanagement im Unternehmen. Die Entwicklung dürfte den allgemeinen Trend zur Haftungsausweitung weiter befeuern – und damit auch die D&O-Versicherer aufrufen, sich intensiver mit Cyberrisiken zu befassen. Dies aber hoffentlich nicht mit dem Ansatz weitgehender Ausschlüsse von Cyberrisiken oder einer „Nullstellung“ des Cyberrisikos in der D&O-Versicherung.
Der Treiber Ransomware: Lösegeldforderungen als Richtgröße für Bußgelder
Ungebrochen besteht eines der Hauptrisiken in Ransomware-Angriffen.
Die bereits erwähnte Richtlinie NIS2 sieht vor, dass verpflichtete Unternehmen bei Verstößen gegen die normierten Anforderungen an die IT-Sicherheit mit Bußgeldern belegt werden können. Interessant dabei ist, dass sich die Richtlinie für die Höhe der Bußen an der Höhe von Lösegeldforderungen orientiert, die Cyberkriminelle bei Ransomware-Angriffen stellen – Lösegeldforderungen als Maßstab für staatliche Regulierung.
Es mag Unternehmen und Unternehmensleitern in der Tat einen wirtschaftlichen Anreiz geben, dem (insbesondere dem Mittelstand attestierten) Nachholbedarf zu begegnen und in IT-Sicherheit zu investieren. Obgleich es auch zukünftig keine umfassende Sicherheit geben wird: Es sind insbesondere die Unternehmen, die durch ihre IT-Sicherheit die Risiken von Schäden durch Cyberrisiken reduzieren können („cheapest cost avoider“) – neben dem Staat durch rechtliche und wirtschaftliche Rahmenbedingungen und den Herstellern von Software und „smarten“ Produkten.
Und die Rolle der Versicherer und Makler in diesem Zusammenhang? Risikoanalyse und Beratung der Versicherungsnehmer sind wichtige – und ggf. haftungsträchtige – Aufgaben der Versicherer und der Versicherungsmakler. Hier können sie punkten: Begleitung mit Kompetenz im Vorfeld, wirksame und verlässliche Absicherung im Schadenfall.
Autor: Cäsar Czeremuga, LL.M.
Rechtsanwalt und Partner bei NORDEN Rechtsanwälte
Master of Insurance Law
Telefon: +49 211 822 68 09-1
E-Mail: caesar.czeremuga@norden-legal.de