„Viele Unternehmen sind sich nicht bewusst, welche Kriterien für einen Versicherungsschutz eingehalten werden müssen“

Das Thema Cyber-Versicherungen ist äußerst komplex und es gibt einiges zu beachten. com! professional spricht darüber mit Marcus Beckmann von Beckmann und Norda Rechtsanwälte in Bielefeld. Er berät Unternehmen unter anderem in den Bereichen  IT-Recht und gewerblicher Rechtsschutz.

Marcus Beckmann
Rechtsanwalt bei Beckmann und Norda Rechtsanwälte

(Quelle: Privat )

Marcus Beckmann: Unternehmen sind zahlreichen Risiken im Online- und IT-Bereich ausgesetzt. Eine Cyber-Versicherung kann helfen, diese abzumildern. Sie sollte die für das Unternehmen relevanten Problemfelder zu akzeptablen Konditionen absichern. Ein Problem ist der nach wie vor rasante technischen Fortschritt und das Entstehen immer neuer Cyberrisiken. Diese Dynamik sollte von der Versicherung abgebildet werden, sodass der Versicherungsschutz nicht bereits bei Vertragsschluss teilweise obsolet ist.

Beckmann: Versichern lässt sich im Grunde fast alles. Dazu zählen zum Beispiel Schäden an der IT-Infrastruktur durch Malware, DDoS-Attacken, Ransomware-Angriffe, Phishing und Identitätsdiebstahl oder Umsatzausfälle durch Server-Downtime. Je größer das Risiko, umso teurer ist die Versicherung. Insofern sollten Unternehmen abwägen, welche Risiken zu welchen Kosten versichert werden.

Beckmann: Wie immer kommt es auf den konkreten Vertrag an. Die Versicherungsbedingungen können sehr unterschiedlich sein. Welche Risiken in welchem Umfang unter welchen Voraussetzungen von der Versicherung abgedeckt sind, muss daher mit der Versicherung soweit möglich verhandelt und dann entsprechend vereinbart werden.

Beckmann: Auch Fehler von Mitarbeitern sind regelmäßig abgedeckt. Oft geht damit für den Versicherten die Obliegenheit einher, dass die Mitarbeiter ausreichend geschult sind. Insofern enthalten die Versicherungsbedingungen häufig entsprechende Regelungen.

Beckmann: Auch dies richtet sich nach dem Vertrag im Einzelfall. Dort sind Haftungsobergrenzen geregelt, die je nach versichertem Risiko unterschiedlich sein können. Die Höhe ist dabei eine Frage des Preises. Hier gilt es abzuwägen, was für ein Unternehmen wirtschaftlich ist.

Beckmann: Der Versicherungsvertrag enthält regelmäßig umfassende Regelungen, welche sicherheitsrelevanten Maßnahmen vorgehalten werden müssen, damit der Versicherungsschutz greift. Diese gilt es genau zu prüfen, einzuhalten und zu dokumentieren. Andernfalls kann die Versicherung im Schadensfall die Zahlung verweigern.

Viele versicherte Unternehmen sind sich nicht vollumfänglich bewusst, welche Kriterien eingehalten werden müssen, damit der Versicherungsschutz greift.

Beckmann: Ein Unternehmen kann sich nicht hinter Drittunternehmen verstecken. Ob und in welchen sicherheitsrelevanten Bereichen Drittunternehmen eingesetzt werden können und dürfen, regelt der Versicherungsvertrag. Dabei kann der Versicherungsvertrag festlegen, dass Drittunternehmen besondere Kriterien erfüllen müssen. Insofern sollten entsprechende Vereinbarungen mit dem Drittunternehmen geschlossen werden, die die Einhaltung der sicherheitsrelevanten Kriterien garantieren.

Beckmann: Eine Cyber-Versicherung kann ein ausreichendes Sicherheitskonzept und die strikte Einhaltung der IT-Sicherheit im Unternehmen niemals ersetzen, sondern einen wirtschaftlichen Schaden im Fall der Fälle nur reduzieren. Es empfiehlt sich, zunächst eine Bestandsaufnahme hinsichtlich der eigenen IT-Sicherheit und der unternehmensspezifischen Risiken zu machen. Dann sollten verschiedene, möglichst maßgeschneiderte Angebote von Versicherern eingeholt und die Bedingungen genauestens verglichen werden.