Cyberversicherung: Abgrenzung zu anderen Versicherungen

Betriebshaftpflichtversicherung, Vertrauensschadenversicherung, Vermögensschadenversicherung… Unternehmen haben in der Regel ein ganzes Repertoire an betrieblichen Versicherungen, um sich gegen verschiedene Risiken und Schäden abzusichern. Nicht wenige stellen sich daher die Frage, welchen Schutz eine Cyberversicherung zusätzlich bietet und ob der Abschluss einer solchen Versicherung überhaupt sinnvoll ist oder zu einer teuren Überversicherung führt.

Was unterscheidet die Cyberversicherung von anderen Versicherungen wie der Rechtsschutzversicherung, der Betriebsunterbrechungsversicherung oder der D&O-Versicherung? Dieser Artikel grenzt die Cyberversicherung zu anderen betrieblichen Versicherungen ab und zeigt, warum eine solche Versicherung trotz teilweiser Überschneidungen eine sinnvolle Investition ist.

Eine Cyberversicherung bietet Unternehmen Schutz vor finanziellen Schäden, die durch Datenschutzverletzungen, Cyber-Angriffe oder sonstige IT-Sicherheitsvorfälle verursacht werden können. Gegenstand der Versicherung sind Informationssicherheitsverletzungen, die durch verschiedene Ereignisse (z. B. Hackerangriff, Bedienfehler oder Cyber-Betrug) ausgelöst werden können.

Eine solche Versicherung schützt Unternehmen vor vielfältigen Cyber-Risiken. Zu den Deckungsbausteinen gehören Eigenschäden (z. B. Wiederherstellungskosten oder Betriebsunterbrechungen), Drittschäden (z. B. Schadensersatzansprüche wegen einer Datenschutzverletzung) und zusätzliche Service- und Unterstützungsleistungen für die Prävention und Bewältigung von Cyber-Vorfällen.

Eine D&O-Versicherung (Directors & Officers-Versicherung) schützt Führungskräfte vor persönlicher Haftung bei Pflichtverletzungen oder Fehlentscheidungen, die dem Unternehmen schaden. Damit unterscheiden sich der Zweck und die Art der Absicherung deutlich von der Cyberversicherung.

Eine Cyberversicherung übernimmt in der Regel keine persönliche Haftung der Geschäftsleitung. Stattdessen liegt der Fokus einer Cyberrisikoversicherung auf der Deckung der unmittelbaren Kosten, die durch den Vorfall entstehen. Die häufig im Versicherungsschutz inkludierte Haftpflichtkomponente ist meist spezifisch auf Datenschutzverletzungen ausgerichtet und nicht auf Einzelpersonen, sondern auf das gesamte Unternehmen bezogen.

Trotzdem kann es punktuell zu Überschneidungen zwischen beiden Versicherungen kommen. Zum Beispiel wenn Führungskräfte unter dem Vorwurf stehen, dass mangelhafte IT-Sicherheitsvorkehrungen oder nicht durchgeführte Risikoanalysen zu einem Cyber-Vorfall geführt haben. In einem solchen Fall kann es neben einem Cyber-Schaden auch zu einem D&O-Haftungsschaden kommen.

Eine Vertrauensschadenversicherung bietet Unternehmen Schutz vor Vermögensschäden, die durch eine vorsätzliche unerlaubte Handlung von Vertrauenspersonen wie Mitarbeitenden entstehen (z. B. Betrug oder Unterschlagung). Sie hat daher einen grundsätzlich anderen Absicherungszweck als die Cyberversicherung, die primär auf das Absichern von Eigen- und Drittschäden abzielt, die durch diverse Cyber-Risiken entstehen können.

Ähnlich wie bei der D&O-Versicherung ergeben sich je nach Vorfall aber auch bei der Vertrauensschadenversicherung Überschneidungen mit dem Deckungsbereich einer Cyberrisikoversicherung, wenn unerlaubte Handlungen durch Vertrauenspersonen wie Mitarbeitenden digital ausgeführt werden. Eine mögliche Deckungsüberschneidung kann beispielsweise auftreten, wenn Mitarbeitende oder Externe durch eine Manipulation der Systeme Daten stehlen und diese entweder an Wettbewerber verkaufen oder versuchen, vom Unternehmen Lösegeld zu erpressen. 

Je nach Deckungsumfang kann eine Cyberversicherung auch Schäden durch Insider-Bedrohungen (Schäden durch vorsätzlich oder unabsichtlich handelnde Mitarbeitende) abdecken. Im Vergleich zur Vertrauensschadenversicherung bietet eine Cyberversicherung in einem solchen Fall allerdings eine breitere Deckung, da sie auch zusätzliche Schäden wie die Kosten von Datenverlusten oder PR-Maßnahmen zur Minimierung von Reputationsschäden abdeckt.

Eine Rechtsschutzversicherung greift bei Ereignissen wie einem begangenen Rechtsverstoß oder der Einleitung eines Ermittlungsverfahrens und übernimmt die daraus resultierenden Kosten (z. B. Anwalts- und Gerichtskosten). 

Da der passive Rechtsschutz (Abwehr unberechtigter Schadenersatzforderungen) auch eine wichtige Komponente einer Cyberversicherung ist, kann es je nach Schadensfallszenario zu Überschneidungen der Policen kommen. So zum Beispiel bei Datenschutzverletzungen, die rechtliche Auseinandersetzungen mit Kunden oder Aufsichtsbehörden nach sich ziehen. Cyberversicherungen bieten oft spezifische Rechtsberatung und Kostenübernahme bei Datenschutzverstößen an, gehen jedoch weit über eine klassische Rechtsschutzversicherung hinaus.

Eine Berufshaftpflichtversicherung bietet Versicherungsschutz für Drittschäden, die entstehen, wenn einer Person bei der Ausführung ihrer Arbeit ein Fehler passiert. Damit unterscheiden sich der Zweck und der Gegenstand dieser Versicherung ganz grundsätzlich von der Cyberversicherung, die unabhängig von der beruflichen Tätigkeit bei Cyber- oder Datenschutzvorfällen greift und auch für Eigenschäden aufkommt, die dem versicherten Unternehmen entstehen.

Zu einer Überschneidung der beiden Verischerungsarten kommt es in Fällen, in denen es im Zuge der Ausübung der beruflichen Tätigkeit zu einem Schadensfall wie etwa einer Datenvertraulichkeitsverletzung oder einem Datenschutzverstoß kommt.

Eine Betriebshaftpflichtversicherung schützt Unternehmen vor Ansprüchen Dritter (z. B. Kunden oder Lieferanten), die durch Personen-, Sach- oder Vermögensfolgeschäden entstehen. Sie gehört damit zur Basisabsicherung eines Unternehmens und hat einen anderen Deckungsbereich als die Cyberversicherung.

Wie andere Haftpflichtversicherungen deckt eine Betriebshaftpflichtversicherung in der Regel nur Ansprüche ab, die auf Personen- und Sachschäden bzw. aus den daraus resultierenden Vermögensschäden basieren. Das bedeutet, dass reine Vermögensschäden (ohne vorausgegangene Personen- oder Sachschäden) regulär nicht abgedeckt sind. Da bei Cyber-Vorfällen jedoch meist ausschließlich Vermögensschäden entstehen, ist der Versicherungsschutz ein gänzlich anderer.

Eine Betriebsunterbrechungsversicherung sichert Unternehmen gegen Einkommensverluste und laufende Kosten während einer Betriebsunterbrechung ab. Primär geht es hierbei um Unterbrechungen aufgrund von physischen Schäden (z. B. durch Feuer, Sturm oder Wasser).

Eine Cyberversicherung kann ebenfalls einen Baustein zur Abdeckung von Betriebsunterbrechungsschäden beinhalten, die durch einen IT-Ausfall oder einen Cyber-Angriff verursacht werden. Je nach Deckungsumfang der Betriebsunterbrechungsversicherung kann es zu einer Überschneidung mit dem Schutz einer Cyberversicherung kommen. Allerdings gilt es auch hier festzuhalten, dass eine Cyberversicherung eine sehr viel breiter aufgestellte Absicherung bietet.

Die teilweisen Überschneidungen zwischen einer Cyberversicherung und anderen betrieblichen Versicherungen könnten den Eindruck erwecken, dass mögliche Cyber-Risiken von bereits existierenden Versicherungen abgedeckt seien. Eine genaue Analyse zeigt jedoch, dass andere betriebliche Versicherungen Schäden, die durch Cyber-Kriminalität, Datenschutzpannen und sonstige IT-Vorfälle entstehen können, nur sehr marginal abdecken. Die verbleibenden Deckungslücken können Unternehmen mit einer Cyberversicherung schließen.

Um zu verhindern, dass es durch den Abschluss zu Mehrkosten aufgrund einer Überversicherung für bestimmte Versicherungsfälle kommt, sollten Unternehmen ihren bereits bestehenden Versicherungsschutz genau prüfen und bei der Wahl einer Cyberversicherung mit in Betracht ziehen. Ein Spezialmakler kann Unternehmen helfen, ein maßgeschneidertes Angebot für eine Cyberversicherung zu bekommen, die auf ihren individuellen Versicherungsbedarf zugeschnitten ist.