Was deckt eine Cyberversicherung nicht ab?

Eine Cyberversicherung bietet Unternehmen Schutz vor einer Vielzahl digitaler Risiken und Bedrohungen. Allerdings gibt es auch Einschränkungen, die in den Versicherungsbedingungen klar definiert sind.

Unternehmen sollten verstehen, welche Arten von Schäden abgedeckt sind und welche nicht. Daher ist es wichtig, die Bedingungen des Versicherungsvertrags sorgfältig zu prüfen und sich der bestehenden Ausschlüsse bewusst zu sein.

Die Ausschlüsse einer Cyberversicherung orientieren sich häufig an den Musterbedingungen des GDV (Gesamtverband der Versicherer) für die Cyberrisiko-Versicherung. Dieser Artikel bietet einen Überblick über gängige Ausschlüsse und erklärt, was darunter jeweils zu verstehen ist.

Die Musterbedingungen des GDV listen die folgenden allgemeinen Ausschlüsse (Stand: Februar 2024):

• Vorvertragliche Schäden
• Krieg und staatliche Angriffe
• Politische Gefahren
• Terrorakte
• Ausfall der Infrastruktur
• Löse-/Erpressungsgeld
• Finanzmarkttransaktionen
• Abfluss von Vermögenswerten
• Vorsatz und wissentliche Pflichtverletzung
• Behördliche Maßnahmen, Strafen und Bußgelder
• Verletzung von Immaterialgüterrechten
• Kernenergie
• Diskriminierung

Im Leitfaden “Cyberversicherung und -sicherheit” identifiziert der Branchenverband Bitkom zusätzlich die folgenden gängigen Ausschlüsse:

• Glücksspiel
• Produktrückruf und Produkthaftung
• Rechtswidrige Datenerfassung
• Vertragsstrafen und Vertragserfüllung

Im Folgenden werden die einzelnen Leistungsausschlüsse im Detail betrachtet.

Bei der Antragstellung verlangen Versicherer in ihrer Risikoprüfung grundsätzlich Informationen zu bisherigen Vorschäden oder bekannten Risiken. Informationssicherheitsverletzungen, die vor Zustandekommen des Versicherungsvertrags eingetreten sind, sind in der Regel vom Versicherungsschutz ausgeschlossen.

Für Unternehmen wichtig zu wissen ist, dass ein früherer Vorfall grundsätzlich kein Hindernis für den Abschluss einer Cyberversicherung darstellt. Allerdings erwarten Versicherer absolute Transparenz hinsichtlich der Details des Vorfalls, darunter zur Schadenshöhe, zu den ergriffenen Maßnahmen zur Behebung des Vorfalls und zu den daraus abgeleiteten Verbesserungen der Cyber-Sicherheit.

Das Grundprinzip einer Versicherung besteht darin, unvorhergesehene Ereignisse abzudecken. Deshalb schließen viele Versicherungsverträge Schäden, die vorsätzlich herbeigeführt wurden, grundsätzlich vom Versicherungsschutz aus. So auch in der Cyberversicherung.

Eine häufig gemachte Ausnahme stellen Insider-Bedrohungen dar, die Versicherer zunehmend in den Versicherungsumfang einschließen. Darunter fallen zum Beispiel gekündigte Mitarbeitende, die vorsätzlich IT-Systeme oder Daten sabotieren, um dem Unternehmen zu schaden.

Ein weiterer Ausschluss, der eng mit vorsätzlichem Handeln zusammenhängt, sind Schäden, die durch wissentliche Pflichtverletzungen herbeigeführt werden. Zum Beispiel durch wissentliches Abweichen von geltenden gesetzlichen Vorschriften, Beschlüssen oder Weisungen. Darunter fallen auch Schäden, die im Zuge einer rechtswidrigen Datenerfassung entstehen.

Versicherungsfälle oder Schäden, die aufgrund von Krieg, Terrorakten oder politischen Gefahren wie feindseligen Handlungen oder inneren Unruhen entstehen, werden von Cyberversicherungen typischerweise nicht abgedeckt. Dazu gehören typischerweise auch Cyber-Kriege, die von zwei oder mehreren Staaten durch digitale Angriffe geführt werden und beispielsweise auf die Beeinträchtigung oder den Ausfall kritischer Infrastrukturen abzielen. Die Beweislast, ob ein Angriff von einem staatlichen Akteur ausging, liegt beim Versicherer.

Versicherungsfälle oder Schäden, die durch hoheitliche Eingriffe (also behördliche Maßnahmen), Strafen oder Bußgelder entstehen, gehören ebenfalls zu den allgemeinen Ausschlüssen einer Cyberversicherung. Darunter fallen beispielsweise Schäden, die durch die Durchsetzung von Vorschriften oder Gesetzen durch staatliche Behörden verursacht werden, sowie Strafen und Bußgelder, die als Sanktionen von Behörden verhängt werden, zum Beispiel für Verstöße gegen Datenschutzgesetze wie die DSGVO.

Lösegeldzahlungen und die Erfüllung von anderweitigen Erpressungsforderungen werden je nach Versicherer unterschiedlich gehandhabt. Ransomware ist derzeit die am weitesten verbreitete Art von Malware und gilt aktuell als größte Cyber-Bedrohung für Unternehmen. Angriffe mit dieser Art von Schadsoftware zielen darauf ab, Daten zu stehlen und zu verschlüsseln und für die Freigabe oder Nicht-Veröffentlichung ein Lösegeld zu fordern.

Aufgrund der großen Bedrohung durch Ransomware bieten Cyberversicherungen je nach Anbieter auch Schutz gegen Lösegeldforderungen, um ihren Kunden einen umfassenderen Schutz gegen Cyber-Risiken zu bieten. Rechtlich gesehen gibt es in Deutschland aktuell weder ein Verbot noch eine offizielle Genehmigung, Lösegeldzahlungen zu versichern.

Zu den besonderen Ausschlüssen einer Cyberversicherung gehören in der Regel auch Ansprüche, die im Zusammenhang mit Produktrückrufen stehen. Das Gleiche gilt häufig für Ansprüche im Zusammenhang mit Produkthaftung, wenn es zu Schäden aufgrund eines fehlerhaften Produktes kommt - insbesondere bei Software, Hardware oder digitalen Dienstleistungen.

Ähnliche Ausschlüsse gelten bei Vertragsstrafen und mangelnder Vertragserfüllung. In der Regel besteht kein Versicherungsschutz für Ansprüche auf Erfüllung von Verträgen, Nacherfüllung, Rücktritt oder Ähnliches.

Schäden, die im Zusammenhang mit Finanzmarkttransaktionen oder dem Abfluss von Vermögenswerten des Versicherten entstehen, sind aufgrund der hohen Komplexität und des schwer kalkulierbaren Risikos meistens auch vom Versicherungsschutz einer Cyberversicherung ausgeschlossen.

Der Abfluss von Vermögenswerten bezieht sich auf finanzielle Verluste oder Transfers von Geld, die durch unberechtigte oder fehlerhafte Aktionen (z. B. Cyber-Angriffe oder betrügerische Transaktionen) entstehen. Unter Finanzmarkttransaktionen fallen alle Handelsaktivitäten auf Finanzmärkten wie Aktienkäufe oder Anleihenverkäufe. Finanzielle Schäden, die bei solchen Aktivitäten entstehen, sind in der Regel nicht versichert.

Bei der Verletzung von Immaterialgüterrechten geht es um Plagiate, Kartellrechtsverletzungen, Wettbewerbs- und Persönlichkeitsrechtsverletzungen oder Verletzung von Marken- und Urheberrechten. Im Kontext von Cyberversicherungen können solche Verletzungen beispielsweise entstehen, wenn vertrauliche Informationen, wie patentierte Designs oder Geschäftsgeheimnisse, im Zuge eines Cyber-Angriffs gestohlen und unrechtmäßig verwendet oder veröffentlicht werden. Schäden, die in diesem Zusammenhang entstehen, sind häufig nicht versichert.

Diskriminierung und daraus resultierende Schäden können im Kontext einer Cyberversicherung relevant werden, wenn beispielsweise durch einen Cyber-Angriff sensible Daten offengelegt werden, die Diskriminierung ermöglichen oder fördern. Dazu gehören unter anderem der Missbrauch personenbezogener Daten für eine gezielte Diskriminierung oder die Veröffentlichung von Informationen, die rassistische, geschlechtsspezifische oder anderweitig diskriminierende Handlungen nach sich ziehen könnten.

Vorfälle oder Schäden im Zusammenhang mit Kernenergie, nuklearer Strahlung oder radioaktiver Substanzen gehören bei vielen Cyberversicherungen zu den allgemeinen Ausschlüssen. Außerdem häufig ausgeschlossen sind Schäden aufgrund eines Ausfalls der Infrastruktur. Ein solcher Ausfall liegt vor, wenn Gebietskörperschaften wie Stadtteile oder Gemeinden, Netzstrukturen wie Telefon-, Internet- oder Funknetze, oder Einrichtungen wie Trinkwasserversorgung oder Abwasserentsorgung vom Ausfall bedroht sind.

Neben diesen allgemeinen und häufig getroffenen Ausschlüssen gibt es verschiedene Branchen und Geschäftsaktivitäten, die schwer bis gar nicht durch eine Cyberversicherung versicherbar sind. Dazu gehören:

• Glücksspiel: In der Glücksspielbranche werden täglich riesige Mengen an Finanztransaktionen und sensiblen Kundendaten verarbeitet, was sie zu einem bevorzugten Ziel für Hacker macht.
• Pornografie: Die Pornografiebranche ist besonders anfällig für Reputationsschäden durch Datenlecks und Hackerangriffe, bei denen sensible Nutzerinformationen gestohlen oder veröffentlicht werden. Das erschwert es Versicherern, eine Deckung anzubieten, da das Risiko für Rechtsstreitigkeiten und Rufschädigungen sehr hoch ist.
• Finanzsektor: Banken, Versicherungen und andere Finanzinstitute sind wegen des direkten Zugangs zu Vermögenswerten und sensiblen Kundendaten Hauptziele für Cyber-Kriminelle. Aufgrund der Höhe der möglichen Schäden bei Datenverlust oder finanziellen Manipulationen ist ein Versicherungsschutz nur schwer zu bekommen.