Versicherung von IT-Risiken

Aufgrund der hohen Dunkelziffer an Schäden hat die Assekuranz nur eine eingeschränkte statistische Grundlage für die Prämienkalkulation.

Trotz intensiver Analyse ist es der Assekuranz bisher nicht möglich, für IT-Risiken ein verlässliches Verfahren zu entwickeln, mit dem man mögliche Kumulschäden auf PMLBasis ermitteln kann. Um die Risiken dennoch kalkulierbar zu halten, sieht die Münchener Rück nahezu keine Möglichkeit, im Eigenschadenbereich Risiken zu versichern, die über den klassischen Sachschaden etwa an Datenträgern oder Computersystemen hinausgehen.

Ein zusätzliches Problem besteht darin, dass Vermögens- bzw. Sachschäden, die durch den Verlust oder die Manipulation von Daten entstehen, von Land zu Land unterschiedlich definiert werden. Der Versicherer könnte so schlimmstenfalls plötzlich verp?ichtet sein, Deckungen zu übernehmen, für die er nie ein Risk-Assessment vorgenommen und auch keine Prämie erhalten hat. Erstversicherer sollten daher im eigenen Interesse darauf achten, in ihren Policen IT- und Sachschäden klar zu trennen.

Wegen des letztlich unkalkulierbaren Kumulrisikos ist auch das Risiko eines Ausfalls externer Netze nicht gedeckt, etwa wenn ein Bagger Kommunikationskabel kappt. Nach detaillierter Risikoanalyse durchaus versicherbar ist hingegen ein gezielter Hackerangriff auf eine bestimmte Firma, da in diesem Fall keine Kumulgefahr besteht.

Risikoszenarien im Drittschadenbereich

Neben den skizzierten Eigenschäden können über das Medium Internet auch erhebliche Haftp?ichtansprüche Dritter entstehen. Diese Dritt- oder Fremdschäden werden in folgende Risikokategorien aufgeteilt: Unterbrechungsrisiko, Sicherheitsrisiko, Medienrisiko. Handelt es sich bei den ersten beiden Kategorien um "neue Exponierungen" im Zusammenhang mit der Nutzung des Internets, so ist das Medienrisiko seit Jahren bekannt.

Seine Risikoqualität hat sich durch das Internet jedoch erheblich verändert. Das heißt: Die Verbreitung von Informationen per Mausklick erfolgt wesentlich schneller und global (one click - one spread). Das Hauptaugenmerk im Haftp?ichtbereich liegt allerdings auf dem Unterbrechungs- und Sicherheitsrisiko. Da die Wirtschaft immer abhängiger wird von elektronischen Medien, hat die Gefahr existenzieller Bedrohungen durch Unterbrechungsschäden zugenommen.

Ein Beispiel: Eine Vielzahl von Unternehmen nutzt das Internet als zusätzlichen Vertriebskanal. Erleidet ein solches Unternehmen einen Unterbrechungsschaden und kann keinen Onlinekontakt mehr mit seinen (potenziellen) Kunden aufnehmen, wird die Höhe des Vermögensschadens neben der Unterbrechungsdauer entscheidend davon abhängen, inwieweit noch traditionelle Vertriebskanäle genutzt werden können, um den Ausfall zu kompensieren.

nächste Seite »

Existenzverlust durch Unterbrechungsschaden

Für ein reines E-Commerce- Unternehmen kann ein Ausfall zweifellos den Verlust der Existenz zur Folge haben. Das Thema Sicherheitsrisiko ist oft eng an die Problematik "Imageverlust" gekoppelt. Eine Bank, welche die ihr anvertrauten sensiblen Kundendaten nicht adäquat schützt und unberechtigten Dritten Zugang zu diesen ermöglicht, wird einen monetären Schaden sorgsam gegen den möglichen Imageverlust abwägen, der entsteht, wenn die Sicherheitslücke bekannt wird.

Für die Versicherungswirtschaft ist das ein großes Problem, denn aufgrund der hohen Dunkelziffer an Schäden kann sie nur auf eine eingeschränkte statistische Grundlage zurückgreifen, um das technische Prämienniveau zu kalkulieren. Auch die Haftp?ichtversicherung beschäftigt sich mit Computerviren. Diese Problematik ist im Haftp?ichtbereich nicht mit der Sachversicherung zu vergleichen.

Hat der Risk-Assessment-Prozess zu einem positiven Ergebnis geführt, so sind Virenrisiken im Drittschadenbereich durchaus versicherbar. Im Gegensatz zu Eigenschäden muss im Haftp?ichtfall zweifelsfrei festgestellt werden, dass das Verhalten des Versicherungsnehmers für die Virenweiterleitung kausal und schuldhaft war. Das liegt regelmäßig nicht vor, wenn selbst eine adäquat aktualisierte Sicherheitssoftware den Virus nicht erkannt hätte.

Viren-Sicherheitssoftware liegt immer einen Schritt zurück

Gerade neu programmierte Viren werden oft auch von neuester Sicherheitssoftware nicht identi?ziert. Die Kumulschadenproblematik ist zwar nach wie vor gegeben - in dem geschilderten Fall dürfte jedoch eine Haftung zu verneinen sein. Das für Dritthaftungsansprüche regelmäßig erforderliche Verschulden des Versicherungsnehmers für die unbeabsichtigte Weiterleitung von Viren ist eine zusätzliche Hürde für die Haftung.

Selbst wenn das Virus von einer aktuellen Sicherheitssoftware erkannt worden wäre, haftet der Versicherungsnehmer nur, wenn er schuld ist an der mangelnden Aktualität. Es bleibt jedoch sicherlich Interpretationsspielraum, wenn man defniert, welche Anforderungen im Einzelfall an die Qualität beziehungsweise Aktualität der Sicherheitssoftware gestellt werden können.

Eine weitere Unsicherheit: Die Anforderungen an die Sorgfaltspflicht, deren Handhabung sowie die Rechtsprechung im Schadenfall sind international höchst unterschiedlich. Zudem muss geprüft werden, ob sich ein Mitverschulden des Empfängers haftungsmildernd auswirkt. Es liegt nahe, dass das weitergeleitete Virus nur deswegen Schaden anrichten konnte, weil auch der Empfänger keine Sicherheitssoftware hatte, die dem neuesten Stand entsprach.

« vorherige Seite