Beiträge

Vertrauensschadenversicherung – Ein brauchbarer Ersatz für eine Cyberversicherung?

Partnermakler, aber auch Kunden stellen immer öfter die Frage, ob eine Vertrauensschaden- oder auch Crimeversicherung genannt, eine Cyberversicherung ersetzen kann, nachdem Unternehmen, welche die IT-Security-Aufgaben nur stiefmütterlich behandelt haben, in Cyber nicht mehr versichert werden.

Das Thema der Unversicherbarkeit oder der Versicherbarkeit zu sehr restriktiven Konditionen stellt sich gerade für größere Unternehmen als zunehmendes Problem dar, wenn sie ihre IT-Security-Hausaufgaben nicht gemacht haben. Dies betrifft insbesondere größere Produktionsunternehmen.

Auf den Versicherungsschutz wirkt sich dies insofern aus, als dass diese Unternehmen gewisse Deckungsbausteine gar nicht mehr versichern können oder nur unter Inkaufnahme sehr hoher Eigenbehalte. Dies betrifft regelmäßig den Versicherungsschutz für Ransomware. In der Praxis bedeutet das häufig, dass die Versicherer Sublimits für Versicherungsschutz in Folge von Ransomwareangriffen (Verschlüsselung mit anschließender Lösegeld-Erpressungsdrohung) in den Deckungen einziehen und neben diesen Sublimits noch ein hoher Eigenbehalt von den versicherten Unternehmen gefordert wird.

Egal – wir haben Cyber in der Vertrauensschadensversicherung gedeckt!

Regelmäßig hört man dann von Vermittlern, dass eine Cyberversicherung nicht nötig sei, weil man für den Kunden ja eine Vertrauensschadenversicherung (VSV) abgeschlossen hätte. Sicherlich gibt es Cyberincidents, in denen die Vertrauensschadenversicherung zieht, aber da die VSV ursprünglich einen ganz anderen Zweck verfolgt, nämlich den Schutz des versicherten Unternehmens gegen Vertrauenspersonen zu gewährleisten, die das Unternehmen durch unerlaubte Handlungen vorsätzlich schädigen, ist der Hackerbaustein der VSV inhaltlich meist so begrenzt, dass nur zielgerichtete Hackerangriffe versichert sind. Hier liegt auch schon gleich einer der wesentlichen Unterschiede zur Cyberversicherung vor. Denn in der Cyberversicherung sind auch nicht zielgerichtete Angriffe von Hackern versichert. Versicherungsschutz in der VSV im Falle einer Hackerattacke liegt also nur dann vor, wenn sich die Attacke auf eine bestimmte Anzahl von EDV-Nutzern bezieht. Diese nicht näher spezifizierte Formulierung der „Zielgerichtetheit“ kann im Schaden naturgemäß zu vielen unliebsamen Diskussionen mit dem Versicherer führen.

Bereicherungsabsicht und Sublimit

Zudem ist der Versicherungsschutz des sogenannten „Hackerbausteins“ oft an eine Bereicherungsabsicht geknüpft. Hier finden sich in den Bedingungen mehrere Ausgestaltungsformen. Entweder ist bei Hackerschäden ohne Bereicherungsabsicht ein Sublimit im Schadensfall vorgesehen oder der Versicherungsschutz ist gänzlich ausgeschlossen.

Subsidiarität des Versicherungsschutzes

Zudem gilt der Versicherungsschutz in der Vertrauensschadenversicherung stets subsidiär, während in der Cyberversicherung meist ein Prioritäts- bzw. Spezialitätsprinzip gilt. D.h. während die Cyberversicherung gegenüber anderen Versicherungen stets zieht, gehen bei Vorliegen von anderweitigen Versicherungen, diese stets der VSV vor. Meist ist in den VSV-Bedingungen sogar geregelt, dass bei Vorliegen einer Cyberversicherung der Hackerbaustein ausgeschlossen gilt, wodurch im Versicherungsfall auch nicht im Anschluss an die Cyberversicherung eine Leistung im Schaden erfolgen würde.

Keine Entschädigung bei Betriebsunterbrechung – keine Erpressungsgelder

Mittelbare Schäden wie entgangener Gewinn oder Löse- bzw. Erpressungsgelder werden meist in den VSV-Deckungen explizit ausgeschlossen. Wirft man aber einen Blick auf die jüngeren Cyber-Schadensfälle, so sind es gerade Betriebsunterbrechungsschäden oder Schäden im Zusammenhang mit Ransomware, die für die versicherten Unternehmen hohe Kosten verursachen. Insofern ist eine weitreichende Cyberversicherung jedenfalls das Gebot der Stunde.

Was bringt dann Vertrauensschadenversicherung?

Sollte es für ein Unternehmen nicht möglich sein, eine Cyberversicherung abschließen zu können, so kann die Vertrauensschadenversicherung zumindest für die Wiederherstellung von Daten und für die Fortführung des fortlaufenden Geschäftsbetriebes wertvolle Dienste leisten. Allem voran aber besteht die Stärke einer Vertrauensschadenversicherung in der Abdeckung von Vorsatzdaten von Vertrauenspersonen und in der Abdeckung von Fake-President- und Man-In-the-Middle-Fällen, die in den Standardbedingungen der Cyberversicherer stets unversichert bleiben.

Cyber-Versicherung – Kein Stein bleibt auf dem anderen – Gastbeitrag AssCompact ÖSTERREICH | Januar 2022

„Diesen Ausspruch tätigte ein ehemaliger ORF-Moderator bevor er die erste Hochrechnung nach einer Parlamentswahl bekannt gab und diese Aussage trifft auch auf die dynamische Entwicklung rund um die Financial Lines Sparten Cyber und D&O-Versicherung zu. Es ist für Versicherungsvermittler empfehlenswert, sich diese Entwicklung näher anzusehen, um die Gefahr für den eigenen Bestand rechtzeitig erkennen und entsprechend reagieren zu können.“

Im Vorfeld des Gewerbeversicherungssymposiums von Asscompact am 17. März 2022 in der Pyramide Wien/Vösendorf fand unser Geschäftsführer Mag. (FH) Joe Kaltschmid deutliche Worte in einem Gastbeitrag für das Symposium.

Lesen Sie den Artikel:

Steigende Cyberbedrohungslage

Die Anzahl von Cyberangriffen, insbesondere mittels Ransomware hat in den letzten Jahren enorm zugenommen. Die Sicherheitslage gilt als sehr angespannt bis extrem kritisch. Jede entdeckte Sicherheitslücke ruft neben den Softwareentwicklern, die mit Hochdruck an der Erstellung von Patches zur Schließung der Lücke arbeiten, auch Cyberkriminelle auf den Plan. Das Geschäftsmodell Cyberkriminalität entwickelt sich höchst erfolgreich und professionell, sodass heute Cyberkriminelle nicht nur mit der Verschlüsselung von Daten drohen, sondern zuvor die Daten stehlen und mit der Veröffentlichung der Daten drohen. Die Cyberkriminellen brauchen keine besonderen IT-Kenntnisse zu besitzen, denn ähnlich wie bei Standardsoftware, kann man im Darknet auch „Ransomware as a Service Dienste“ käuflich erwerben. Neben Ransomware stellen qualifizierte Phishingattacken mittels Künstlicher Intelligenz (KI) und die potenzielle vollständige Übernahme der IT-Systeme durch die geschickte Ausnutzung von IT-Sicherheitslücken eine zunehmende Bedrohung dar.

Anbietermarkt Cyberversicherung

Die Anzahl der Anbieter für Cyberversicherungen ist überschaubar, wenn man nach wesentlichen Kriterien Ausschau hält, wie etwa adäquaten Versicherungssummen, dem Vorhalten von qualifizierten Dienstleistern im Krisenfall, einem weiten Bedingungswerk oder etwa der Erfahrung in einer Sparte. Die Vielzahl an Schadensfällen verminderte den Risikoappetit der Cyberversicherer drastisch.

Reaktion der Versicherer auf Bedrohungslage

Gerade große Risikoträger zeichnen sich aus hohen Versicherungssummen vermehrt zurück. Dies führt bei größeren Risiken zu einer Knappheit der Kapazitäten. Insbesondere trifft dies Industriebetriebe und größere Finanzdienstleistungsunternehmen. Nur wenige Risikoträger bieten eine vollumfängliche Cyberversicherung mit einer umfangreichen Deckung für „Cyber-Erpressung“ auf dem österreichischen Markt an. Aufgrund massiv ansteigender Schadensfälle durch Ransomware und anschließender Erpressung streichen einige Versicherer diesen wichtigen Deckungsbaustein überhaupt aus ihren Bedingungen. Andere Versicherer entwickelten für alle Ransomwareangriffe sogenannte Endorsements, in denen etwa Sublimits im Rahmen der Versicherungssumme sowie ein gesonderter Eigenbehalt des Versicherungsnehmers im Schadensfall vereinbart gelten. Diese Eigenbehalte fallen mitunter extrem hoch aus – können auch zwischen 10 und 50% des Schadensfalles liegen. Dabei gilt vielfach je größer die Versicherten Unternehmen sind, umso höher fallen auch die Eigenbehalte aus.

Was bedeutet das für den Kunden?

Die massive Bedrohungslage bedeutet für Unternehmungen, dass sie, um Versicherungsschutz zu erhalten, deutlich höhere IT-Security-Anforderungen erfüllen müssen. Versicherer dulden bei aus ihrer Erfahrung wesentlichen Anforderungen an die IT-Sicherheit zeitlich keinen Aufschub mehr. Unternehmen, welche diese Anforderungen nicht erfüllen, können auch keinen Versicherungsschutz mehr einkaufen. Bedingt durch die massive Schadensbelastung sind die Prämien massiv angestiegen. Häufig bekommen Unternehmen für eine höhere Prämie weniger Versicherungsschutz als in der Vergangenheit geboten. In der Welt der KMUs agieren die Cyber-Versicherer noch etwas nachgiebiger. Hier macht sich zwar auch das Thema erhöhte Anforderungen an die Cyber-Security bemerkbar, jedoch noch nicht mit so drastischen Auswirkungen wie bei größeren Betrieben.

Durchdringungsgrad der Cyberversicherung

Im Rahmen eines Cyber-Reports in 2021 wurde aufgrund einer Kundenbefragung die Durchdringung mit Cyberversicherung am österreichischen Markt auf etwa 20% geschätzt. Diese Einschätzung teilen wir nicht. Wir gehen bei KMU von einer Durchdringung von 10 bis maximal 15% aus. Es besteht in der Sparte Cyber also ein enormes Wachstumspotenzial sowohl für den Vermittler als auch für den Versicherer.

Wie muss der Makler aufgestellt sein, um in Cyber erfolgreich zu sein?

Der Makler muss in dieser Spezialsparte ein entsprechendes vertieftes Know-how und langjährige Erfahrung vorhalten. In Cyber ist es wichtig, dass der Makler über technisches Verständnis verfügt, idealerweise beschäftigt er einen IT-versierten Mitarbeiter dafür. Wichtig ist neben diesen Skills aber auch die Marktkenntnis. Der Versicherungsvermittler muss nicht nur wissen, welche Anbieter über die weitesten Versicherungsbedingungen verfügen, sondern er muss auch den Risikoappetit der Versicherer kennen, der sich regelmäßig ändert. Von Vorteil ist auch, wenn der Makler über ein größeres Portfolio (Bestand) in dieser Sparte verfügt. Ist dies nicht der Fall und erfolgen Anfragen nur gelegentlich, so bekommt man von den vielen Versicherern aufgrund der knappen personellen Ressourcen sehr häufig keine Antwort oder eine vorschnelle Ablehnung. Da diese Voraussetzungen aber kaum von Kollegen erfüllt werden können, empfiehlt sich die Zusammenarbeit mit einem Spezialisten, weil dieser nämlich auch das Claims-Handling übernimmt.

Der Artikel im Original-Format:
AssCompact Ausgabe 01/2022 S. 10-11

CYBER-NEWS: Alarmstufe Rot – Exchange-Sicherheitslücken führen zu Angriffen

„Sofortiges Handeln notwendig“ – das fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hacker greifen gleich über mehrere Sicherheitslücken Microsoft-Exchange-Server an. Prüfen Sie, ob Sie betroffen sind und informieren Sie jetzt Ihre Bestandskunden. Weiterlesen