Partnermakler, aber auch Kunden stellen immer öfter die Frage, ob eine Vertrauensschaden- oder auch Crimeversicherung genannt, eine Cyberversicherung ersetzen kann, nachdem Unternehmen, welche die IT-Security-Aufgaben nur stiefmütterlich behandelt haben, in Cyber nicht mehr versichert werden.

Das Thema der Unversicherbarkeit oder der Versicherbarkeit zu sehr restriktiven Konditionen stellt sich gerade für größere Unternehmen als zunehmendes Problem dar, wenn sie ihre IT-Security-Hausaufgaben nicht gemacht haben. Dies betrifft insbesondere größere Produktionsunternehmen.

Auf den Versicherungsschutz wirkt sich dies insofern aus, als dass diese Unternehmen gewisse Deckungsbausteine gar nicht mehr versichern können oder nur unter Inkaufnahme sehr hoher Eigenbehalte. Dies betrifft regelmäßig den Versicherungsschutz für Ransomware. In der Praxis bedeutet das häufig, dass die Versicherer Sublimits für Versicherungsschutz in Folge von Ransomwareangriffen (Verschlüsselung mit anschließender Lösegeld-Erpressungsdrohung) in den Deckungen einziehen und neben diesen Sublimits noch ein hoher Eigenbehalt von den versicherten Unternehmen gefordert wird.

Egal – wir haben Cyber in der Vertrauensschadensversicherung gedeckt!

Regelmäßig hört man dann von Vermittlern, dass eine Cyberversicherung nicht nötig sei, weil man für den Kunden ja eine Vertrauensschadenversicherung (VSV) abgeschlossen hätte. Sicherlich gibt es Cyberincidents, in denen die Vertrauensschadenversicherung zieht, aber da die VSV ursprünglich einen ganz anderen Zweck verfolgt, nämlich den Schutz des versicherten Unternehmens gegen Vertrauenspersonen zu gewährleisten, die das Unternehmen durch unerlaubte Handlungen vorsätzlich schädigen, ist der Hackerbaustein der VSV inhaltlich meist so begrenzt, dass nur zielgerichtete Hackerangriffe versichert sind. Hier liegt auch schon gleich einer der wesentlichen Unterschiede zur Cyberversicherung vor. Denn in der Cyberversicherung sind auch nicht zielgerichtete Angriffe von Hackern versichert. Versicherungsschutz in der VSV im Falle einer Hackerattacke liegt also nur dann vor, wenn sich die Attacke auf eine bestimmte Anzahl von EDV-Nutzern bezieht. Diese nicht näher spezifizierte Formulierung der „Zielgerichtetheit“ kann im Schaden naturgemäß zu vielen unliebsamen Diskussionen mit dem Versicherer führen.

Bereicherungsabsicht und Sublimit

Zudem ist der Versicherungsschutz des sogenannten „Hackerbausteins“ oft an eine Bereicherungsabsicht geknüpft. Hier finden sich in den Bedingungen mehrere Ausgestaltungsformen. Entweder ist bei Hackerschäden ohne Bereicherungsabsicht ein Sublimit im Schadensfall vorgesehen oder der Versicherungsschutz ist gänzlich ausgeschlossen.

Subsidiarität des Versicherungsschutzes

Zudem gilt der Versicherungsschutz in der Vertrauensschadenversicherung stets subsidiär, während in der Cyberversicherung meist ein Prioritäts- bzw. Spezialitätsprinzip gilt. D.h. während die Cyberversicherung gegenüber anderen Versicherungen stets zieht, gehen bei Vorliegen von anderweitigen Versicherungen, diese stets der VSV vor. Meist ist in den VSV-Bedingungen sogar geregelt, dass bei Vorliegen einer Cyberversicherung der Hackerbaustein ausgeschlossen gilt, wodurch im Versicherungsfall auch nicht im Anschluss an die Cyberversicherung eine Leistung im Schaden erfolgen würde.

Keine Entschädigung bei Betriebsunterbrechung – keine Erpressungsgelder

Mittelbare Schäden wie entgangener Gewinn oder Löse- bzw. Erpressungsgelder werden meist in den VSV-Deckungen explizit ausgeschlossen. Wirft man aber einen Blick auf die jüngeren Cyber-Schadensfälle, so sind es gerade Betriebsunterbrechungsschäden oder Schäden im Zusammenhang mit Ransomware, die für die versicherten Unternehmen hohe Kosten verursachen. Insofern ist eine weitreichende Cyberversicherung jedenfalls das Gebot der Stunde.

Was bringt dann Vertrauensschadenversicherung?

Sollte es für ein Unternehmen nicht möglich sein, eine Cyberversicherung abschließen zu können, so kann die Vertrauensschadenversicherung zumindest für die Wiederherstellung von Daten und für die Fortführung des fortlaufenden Geschäftsbetriebes wertvolle Dienste leisten. Allem voran aber besteht die Stärke einer Vertrauensschadenversicherung in der Abdeckung von Vorsatzdaten von Vertrauenspersonen und in der Abdeckung von Fake-President- und Man-In-the-Middle-Fällen, die in den Standardbedingungen der Cyberversicherer stets unversichert bleiben.