Nach einem Hackerangriff, einer Ransomware-Attacke oder einem erheblichen Datenverlust muss ein Unternehmen schnell handeln. IT-Systeme müssen gesichert und wiederhergestellt, Kunden oder Behörden informiert und Betriebsunterbrechungen begrenzt werden.
Gleichzeitig prüft der Cyberversicherer, ob der Versicherungsfall von den vereinbarten Bedingungen erfasst ist. Häufig entstehen Streitigkeiten darüber, ob Risikofragen richtig beantwortet, Sicherheitsvorgaben eingehalten, der Schaden rechtzeitig gemeldet oder externe Dienstleister ordnungsgemäß beauftragt wurden.
Eine Ablehnung oder Kürzung der Versicherungsleistung ist jedoch nicht automatisch berechtigt.
Auseinandersetzungen mit Cyberversicherern betreffen häufig folgende Fragen:
Wurden die Risikofragen bei Abschluss des Vertrages richtig und vollständig beantwortet?
Waren Betriebssysteme, Server und Sicherheitsprogramme ausreichend aktuell?
Wurden erforderliche Sicherheitsupdates rechtzeitig installiert?
Waren Multifaktor-Authentifizierung, Firewalls und Zugriffsrechte ordnungsgemäß eingerichtet?
Wurden ausreichende und getrennte Datensicherungen erstellt?
Liegt eine versicherte Informationssicherheitsverletzung vor?
War das eigene System oder nur das System eines Lieferanten oder Kunden betroffen?
Sind IT-Forensik, Datenwiederherstellung und Krisenkommunikation versichert?
Besteht Versicherungsschutz für die Betriebsunterbrechung?
Sind betrügerische Überweisungen, Social Engineering oder Fake-President-Fälle eingeschlossen?
Greift ein Ausschluss für staatliche Cyberangriffe, Erpressungszahlungen oder den Abfluss von Vermögenswerten?
Waren die entstandenen Kosten erforderlich und angemessen?
Für die Beurteilung kommt es nicht allein auf die Bezeichnung „Cyberversicherung“ an. Entscheidend sind der Versicherungsschein, die vereinbarten Versicherungsbedingungen, Zusatzklauseln und die konkreten Umstände des Angriffs.
Zunächst kläre ich, ob der Versicherungsfall ordnungsgemäß gemeldet wurde und welche weiteren Fristen einzuhalten sind.
Dabei prüfe ich insbesondere:
die Schadenmeldung an den Versicherer,
laufende Auskunfts- und Mitwirkungsanforderungen,
erforderliche Zustimmungen zu externen Dienstleistern,
behördliche oder gerichtliche Fristen,
die Sicherung technischer Beweismittel.
Gerade in den ersten Tagen sollten Logdateien, Systemabbilder, E-Mails und Entscheidungsabläufe möglichst vollständig gesichert und dokumentiert werden.
Ich prüfe den vollständigen Versicherungsvertrag einschließlich:
Versicherungsschein,
Versicherungsbedingungen,
Zusatzklauseln und Nachträgen,
Versicherungsantrag,
Risikofragebogen,
Korrespondenz mit dem Versicherer oder Versicherungsmakler.
Beruft sich der Versicherer auf falsche Angaben bei Vertragsschluss, ist zu untersuchen, wie die jeweilige Frage formuliert war, wer sie beantwortet hat und welche Informationen zu diesem Zeitpunkt tatsächlich vorlagen.
Pauschale Vorwürfe, ein System sei „veraltet“ oder „unsicher“ gewesen, reichen für sich allein nicht aus. Entscheidend ist auch, ob der beanstandete Umstand für den konkreten Angriff und den entstandenen Schaden ursächlich war.
Bei Cyberfällen greifen rechtliche und technische Fragen unmittelbar ineinander.
Gemeinsam mit den vorhandenen IT-Forensikern oder Sachverständigen wird geklärt:
Wie gelangte der Angreifer in das System?
Welche Sicherheitslücke wurde ausgenutzt?
Welche Systeme und Daten waren betroffen?
Hätte eine bestimmte Sicherheitsmaßnahme den Angriff verhindert?
Worauf beruhte die Dauer der Betriebsunterbrechung?
Welche Maßnahmen waren für Eindämmung und Wiederherstellung erforderlich?
Die Ergebnisse müssen so aufbereitet werden, dass sie auch in einer außergerichtlichen Auseinandersetzung oder einem gerichtlichen Verfahren nachvollziehbar und beweisbar sind.
Anschließend prüfe ich, welche Kosten und Schäden von den einzelnen Deckungsbausteinen erfasst werden.
Hierzu können insbesondere gehören:
Kosten der IT-Forensik,
Kosten der Schadenbegrenzung,
Wiederherstellung von Daten und Programmen,
Entfernung von Schadsoftware,
Kosten des Notbetriebs,
entgangener Gewinn,
fortlaufende Betriebskosten,
Krisenkommunikation,
datenschutzrechtliche Beratung,
Abwehr von Ansprüchen Dritter,
Freistellung von berechtigten Haftpflichtansprüchen.
Bei einer Betriebsunterbrechung müssen die wirtschaftlichen Auswirkungen nachvollziehbar dokumentiert und von anderen Umsatz- oder Ergebniseinflüssen abgegrenzt werden.
Nach Abschluss der Prüfung erhält der Versicherer eine rechtlich und technisch begründete Stellungnahme.
Je nach Fall umfasst diese:
die Zurückweisung einer Deckungsablehnung,
die Widerlegung behaupteter Obliegenheitsverletzungen,
den technischen Kausalitätsgegenbeweis,
die Bezifferung einzelner Schadenspositionen,
die Anforderung von Abschlagszahlungen,
Vergleichsverhandlungen,
die gerichtliche Durchsetzung der Versicherungsleistung.
Dabei wird für jeden Deckungsbaustein gesondert geprüft, ob und in welcher Höhe Versicherungsschutz besteht.
Für eine erste Prüfung sind insbesondere hilfreich:
Versicherungsschein,
sämtliche Versicherungsbedingungen und Nachträge,
Versicherungsantrag und Risikofragebogen,
Schadenmeldung,
Schreiben des Versicherers,
Deckungsablehnung oder Kürzungsentscheidung,
IT-Forensik- und Incident-Response-Berichte,
Übersicht der betroffenen Systeme,
Patch-, Update- und Backupdokumentation,
Rechnungen externer IT-Dienstleister,
Unterlagen zur Betriebsunterbrechung,
Anspruchsschreiben von Kunden oder sonstigen Dritten.
Fehlen einzelne Unterlagen, kann im ersten Gespräch geklärt werden, welche Dokumente noch benötigt und beim Versicherer, Makler oder IT-Dienstleister angefordert werden sollten.
Nach einem Cybervorfall sollten kostenintensive Maßnahmen möglichst mit dem Versicherer abgestimmt werden, soweit dies ohne Gefährdung der Schadenbegrenzung möglich ist.
Anerkenntnisse, Vergleiche, Erpressungszahlungen oder Zahlungen an Dritte sollten nicht ohne vorherige Prüfung vorgenommen werden. Gleichzeitig dürfen notwendige Sofortmaßnahmen zur Sicherung von Daten und zur Begrenzung des Schadens nicht verzögert werden.
Eine frühzeitige rechtliche Begleitung hilft, technische Beweise zu sichern, Fristen einzuhalten und vermeidbare Auseinandersetzungen über den Versicherungsschutz zu verhindern.
Als Fachanwalt für Versicherungsrecht prüfe ich die Deckung nach einem Cyberangriff, die Einwendungen des Versicherers und die ersatzfähige Schadenhöhe.
In einem ersten Gespräch klären wir:
was geschehen ist,
welche Fristen laufen,
welche Unterlagen vorliegen,
welche Sofortmaßnahmen erforderlich sind,
wie die Ansprüche gegenüber dem Versicherer weiterverfolgt werden können.
Sie haben eine Deckungsablehnung erhalten oder der Versicherer verzögert die Regulierung?
Nehmen Sie Kontakt auf und übersenden Sie nach Möglichkeit den Versicherungsschein, die Versicherungsbedingungen, die Schadenmeldung und die bisherige Korrespondenz mit dem Versicherer.
[zurück zum Versicherungsrecht]
[Muss die Rechtsschutzversicherung Deckung erteilen?]
