Herr Pickartz, der Angriff Russlands auf die Ukraine hat Befürchtungen vor Cyberattacken verstärkt. Können sich Unternehmen dagegen versichern?

In der Ukraine hat es seit Beginn des Krieges Cyberangriffe Russlands zum Beispiel gegen Energieversorger gegeben. Für Deutschland bewertet das Bundesamt für Sicherheit in der Informationstechnik fortwährend die Bedrohungslage, die derzeit als erhöht eingestuft wird. Das BSI hat potenzielle Zielgruppen, darunter die Bundesverwaltung, Betreiber kritischer Infrastrukturen und weitere Organisationen und Unternehmen sensibilisiert, informiert und ruft zu erhöhter Wachsamkeit und Reaktionsbereitschaft auf. Viele Unternehmen haben eigene Sicherungsmaßnahmen getroffen, zum Beispiel neue Firewalls eingeführt, Mitarbeiter gegen Phishing oder Angriffe mittels Social Engineering geschult oder das Intranet technisch an die neue Situation angepasst und so potenzielle Einfallstore geschlossen.

Gibt es Versicherungsschutz?

Die Nachfrage nach Cyber-Versicherungen wächst derzeit stärker als die angebotene Kapazität. Insbesondere die schadenexponierten Branchen benötigen Risikodeckung: Gesundheitswesen, Dienstleistung, Einzelhandel, verarbeitendes Gewerbe, staatliche Einrichtungen sowie Finanzdienstleister. Hintergrund ist, dass möglichst die Kosten, die in der Folge eines Cyberangriffs entstehen, vom Versicherer übernommen werden sollten. Einige Policen schließen Beratungs- und Rechtskosten mit ein. Aufgrund der Bedrohungslage ist Absicherung wichtiger denn je.

Wie umfassend ist der Schutz?

Problematisch kann der Kriegsausschluss sein, der regelmäßig in den Policen zu finden ist. Die Folgen eines Cyberangriffs des russischen Staates gegen einen anderen Staat – zum Beispiel als Vergeltung für die Unterstützung der Ukraine im Krieg –  können durch diesen Ausschluss im Ergebnis nicht versichert sein;  die Herkunft von Angriffen ist allerdings oft schwer nachzuweisen.

Welche Versicherungen gegen Cyberkriminalität halten Sie für sinnvoll?

Es gibt echte Cyber-Versicherungen und sogenannte Silent-Cyber-Policen. Einige Sach-, Haftpflicht und Rechtsschutzpolicen decken auch Cyberrisiken ab. Allerdings sind diese Deckungen in der Regel lückenhaft, so dass dennoch der Abschluss separater und speziell gestalteter Policen Sinn macht. Unternehmen sollten ihre bestehenden Versicherungen analysieren. Je nach festgestelltem Risiko kommen Eigenschadendeckungen, die Risiken wie Betriebsunterbrechung oder Kosten einer Ransomware-Attacke abdecken, sowie Drittschadenpolicen, die Haftpflicht- und Abwehrkosten absichern, in Betracht.

Was wird versichert?

In der Rubrik Erst- bzw. Eigenschäden umfassen die Cyberpolicen Betriebsunterbrechung, Zerstörung digitaler Bestände, Reputationsschaden, Cyber-Erpressung, Kosten für die Reaktion auf Vorfälle und gegebenenfalls Deckung von Schäden aus Straftaten.

Wie ist es bei Drittschaden?

Hier geht es um Haftung gegenüber Dritten, zum Beispiel Kunden oder Lieferanten, für Ansprüche wegen Vertragsbruchs, Spät- oder Nichterfüllung, Fahrlässigkeit, Artikel 82 der Datenschutz-Grundverordnung nach dem Verlust von Daten oder Folgeschäden – finanzielle Verluste oder Wiederherstellungskosten nach Datenverstößen –, um Rechts- und Verteidigungskosten, Kosten aufgrund behördlicher Untersuchungen, zum Beispiel Ermittlung der Datenschutzbehörde wegen Verstoßes gegen die DSGVO.

Was wird ausgeschlossen?

Neben Krieg sind häufig US-Risiken, vertragliche Garantieerklärungen des Versicherungsnehmers oder körperliche Schäden ausgeschlossen.

Welche technologischen Voraussetzungen muss ein Unternehmen haben, um Cyber-Versicherungsschutz zu erhalten?

Dies ist von Versicherer zu Versicherer unterschiedlich, aber häufig werden im Antragsformular Fragen zu Backups, zum Plan für die Reaktion auf Zwischenfälle, zur Verwendung von Multifaktor-Authentifizierung, zu Patches usw. gestellt, die manchmal auch als Garantien in die Police aufgenommen werden.

Udo Pickartz ist Rechtsanwalt in der Kanzlei Simmons & Simmons.

Die Fragen stellte .