Beiträge

KMU – Cyber-Versicherung: GDV fasst Musterbedingungen neu

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat Musterbedingungen für die Cyberversicherung überarbeitet. Welche Themen klargestellt wurden.

Im April 2017 stellte die Versicherungswirtschaft erstmals unverbindliche Musterbedingungen für eine Cyberversicherungspolice vor. Damit reagierte der Versicherer-Verband auf die zunehmende Anzahl der Cyber-Angriffe und der daraus resultierenden finanziellen Schäden. Ein Grund für die Anfälligkeit von vor allem kleinen oder mittelständischen Unternehmen sei im mangelnden Risikobewusstsein für die Gefahren im Netz zu finden. Das unterstrich eine damalige Forsa-Studie, die der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in Auftrag gegeben hatte.

Die Bedingungen sollten auch als Vergleichsmaßstab dienen, um Versicherungsangebote bewerten zu können, so der Verband seinerzeit.

Sieben Jahre später haben sich die Gefahren und die Absicherung deutlich gewandelt. Die Risiken und die entsprechende Risiko-Abwehr muten einem Katz- und Mausspiel an. Einhergehend damit hat sich der Lobby-Verband erneut den Musterbedingungen für die Cyberrisikoversicherung gewidmet und diese auf den Stand 2024 gehoben.

Viele Risiko-Aspekte, die heutzutage eine Rolle spielen, gab es damals noch nicht. So arbeiten mehr Beschäftigte mobil, Cloud Computing wird stärker genutzt und die Datenschutzgrundverordnung (DSGVO) hat neue Schadenersatzansprüche bei Datenlecks geschaffen.

Folgende Punkte listet der GDV bezüglich der Änderungen auf:

  • Mobiles Arbeiten: Die neuen Musterbedingungen stellen klar, dass auch der Fernzugriff auf die Unternehmens-IT versichert ist.
  • Verletzung von Datenschutzgesetzen: Seit 2018 räumt die Datenschutzgrundverordnung (DSGVO) den Betroffenen eines Datenlecks ein Recht auf Schadenersatz ein. Da von einem solchen Datenleck oft viele Menschen betroffen sind, können diese Zahlungen sehr hoch ausfallen. Dieses Risiko wird in der Neufassung der Musterbedingungen mitversichert.
  • Krieg und staatliche Angriffe: Die Neufassung stellt klar, dass ein Krieg im Sinne der Bedingungen nicht den Einsatz physischer Waffengewalt voraussetzt. Schäden durch Kriegshandlungen sind auch dann ausgeschlossen, wenn der Krieg mit digitalen Mitteln geführt wird. Darüber hinaus formulieren die neuen Musterbedingungen einen Ausschluss für staatliche Cyberangriffe. Demnach sind Schäden ausgeschlossen, die eine direkte oder indirekte Folge eines erfolgreichen staatlichen Angriffs auf kritische Infrastrukturen sind.
  • Externe Dienstleister: Schäden infolge einer Störung bei externen Dienstleistern wie Cloud-Anbietern, Rechenzentren oder Software-as-a-Service-Lösungen waren vom Versicherungsschutz bislang ausgeschlossen. Diese Einschränkung wird in den neuen Musterbedingungen größtenteils aufgehoben: Werden beim Dienstleister gespeicherte Daten manipuliert, mit Schadsoftware infiziert oder für unberechtigte Personen zugänglich, besteht Versicherungsschutz. Weiterhin ausgeschlossen bleibt hingegen der Ausfall des Dienstleisters, also die fehlende Verfügbarkeit der Daten.
  • IT-Sicherheitsniveau: Die vom versicherten Unternehmen zu erfüllenden Obliegenheiten wurden neu formuliert, um den aktuellen technischen Stand abzubilden und das Verständnis beim Leser zu verbessern. Die Basis für ein angemessenes IT-Sicherheitsniveau bilden weiterhin die bekannten, einfach umzusetzenden Maßnahmen wie regelmäßige Datensicherungen, starke Passwörter, individuelle Zugänge, Virenscanner, Firewalls und schnell installierte Sicherheitsupdates.

    • Die vollständigen neuen Musterbedingungen für Cyberschutz hat der Verband als PDF online gestellt.

    /von

    D&O-Versicherung: finanzieller Schutz für Manager und Führungskräfte

    Es klingt paradox: Unternehmen und Vereine können eine Versicherung abschließen, um ihre Manager und Führungskräfte gegen persönliches Fehlverhalten und die daraus folgenden Schadensersatz-Ansprüche abzusichern. Nein, dahinter verbirgt sich kein Misstrauens-Bekenntnis, sondern ein sinnvoller Schutz. Denn im Zweifel haften Manager für Fehler mit ihrem Privatvermögen. Die entsprechende Police nennt sich “Directors & Officers”-Versicherung.

    Es ist ein Beispiel von vielen: Wie die “Tagesschau” vor wenigen Tagen berichtete, hat der Volkswagen-Konzern seinen früheren Manager Oliver Schmidt auf Schadensersatz verklagt. Eine hohe Millionensumme soll der 50jährige zahlen, der aktuell in den USA im Gefängnis sitzt. Dem Ingenieur wird vorgeworfen, wesentlich in den sogenannten Dieselgate-Skandal um gefälschte Abgaswerte verstrickt zu sein. Fünf weitere VW-Manager sollen Schadensersatz an den Wolfsburger Autobauer erbringen. Schmidt hingegen behauptet, er habe im Auftrag der Konzernführung gehandelt.

    Konzerne klagen immer öfter gegen eigene Manager

    Ist der VW-Skandal auch das prominenteste Beispiel, so lässt sich in den letzten Jahren doch eine deutliche Tendenz beobachten. Immer öfter klagen Konzerne gegen ihre eigenen Manager und Entscheidungsträger, um Schadensersatz geltend zu machen. Das kann für die Betroffenen böse ausgehen. Denn auch Manager haften mit ihrem Privatvermögen, wenn ihnen Fehler passieren. Bei den hohen Summen, die dabei auf dem Spiel stehen, droht ihnen selbst bei einem relativ großen Privatvermögen der finanzielle Ruin. Auch Aktionäre zeigen sich zunehmend klagefreudig, wenn sie hohe Verluste erlitten haben.

    Damit kommt eine Versicherungsart ins Spiel, die hierzulande noch recht jung ist: Die sogenannte “D&O-Versicherung”. Ende der 1980er Jahre wurden solche Verträge erstmals in Deutschland angeboten, sie stammen ursprünglich aus dem angloamerikanischen Raum. Doch mittlerweile haben sie einen regelrechten Siegeszug angetreten. Das Prämienvolumen wird auf mehr als 500 Millionen Euro geschätzt. Bemerkenswert ist hierbei, dass die Firmen diese Tarife selbst abschließen, um ihr Führungspersonal zu schützen. Sie sollen den Verantwortlichen auch ein Stück weit den Rücken freihalten, um Entscheidungen treffen zu können.

    “Die Grundlage für einen Versicherungsfall ist dabei stets eine Pflichtverletzung, für die das Unternehmen eine versicherte Person haftbar macht”, erklärt Jörg Pohlücke, Referent für Haftpflichtversicherungen beim Gesamtverband der Deutschen Versicherungen (GDV), auf der Webseite des Branchenverbandes. Oder weniger technisch ausgedrückt: ein Manager oder eine Managerin muss durch Fehlverhalten seinem Unternehmen Schaden zugefügt haben. Dann ist es wahrscheinlich, dass der Versicherer zahlt.

    Versicherer wehrt unberechtigte Ansprüche ab

    Der Versicherer zahlt aber nicht sofort, sondern wird zunächst prüfen, ob die Vorwürfe gegen den Manager auch berechtigt sind. Auch dies ein guter Nutzen: Der Vertrag schützt die versicherte Person gegen unberechtigte Schadenforderungen, etwa wenn jemand aus der Firma gemobbt werden soll. Oder wenn er zu Unrecht angeklagt wird: gerade wenn eine Führungskraft in einem nicht demokratischen ausländischen Staat tätig ist, kann ein solcher Schutz dann wichtig sein.

    Wird ein Fehlverhalten festgestellt, zahlt der Versicherer die vereinbarte Leistung. Nicht abgedeckt sind in der Regel Folgen, die die versicherte Person nicht beeinflussen kann, so berichtet der GDV, etwa eine schwache Auftragslage infolge politischer Verwerfungen. Auch bei Straftaten springt der Versicherer in der Regel nicht ein.

    Doch der Versicherer hat noch eine andere Rolle: die eines Mediators. Er vermittelt zwischen dem Unternehmen und dem Manager. Ziel ist es, dass der Streit erst gar nicht vor Gericht landet, sondern außergerichtlich geregelt wird. Zwei von drei Fällen können außergerichtlich beigelegt werden, so berichtet der GDV. Das erspart allen Parteien lange Rechtsstreite, die mit schlaflosen Nächten einhergehen und oft über mehrere Instanzen ausgefochten werden müssen. Eine gute Sache! Auch deshalb wundert es, dass es sich noch immer um eine recht exotische Versicherungsart in Deutschland handelt. Entsprechende Policen können übrigens auch von kleinen und mittleren Firmen gezeichnet werden.

    /von

    Neue Gefahren – Cyber-Attacken bedrohen Unternehmer

    Erneut greift eine Erpressungssoftware um sich: “Bad Rabbit” wütet vor allem in Russland und der Ukraine, hat aber auch schon Rechner in Deutschland befallen. Grund genug, noch einmal auf das Thema Cyber-Sicherheit hinzuweisen: und die entsprechenden Versicherungen hierzu. Denn speziell für kleine und mittelständische Unternehmer können solche Angriffe existenzbedrohend sein.

    Ein neuer Erpressungstrojaner greift derzeit um sich: “Bad Rabbit” heißt die Schadsoftware, oder auf deutsch: “Böser Hase”. Dass es sich dabei um ein ernstes Problem handelt, zeigt die Tatsache, dass sogar die US-Regierung schon öffentlich davor warnte. Und dass durchaus große Unternehmen von der Ransomsoftware betroffen sind: und zwar derart, dass der Geschäftsbetrieb gestört wurde.

    Wie die Nachrichtenagentur “Reuters” berichtet, hatte unter anderem der Flughafen in Odessa Probleme, es kam zu Verspätungen. Mehrere Tageszeitungen waren stundenlang nicht erreichbar. Und erste deutsche Rechner sollen infiziert sein, das Schadprogramm könnte schnell um sich greifen.

    Existenzbedrohendes Risiko

    Hackerangriffe und Schadsoftware bedeuten längst ein milliardenschweres Risiko für die deutsche Wirtschaft. Jedes Unternehmen kann es treffen, das irgendwie am Netz hängt und mit Computern arbeitet: sei es ein kleiner Online-Versandhandel, ein Handwerksbetrieb oder eine Autowerkstatt. Viele Firmen treffe ein solcher Angriff völlig unvorbereitet, berichtet der Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Die Schäden können existenzbedrohend sein.

    Das zeigt sich auch bei “Bad Rabbit”. Die Erpresser-Software verschlüsselt wichtige Dateien auf dem Rechner und kann Programme schädigen. Der Nutzer wird sozusagen aus seinen eigenen Anwendungen “ausgesperrt”. Dann fordern die Erpresser ein Lösegeld in Form von Bitcoins, damit sie die Programme wieder freischalten. In der Regel erleben die Betroffenen eine böse Überraschung: auch nach Zahlung des Geldes können sie nicht mehr auf die Dateien zugreifen, denn oft sind sie irreparabel beschädigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in früheren Fällen davon abgeraten, den Kriminellen Geld zu überweisen.

    Die Konsequenzen eines solchen Angriffes können bitter sein. Die Produktion muss unter Umständen gestoppt, Waren können nicht ausgeliefert werden. Wichtige Kundendaten sowie die Korrespondenz gehen auch verloren. Oft dauert es Tage oder sogar Wochen, bis alles wieder derart hergestellt ist, dass der Geschäftsbetrieb wie gewohnt weitergeführt werden kann. In der Zwischenzeit müssen trotzdem Löhne gezahlt werden – im Zweifel auch Schadensersatz für nicht erbrachte Leistungen. Und wenn sensible Kundendaten entwendet werden, steht sogar ein Verstoß gegen das Datenschutzgesetz im Raum.

    Cyberversicherung – junge, aber wichtige Sparte

    Aufgrund der potentiell hohen Schäden stellt sich die Frage, wie man sich finanziell vor den Folgen von Hacker-Angriffen schützen kann. Hier kommt die sogenannte Cyber-Versicherung ins Spiel. In Deutschland ist diese Sparte noch vergleichsweise jung und wenig verbreitet. Laut einer Umfrage des Branchenverbandes Bitcom haben nur 27 Prozent der Unternehmer eine entsprechende Police abgeschlossen. Doch die Anbieter haben auch für kleine Unternehmen passgenauen Schutz.

    Der Versicherungsdachverband GDV hat im Frühjahr Musterbedingungen für Cyber-Versicherungen vorgelegt. Diese enthalten unverbindliche Empfehlungen, was eine solche Police mindestens enthalten soll. Unter anderem ist hierin eine Art Haftpflicht-Baustein für Drittschäden vorgesehen, wenn Kunden wegen der Attacke ihre Leistung nicht erhalten und Schadenersatz fordern. Mit Blick auf Eigenschäden sollte die Betriebsunterbrechung abgesichert sein. Weitere Leistungen sind für die Krisenkommunikation, die Wiederherstellung der Computersysteme und den Ausfall des Gewinnes vorgesehen.

    Aber natürlich ist es am besten, wenn erst gar nicht etwas passiert. Deshalb sollten Unternehmer gemeinsam mit Fachleuten ein Cyber-Risikomanagement implementieren. Mitunter helfen schon kleine Schritte: Sicherheits- und Antiviren-Programme aktuell halten und regelmäßig updaten, verdächtige Email-Anhänge nicht öffnen, regelmäßig Back-ups durchführen. Schließlich geht es um die Existenz der eigenen Firma!

    /von

    KMU – Cyber-Versicherung: GDV präsentiert Musterbedingungen

    Kleine und mittelständige Unternehmen werden häufig Opfer von Cyber-Attacken. Der Gesamtverband der Versicherungswirtschaft (GDV) hat nun auf seiner Webseite Musterbedingungen für Cyber-Versicherungen veröffentlicht. Diese sind zwar nicht verbindlich – geben aber eine Orientierung, was eine solche Versicherung beinhalten sollte.

    Es ist ein Fakt: Cyber-Angriffe bedeuten eine zunehmende Gefahr für kleine und mittlere Unternehmen. Mehr als jede vierte Firma (28 Prozent) mit einem Jahresumsatz bis 50 Millionen Euro wurde schon Ziel von Hackern, so eine forsa-Umfrage im Auftrag der Versicherungswirtschaft.

    Ein solcher Angriff kann im Zweifel die Existenz eines Unternehmens gefährden. Um nur einen Teil der möglichen Folgen zu nennen: Kunden können nicht rechtzeitig beliefert werden, die Produktion steht über Tage still, sensible Geschäfts- und Kundendaten werden geklaut, die Firma erleidet einen Imageschaden. Oft muss zudem viel Geld in die Hand genommen werden, um Daten zu retten und die IT-Technik zu reparieren.

    Cyber-Versicherungen schützen

    Gegen Hackerangriffe helfen gewerbliche Cyber-Versicherungen. Hierbei handelt es sich um eine recht junge Versicherungssparte, sind die Gefahren durch Hacker doch erst mit der zunehmenden Vernetzung von Unternehmen entstanden. Umso größer war der Wildwuchs in der Branche: Es gab sehr verschiedene Verträge mit sehr unterschiedlichen Leistungsbausteinen. Zwar sollten gewerbliche Versicherungen ohnehin individuell auf eine Firma zugeschnitten sein. Aber die verschiedenen Angebote erschwerten eine Orientierung zusätzlich.

    Das hat auch der Versicherer-Dachverband GDV erkannt und präsentiert nun Musterbedingungen für Cyber-Policen, die nach Aussage des Verbandes auf die Anforderungen kleiner und mittelständischer Unternehmen zugeschnitten sind. Zwar sind diese Musterbedingungen unverbindlich. Doch vielen Versicherern dienen sie in der Regel als Orientierung, was unbedingt in einem Vertrag enthalten sein sollte. Die Musterbedingungen finden sich unter folgender Adresse: http://www.gdv.de/wp-content/uploads/2017/04/AVB_Cyber_April_2017.pdf

    Auch Kosten für IT-Forensiker und Krisenkommunikation

    Die Versicherung sollte demnach nicht nur bei Datenklau und Betriebsunterbrechungen eine Leistung erbringen, sondern auch Kosten für IT-Forensiker oder Krisenkommunikation übernehmen. GDV-Präsident Erdland: “Die Versicherungswirtschaft kann so als Teil der Lösung dazu beitragen, den Kampf mit den Cyberkriminellen aufzunehmen.”

    Unter Kosten für IT-Forensiker werden die notwendigen Aufwendungen gefasst, die notwendig sind, einen Schaden durch externe Computer- und Technikexperten feststellen und einschätzen zu lassen. Und unter Krisenkommunikation fallen jene Aufwendungen, die der Information des Kunden über einen Schaden dienen, etwa Anrufe per Call Center. Auch Maßnahmen zur Wiederherstellung des Images einer Firma können gemeint sein.

    Wie bei anderen Versicherungen auch gilt: Es sollte genauestens im Vertrag einer Cyber-Versicherung nachgelesen werden, welche Leistungen zu welchen Bedingungen versichert sind. Sonst drohen Lücken im Schutz. Ein Beratungsgespräch ist bei solch komplexen Verträgen zu empfehlen!

    /von

    Umfrage – Unternehmer haben Angst vor Unfällen und Krankheit

    Gewerbeversicherung: Welche Risiken schätzen Unternehmer als größte Bedrohung für ihren geschäftlichen Erfolg ein? Das wollte aktuell das Marktforschungsunternehmen YouGov im Auftrag eines großen Versicherers wissen. Die repräsentative Umfrage unter 524 Selbständigen zeigt: Nichts fürchten die Macher so sehr wie einen Unfall oder eine längere Krankheit.

    Rund 71 Prozent der Befragten gaben in der Umfrage an, dass der eigene Unfall oder eine längere Krankheit die stärkste Bedrohung für ihren Betrieb sei. Das mag auch kaum verwundern, bedeuten beide Ereignisse doch, dass der Chef längere Zeit im Unternehmen ausfällt – oder gar seinen Beruf komplett aufgeben muss. Oftmals findet sich niemand, der einspringen will oder könnte.

    Für die Absicherung der eigenen Arbeitskraft eignet sich eine Berufsunfähigkeits- und Unfallversicherung. Als weitere Bedrohung werden von selbständigen Unternehmern Ereignisse genannt, die sie selbst kaum beeinflussen können. 23 Prozent sehen in Steuererhöhungen eine Gefahr für die eigene Firma, 14 Prozent in der fortschreitenden Bürokratisierung. Allerdings sind diese Bedrohungen im Vergleich zu erstgenannten Gesundheitsrisiken weit abgeschlagen: Gesundheit ist eben doch das Wichtigste.

    Besonders für Selbständige lohnt sich der Abschluss einer Krankentagegeldversicherung. Mit ihr lässt sich der Verdienstausfall auffangen, wenn man wochen- oder gar monatelang aufgrund einer Krankheit im Job pausieren muss. Aber auch die Firma selbst sollte mit einem Grundschutz bedacht werden.

    Betriebshaftpflicht ist wichtiger Baustein für Grundschutz

    Empfehlenswert für alle Unternehmer ist der Abschluss einer Betriebshaftpflichtversicherung, denn sie springt ein, wenn dritten Personen ein Schaden durch die eigene Unternehmertätigkeit entsteht. Wenn der Gast eines Restaurants zum Beispiel eine Lebensmittelvergiftung erleidet, weil versehentlich ein Giftpilz ins Essen geriet, muss der Betreiber zahlen. Oder wenn ein Schreiner das Treppengeländer falsch befestigt und deshalb eine Person stürzt. Eine solche Haftpflicht wird mittlerweile auch für kleine Startups und Online-Shops angeboten, so dass sich ein preiswerter Schutz auf für kleine Firmen finden sollte. Die Betriebshaftpflicht wehrt auch ungerechtfertigte Ansprüche von Kunden ab.

    Sinnvoll kann auch der Abschluss einer Betriebsunterbrechungsversicherung sein. Je nach Ausgestaltung des Vertrages kommt eine solche Police für den Schaden auf, wenn aufgrund von Feuer, Einbruchdiebstahl, Leitungswasser, Sturm und Hagel oder Elementargefahren die Produktion unterbrochen werden muss. Für Unternehmer ist die Betriebsunterbrechung in mehrfacher Hinsicht ein Risiko, denn oft sind die laufenden Kosten weiter zu zahlen. Ob Löhne, Gehälter oder Mieten: die Anspruchsberechtigten werden nicht einfach darauf verzichten wollen. Im schlimmsten Fall führen diese laufenden Forderungen dann in die Insolvenz! Welche Versicherungslösungen sich für Unternehmer noch anbieten, zum Beispiel eine Sachversicherung gegen Einbruchdiebstahl oder eine Flottenversicherung für den Fuhrpark, klärt ein Beratungsgespräch.

    /von