Aktuelle Cyberattacken, wie der Diebstahl von Millionen personenbezogener Kundendaten bei der Marriot-Hotelgruppe oder auch die Attacken aus den Vorjahren durch WannaCry, Petya, NotPetya, Spectre oder Meltdown, haben nicht nur zu einer verstärkten Sensibilisierung in deutschen Unternehmen geführt, sondern auch ihr Interesse am Abschluss einer Cyberversicherung verstärkt.

Zeichnungsverhalten und Versicherermarkt

Der deutsche Versicherungsmarkt hat sich auf dieses Interesse eingestellt. Mittlerweile bieten eine Vielzahl von Risikoträgern Cyberdeckungen für die verschiedensten Zielgruppen an. Das Prämienniveau und die Selbstbehalte in diesem hart umkämpften Markt haben sich in den vergangenen Jahren, insbesondere im Middle Market-Segment, nach unten bewegt. Allerdings war in den letzten Monaten des Jahres 2018 eine gewisse Stagnation der Abwärtsspirale zu beobachten.

Im Bereich der Konzernrisiken haben die Versicherer ein deutlich restriktiveres Zeichnungsverhalten im Vergleich zu den Vorjahren an den Tag gelegt. Bei einzelnen Versicherern wie HDI und AGCS war nicht nur eine Prämienverschärfung, sondern auch die Anhebung der monetären Selbstbehalte für schwere Großrisiken und die Rückzeichnung beziehungsweise Halbierung der maximalen Zeichnungskapazitäten festzustellen.

Sind Kumulrisiken noch überschaubar?

Hintergrund für diesen Paradigmenwechsel im Bereich der Großrisiken ist die zunehmende Anzahl der Schäden und ganz sicher auch das hierin enthaltene, schwer überschaubare Kumulrisiko der Versicherer.

Allein durch die sehr weitreichenden Bedingungen, zum Beispiel bei der Mitversicherung von IT- und Cloud-Dienstleistern, kann es im Falle eines Serienschadens zu unüberschaubaren Verlusten im Portfolio der Versicherer kommen. Denn diese IT- und Cloud-Dienstleister stellen ihren Service einer großen Anzahl von Kunden gleichzeitig zur Verfügung.

Zudem haben Angriffe auf produzierende Unternehmen wie zum Beispiel durch die Malware NotPetya gezeigt, welche Kosten durch den mehrtägigen Stillstand der Produktion bei diversen Unternehmen verursacht werden können. Für Risikoträger können diese Kumul- und Serienrisiken zu größten Problemen führen. Insofern ist ein verantwortungsvolles Underwriting in Bezug auf die Kapazitäten durch die Versicherer durchaus nachvollziehbar und um die Leistungsfähigkeit der Versicherer zu erhalten wünschenswert.

Hidden Risks

Aktuell entwickelt sich gerade eine Diskussion über die sogenannten „Hidden Risks“ in den Cyberdeckungen. Gemeint sind hierbei versteckte Risiken der Versicherer durch Überschneidungen der Cyberversicherung mit anderen klassischen Versicherungsprodukten, die letztendlich im Schadenfall nicht nur zu einer Entschädigungsleistung aus der Cyberversicherung, sondern auch zu Zahlungen und Leistungen aus anderen Versicherungssparten führen können. Denn die Cyberversicherung ist ein spezielles Bausteinkonzept, das aus den verschiedensten Versicherungssparten, wie beispielsweise aus der Haftpflicht-, der Betriebsunterbrechung-, der Vertrauensschaden-, der Rechtsschutz- und der Lösegeld/Erpressungsversicherung zusammengestellt wurde.

Auch in diesen klassischen Versicherungssparten ist die Mitversicherung von „spezifischen Cyberklauseln“ mittlerweile üblich. In bestimmten Sparten wie zum Beispiel in der D&O-Versicherung finden sich gar keine generellen Cyber-Ausschlüsse in den aktuellen Bedingungen.

Den Versicherer kann daher im Falle eines Cyberschadens selbst bei einer nicht vorhandenen Cyberversicherung das Leistungs- und Kostenrisiko aus einer klassischen Versicherungssparte treffen, ohne dass vorab bewusst eine Erfassung und Bewertung des originären Cyberrisikos des Kunden erfolgt wäre. Aus diesen Gründen kündigen Versicherer wie die AGCS an, die Bewertung der mitversicherten Cyberrisiken in den klassischen Versicherungssparten transparenter und eindeutiger gestalten zu wollen.

In der Konsequenz könnte dies für die Zukunft bedeuten, dass bei positiver Bewertung des Cyberrisikos für einen Kunden eine explizite Mitversicherung zum Beispiel in der D&O-Versicherung dokumentiert wird. Sollte sich die Bewertung solcher „Hidden Risks“ bei den Versicherern etablieren, stellt sich dann jedoch die Frage, wie sich ein Versicherer bei negativer Risikobewertung eines Cyberrisikos in Sparten wie der D&O-Versicherung verhalten wird. Müssen Kunden in Zukunft mit Deckungseinschränkungen, Begrenzungen der Limits oder sogar mit Ausschlüssen in den klassischen Sparten rechnen? Das bleibt abzuwarten.

Die Klausel-Diskussion oder die Ausschluss-Definition Cyberkrieg/-terror

Der aktuelle Streitfall des Lebensmittelriesen Mondelez gegen seinen Versicherer Zurich American zeigt, wie wichtig die genaue Betrachtung von Definitionen und Ausschlüssen auch im Bereich der Cyberdeckungen ist.

Mondelez wurde im Juni 2017 von NotPetya getroffen, wodurch Versandprozesse und Windows-basierte Software über mehrere Tage unterbrochen wurden. Das Unternehmen schätzte seinen Schaden und Verlust auf 100 Mio. US-Dollar.

Mondelez hatte über die Zurich American eine spezielle (Sach)-Versicherung abgeschlossen, die alle „physischen Verluste und Schäden“ abdeckte, einschließlich „Verluste und Schäden an elektronischen Daten, Programmen oder Software und inklusive Schäden, die durch absichtliche Einführung von Maschinencode oder Anweisungen verursacht wurden“.

Der Versicherer verweigerte jedoch zunächst eine Entschädigungsleistung und berief sich auf den Ausschluss „feindliche Handlungen oder Kriegshandlungen in Friedens- oder Kriegszeiten, einschließlich Handlungen, die dazu bestimmt waren, einen realen, drohenden oder erwarteten Angriff durch: (i) eine souveräne Regierung oder Macht (de jure oder de facto); (ii) eine Militär-, Marine- oder Luftwaffe; (iii) einen Vertreter oder eine Behörde der oben genannten Parteien zu behindern, zu bekämpfen oder zu verteidigen.“

Der Versicherer führte als Begründung an, NotPetya sei ein besonderer Malwareangriff durch „eine feindliche oder kriegerische Handlung“, die von einer „souveränen Regierung oder einem Staat“ stamme und somit vom Versicherungsschutz ausgeschlossen.

Die Malware NotPetya gilt weithin als ein von Russland gesponserter ursprünglicher Cyberangriff. Russland bestreitet diese Behauptungen. Letztendlich muss der Versicherer beweisen, ob der Ausschlusstatbestand tatsächlich vorliegt. Im Zuge des Gerichtsverfahrens in Illinois soll die Zurich American zunächst eine Teilzahlung von 10 Millionen Dollar als Entschädigung angeboten haben, bevor sie ihre anfängliche Ablehnung gänzlich zurückgezogen habe, so berichtet zumindest der TechLaw X-Blog.

Ausschlussdefinition Krieg und Terror in deutschen Bedingungen

Auch in deutschen Cyberversicherungen finden sich in den Bedingungen Ausschlüsse und Definitionen zum Thema Krieg, hoheitliche Angriffe und Cyberterror wieder. Dabei sind die Klauseln und Definitionen je nach Versicherer- beziehungsweise Maklerbedingungswerk sehr unterschiedlich ausgestaltet.

In einigen marktüblichen Bedingungswerken sind Schäden, die nachweislich auf Kriegsereignisse zurückzuführen sind, weitreichend ausgeschlossen: „Kein Versicherungsschutz besteht wegen Schäden jeglicher Art, die unmittelbar oder mittelbar auf Krieg, kriegerischen Akten, Invasion oder kriegsähnlichen Operationen, Bürgerkrieg, inneren Unruhen, Rebellionen, Revolutionen, Aufruhr, zivilen Aufständen oder hoheitlichen Eingriffen beruhen“, heißt es da zum Beispiel.

Bei derartigen Klauseln, die auch mittelbare Zusammenhänge einbeziehen, sind vergleichbare Diskussionen wie im Fall Mondelez nicht auszuschließen, und der Streitfall im Schaden ist programmiert.

Andere Cyberversicherer sehen von einer so weitreichenden Definition des Kriegs-/ Terrorismusausschlusses ab und stellen lediglich auf „nachweisliche Kriegsereignisse, Terrorismus, Aufruhr oder militärische Machtergreifung“ ab. Erfreulicherweise schließen diese Versicherer zusätzlich vorsätzliche und schädigende Handlungen gegen ein Computersystem des Versicherten selbst mit ein . Dabei wird die ausdrückliche Androhung solcher Handlungen, mit der Absicht Schaden zuzufügen und weitere gesellschaftliche, ideologische, religiöse, politische oder ähnliche Ziele zu verfolgen, als sogenannter „Cyberterrorismus“ explizit mitversichert.

Aus Sicht der Kunden wäre es sehr wünschenswert, wenn sich alle Risikoträger hier eindeutig positionierten und lediglich den unmittelbaren Krieg (gegebenenfalls nach völkerrechtlicher Definition) vom Versicherungsschutz der Cyberdeckung ausschlössen. „Cyberterror“ und der in den Medien häufig auch zitierte „Cyberkrieg“ sollten jedoch ausdrücklich mitversichert sein, soweit durch die vorsätzliche und schädigende Handlung gegen das Computersystem des Versicherten ein Schaden entsteht.

Solange dies noch nicht einheitlich erfolgt, empfiehlt es sich, das relevante „Kleingedruckte“ zum Kriegs-/Terrorausschluss in den jeweiligen Bedingungen und Angeboten individuell zu vergleichen und gegebenenfalls nachzuverhandeln.

Fazit

Bei Konzernrisiken wird der Versicherungsmarkt in der Zukunft vorsichtiger und mit geringeren Kapazitäten und höheren Selbstbehalten agieren. Kumulrisiken werden einer genaueren Betrachtung unterzogen, dabei werden insbesondere auch die Risiken in den traditionellen Versicherungssparten und die Mitversicherung von spezifischen Cyberklauseln genauer beleuchtet. Im derzeitigen „Bedingungsdschungel“ sind aktuell zudem Unklarheiten bei Definitionen und Ausschlüssen zu Krieg und Terror im Zusammenhang mit Cyberangriffen festzustellen und somit Streitfälle programmiert.

Bei Fragen zu dem Thema Cyber stehen wir Ihnen gerne zur Verfügung.