Foto: Mammut Vision - Fotolia.com
Versicherer begreifen die weiter steigende Menge an Daten als Risiko für Unternehmen. Der Rückversicherer Munich Re stellt in seiner Broschüre "Cyberrisiken - Herausforderungen, Strategien und Lösungen für Versicherer" sechs Gefahrenquellen im Zusammenhang mit Datensicherheit vor. Das sind folgende:
1. Globalisierung und Vernetzung: Dass Verbindungen über das Internet praktisch weltweit den Zugriff auf Daten, Systeme und ganze Organisationen erlauben, betrachtet die Munich Re vor "Szenarien steigender Schäden". So könne ein großräumiger Ausfall des Internets zu weitreichenden Betriebsunterbrechungen führen, da viele Unternehmen im Alltagsgeschäft vom Netz abhängig sind. Das Interesse an Versicherungsdeckung für IT-bedingte Betriebsunterbrechungen sei denn auch "entsprechend hoch".
Im Versicherer-Fachjargon heißen diese Risiken "Unberechtigter Zugriff, Internetausfall". Die betroffenen Versicherungspolicen sind "IT/Cyberabdeckung".
2. Kritische Infrastruktur: In puncto Cyberattacken auf die Infrastruktur sehen Versicherer insbesondere den wachsenden Einsatz von Remote Access als Gefahrenquelle. Abzusichernde Risiken sind "Unbefugter Fernzugriff, Infrastrukturausfall", die zugehörigen Policen "IT/Cyberabdeckung, zum Teil Sachversicherung und Personenversicherungen".
3. Compliance: Global operierende Unternehmen müssen zahlreiche Datenschutz-und aufsichtsrechtliche Bestimmungen einhalten. Munich Re schreibt: "Trotz aller Bemühungen, die teils widersprüchlichen Vorschriften einzuhalten, bleibt eine gewisse Rechtsunsicherheit, welche Anforderungen und Bestimmungen die Firmen tatsächlich erfüllen müssen."
Die unterschiedlichen nationalen Regelwerke wirkten sich auch auf die Versicherer aus, die Deckungskonzepte für IT-Risiken entwickeln, so die Broschüre weiter. Da ein weltweit einheitlicher Ansatz nicht möglich sei, müssten die Produkte individuell angepasst werden.
Haftpflichtversicherungen für technische Führungskräfte
Munich Re weist darauf hin, dass die Geschäftsführer für die Einhaltung dieser Bestimmungen persönlich haftbar sein können. Außerdem muss das Unternehmen dafür sorgen, dass sowohl die eigenen Angestellten als auch externen Kräfte geschult werden. Das habe "erhebliche Auswirkungen" auf Versicherungen, insbesondere die Versicherung von technischen Führungskräften. Betroffen sind hier Haftpflichtversicherungen.
4. Outsourcing und Cloud Computing: Die "zunehmende Beliebtheit", die Munich Re beim IT-Outsourcing sowie beim Cloud Computing beobachten will, beurteilt der Rückversicherer skeptisch.
"Die rechtlichen Anforderungen sind je nach Standort des Providers unterschiedlich hinsichtlich Umfang und Inhalt und teilweise auch widersprüchlich", steht in der Broschüre. Und weiter: "Allen Cloud-Diensten gemeinsam ist jedoch die Tatsache, dass Unternehmen die physische Kontrolle über diesen Teil ihrer IT Infrastruktur (Daten, Software) aufgeben." Es müsse daher sichergestellt sein, dass die Anbieter von Cloud-Computing-Lösungen die Anforderungen der Unternehmen an Sicherheit oder Schutz vor unbefugtem Zugriff einhalten.
Der Versicherer müsse bei Fällen von "erheblichem Verlust von Kundendaten" bei einem Cloud Computing Provider mit einer doppelten Schadenlast rechnen. Das heißt konkret: "Der Kunde kann die Versicherung wegen des Verlustes der eigenen Daten und einer damit verbundenen Betriebsunterbrechung in Anspruch nehmen (Eigenschaden). Der Provider wird sich wegen der gegen ihn gerichteten Haftungsansprüche an die Versicherung wenden (Fremdschaden)." Die Versicherungspolicen sind wiederum IT/Cyberabdeckung (Datenverlust, Betriebsunterbrechung, Haftpflicht).
Versicherer reagieren auf Cybermobbing
5. Soziale Netzwerke: Mit der Verbreitung sozialer Netzwerke steige die Gefahr von Verletzungen des Persönlichkeitsrechts, so Munich Re. Stichworte sind hier Cybermobbing oder Identitätsdiebstahl. Bisher sei eine Versicherung nur durch eine Deckung für Verletzungen des Persönlichkeitsrechts im Rahmen einer sogenannten "Personal Umbrella Policy" möglich.
Die Broschüre klärt auf: "In jüngster Zeit hat die Zahl der Ansprüche wegen Verletzung des Persönlichkeitsrechts zugenommen. Deshalb haben viele Anbieter von Personenversicherungen beschlossen, "elektronische Angriffe" aus dem Massengeschäft auszuschließen." Die Risiken heißen im Versicherer-Sprech "Identitätsdiebstahl, Cybermobbing", die Police ist eine Haftpflichtversicherung.
6. Cyberattacken: Cyberattacken reichen von "Diebstahl, Betrug, Schädigung von Vermögenswerten und Erpressung über Spionage, Rufschädigung, Kinderpornographie bis hin zu Terrorismus, ja sogar zu kriegerischen Handlungen", schreibt Munich Re. Versicherer unterscheiden zwischen materiellen und immateriellen Schäden.
In der Broschüre wird das so präzisiert:
- Der deckungsauslösende Sachverhalt, also die Schadenursache, ist in allen IT-Szenarien und T-/Cyber-Eigenschadendeckungen immer ein immaterieller Schaden. Das Verschwinden von Daten, deren Nichtverfügbarkeit, Blockierung oder Manipulation reicht aus, um die Deckung auszulösen.
- Dagegen muss bei einem materiellen Schaden das versicherte Objekt gewöhnlich chemischen oder physikalischen Einwirkungen, etwa in Folge eines Brandes, einer Überschwemmung oder eines Erdbebens, ausgesetzt gewesen sein.
Risiko Roboter
Der Blick in die Zukunft der IT stimmt Munich Re nicht eben optimistisch. Dazu nur zwei Szenarien:
Die zunehmende Automatisierung menschlicher Handlungen bringt beispielsweise Autopiloten und Drohnen hervor. Dabei könnten Fehlfunktionen in Bauteilen oder Systemen "erhebliche Schäden" anrichten.
Sollten sich humanoide Roboter zur Unterstützung der Menschen in Hotels und Pflegeheimen durchsetzen, könnten ebenfalls Fehlfunktionen neue Risiken und Schäden mit sich bringen. Nicht zuletzt merkt der Versicherer an: "Hinzu kommt, dass sie als leblose Wesen der Einsamkeit weiteren Vorschub leisten und das seelische Wohlbefinden beeinträchtigen können, wenn Personen von Robotern gepflegt werden."