Klasse statt Masse
Kernelement der meisten Cyberpolicen ist die Deckung von Erst- und Drittschäden für ein betroffenes Unternehmen plus die Bereitstellung von Krisendienstleistern, wenn es aufgrund eines Hackerangriffs oder technischen Fehlers zu einem Systemausfall oder Datenverlust kommt. Einige Policen wie Allianz Cyber Protect sichern einen Betriebsunterbrechungsschaden (BU) des betroffenen Unternehmens infolge eines Cyberangriffs, einer behördlicher Stilllegungsverfügung, einer Fehlbedienung oder unvorsehbarer technischer Probleme ab. Jenseits dieser gängigen Produktelemente sehen wir jedoch auch spezielle Cyber-Deckungskonzepte auf dem Markt.
Ein gutes Beispiel sind Deckungen, die für Rückwirkungsschäden (Contingent Business Interruption/CBI) aufkommen. Sie entstehen, wenn ein Zulieferer infolge eines Cybervorfalls ausfällt und einen Abnehmer nicht mehr beliefern kann. Sprich: Ein Zulieferer hat zwar keinen Sachschaden erlitten, kann aber nicht mehr produzieren, weil beispielsweise ein Schadprogram die Industriesoftware verschlüsselt hat oder Daten aus einer Cloud nicht verfügbar sind.
Betriebsunterbrechungen: Schwer zu greifendes Risiko
Auch wenn sich solche Szenarien und Ausfallrisiken mittlerweile mit moderner Datenanalyse und künstlicher Intelligenz besser greifen lassen: Sie bleiben eine versicherungstechnische Herausforderung. Ein gezielter Angriff auf den Schlüsselzulieferer einer Branche kann zudem nicht nur zu einem einzelnen Betriebsstillstand führen, sondern weltweit eine sehr große Anzahl versicherter Firmen gleichzeitig in die Knie zwingen. Vergleichbare Folgen hätte auch ein Cyberangriff auf kritische Infrastrukturen wie auf die Stromversorgung oder Telekommunikationstechnologie. Versicherer, die solche Akkumulationen in ihren Portfolien nicht klar identifizieren und umsichtig managen, könnten schnell eine böse Überraschung erleiden – zumal sich laut einer Untersuchung von Accenture Strategy 60 Prozent der Cyberattacken im Ursprung auf Teile der Lieferketten zurückverfolgen lassen und kleine Unternehmen für 92 Prozent der Cybervorfälle verantwortlich sind.
Auch für die potenziellen Kunden solcher Cyber-CBI-Policen gibt es ein verstecktes Risiko – nämlich die in den Bedingungen schlummernde Beweislast. Stellen wir uns dazu einen großen Maschinenbauer vor, der wichtige Bestandteile seines Endproduktes von seinem Zulieferer erhält.
Komplexe Ursachenforschung beim Zulieferer
Tritt ein Schaden ein, hat der Kunde gemäß herkömmlicher Schadenregulierungspraxis zwei Dinge zu tun: Zum einen muss er die Höhe des eigenen Betriebsunterbrechungsschadens nachweisen. Zum anderen muss er die Ursache des Schadens aufzeigen. Klingt einfach. Ist es aber nur bedingt. Zwar lässt sich die Höhe des eigenen Schadens durch den Produktionsausfall in aller Regel noch recht einfach ermitteln. Ganz anders verhält es sich aber bei der Ursachenforschung, wenn der Cybervorfall eben nicht im eigenen Betrieb, sondern bei einem Zulieferer stattgefunden hat, auf dessen IT-Systeme jenseits der vernetzten Lieferketten-Netzwerke kein direkter Zugriff besteht.
Da die meisten Unternehmen Cybervorfälle lieber nicht öffentlich machen, ist keine große Bereitschaft zu erwarten, Einblicke in vertrauliche IT-Systeme und -Probleme zu erhalten. Sollte der betroffene Zulieferer eine Cyberpolice abgeschlossen haben, könnte er seinem Abnehmer immerhin den Schadenbericht seines Versicherers zur Verfügung stellen, um dadurch die Schadenursache aufzuzeigen. Da heute aber gerade erst einmal etwas mehr als ein Prozent der rund 3,7 Millionen deutschen Unternehmen über einen solchen Schutz verfügt, ist auch dieser Nachweis eher unwahrscheinlich – erst recht dann, wenn es sich bei dem Ausfall um einen nachgelagerten Sublieferanten handelt. Der Unternehmer steht also schlimmstenfalls mit leeren Händen da und kann seiner Beweispflicht nicht nachkommen.
Wie kann eine Lösung für ein sicherlich relevantes Geschäftsrisiko aussehen? Hier gibt es verschiedene Wege. Auf Basis dieser Erfahrungen und den Gesprächen mit unseren Versicherungsnehmern sind wir aktuell dabei, Klauseln für unsere Cyberpolicen auszuarbeiten, die für beide Seiten volle Transparenz und Rechtssicherheit gewähren, wenn unseren Versicherungsnehmern durch cyberbedingte Zulieferausfälle Schäden entstehen.