Blog

Hallo, wir hören gelegentlich, dass wir zu viele Riskofragen stellen oder werden gefragt, ob der Risikoscan nicht negativ für den Kunden ist. Dass dieses Wissen über die Risikosituation des Kunden einen großen Vorteil für ihn darstellt, zeige ich Ihnen heute.

Wie letzte Woche berichtet, gab es Ende Mai die erste gerichtliche Entscheidung in der Sparte Cyber: LG Tübingen, Urt. v. 26.05.2023 - 4 O 193/21. Gegen diese wurde inzwischen eine Revision eingelegt - Das Thema wird uns also noch eine Weile beschäftigen.Bei dem Angriff handelte es sich um eine erfolgreiche Phishing-Attacke. Ein falscher Klick auf eine Mail und die Schadsoftware konnte installiert werden, die das IT-System verschlüsselt hat. Daraufhin wurde dann ein Erpressungsgeld gefordert. Entstanden ist dabei ein hoher Schaden v.a. durch die Betriebsunterbrechung. Eigentlich ist die Schadenssumme von der Versicherungssumme gedeckt, allerdings hat der Versicherer den Schaden abgelehnt und sich auf fehlende Updates u.a. von Altsystemen berufen.

Folgende Probleme hat dieser Fall aufgezeigt:

1. Zu vage vage formulierte Risikofragen: Die VN hat die 8 Risikofragen objektiv richtig beantwortet. Dafür, dass sie das Risiko nicht richtig eingeschätzt haben, kann die VN nichts. Es ist die Aufgabe des Versicherers, das Risiko entsprechend zu bewerten. Die weitreichende Interpretation der Fragen über das Offensichtliche hinaus ist eben nicht die Aufgabe der VN.Deswegen fragen wir so genau wie möglich, um das Cyber-Risiko Ihrer Kunden richtig einzuschätzen. Auch wenn das bedeutet, dass wir das ein oder andere "Cyber"-Vokabular nochmal genauer erklären müssen. Z.B. in unserem FAQ der Risikofragen.

2. Fehlende Kausalität: Es unstreitig, dass das Unternehmen bereits zum Zeitpunkt des Versicherungsstarts über interne Server verfügte, die nicht alle mit den aktuellen Microsoft Windows Sicherheits-Updates des Betriebssystems ausgestattet waren. Auch hat das Unternehmen zahlungspflichtige, verfügbare Updates unterlassen.Aber diese Updates hätten die Phishing-Attacke nicht verhindert. Der Angreifer hatte Anmeldedaten abgegriffen und sich damit Zugang zum Netzwerk verschafft. Somit stehen die unterlassenen Updates nicht im Kausalzusammenhang zum erfolgreichen Ransomware-Angriff. Deswegen kann der Versicherer in diesem Fall keine vorvertragliche Anzeigepflichtverletzung aufgrund von Altsystemen und nicht erfolgten Updates geltend machen.

3. Berufen auf nicht-dokumentierte Sicherheitsempfehlungen: Der Versicherer kann sich auch nicht darauf berufen, dass eine allgemeine Verbesserung der Cyber-Sicherheit den Schaden verhindert hätte. Denn der Versicherer hat das Unternehmen zu den gegebenen Konditionen in sein Buch aufgenommen. Das bedeutet auch, nur weil wir dem Kunden z.B. im Cyber-Onboarding eine Maßnahme empfehlen, ist dieser nicht dazu verpflichtet diese umzusetzen. Leistungskürzungen sind demnach nur erlaubt, wenn der Versicherungsnehmer den vertraglich festgesetzten Sicherheitsstandard maßgeblich unterschreitet. Außerdem erfolgte ein Dialog über das Risiko, der nicht entsprechend dokumentiert war. Es ist wichtig, diese Gespräche zu dokumentieren, sowohl auf Versicherer- als auch auf der Maklerseite.

Auch wenn Sie die ein oder andere Risikofrage nervt: Unser Vorteil ist, dass wir das Risiko unserer gemeinsamen Kunden kennen.Durch unsere individuellen Risikofragen und unseren Risikoscan gibt es im Schadenfall kein böses Erwachen und auch keine langwierige Diskussion. Ein großer Vorteil für Ihre Kunden.