Cyber-Risiko

Wenn Cyber zum persönlichen Haftungsrisiko wird

Die signifikante Zunahme von Cyber-Risiken betrifft Unternehmen aller Branchen und Größen. Die Frage ist heute nicht „ob“ ein Unternehmen von Cyber-­Risiken betroffen ist, sondern vielmehr „wann“ und „wie“ sich diese realisieren und wie die Unternehmen darauf vorbereitet sind.

Dieser Beitrag ist Teil von #haftpflicht19. 

#haftpflicht19 packshot

Im Vorfeld der Euroforum-Jahrestagung Haftpflicht 2019 haben uns Sprecher der Veranstaltung
in Interviews und Gastbeiträgen einen Einblick in aktuelle Entwicklungen in den Bereichen Haftpflichtund D&O gegeben.

Dabei geht es nicht nur um die unmittelbaren Folgen beispielsweise eines Betriebsunterbrechungsschadens aufgrund eines Hacker-Angriffs, sondern häufig auch um mittelbare Folgen und einen drohenden Reputationsverlust. Dies insbesondere auch vor dem Hintergrund, dass oft nicht nur die Unternehmen selbst betroffen sind, sondern vielfach auch Dritte. Bekannte Beispiele der letzten Monate sind die millionenfach abhandengekommenen personenbezogenen Daten bei Facebook oder die nicht Verfügbarkeit der Homepage des Fußballmagazin „Kicker“ zum Start der Fußballbundesliga.

Bei Unternehmensleitern und Risikomanagern steigt infolge der rapide zunehmenden Cyber-­Vorfälle auch das Risikobewusstsein für diesen Bereich. Regelmäßig wird von ihnen Cyber Security als eines der Top-5 Risiken für Unternehmen genannt.* Im Gegensatz dazu steht die Aussage vieler Unternehmen, dass sie sich schlecht vorbereitet sehen, den entsprechenden Cyber-Risiken wirksam zu begegnen. Die Themen IT-Sicherheit, Datenschutz­management und Notfall­planung gewinnen zwar an Fahrt, gleichwohl befinden sich viele Unter­nehmen hier noch am Anfang bzw. noch in einer Evaluierungsphase.

Auch beim Thema Cyber-Versicherung stehen ­einige­ noch am Beginn. Hierbei handelt es sich um ein kombiniertes Versicherungsprodukt, um vielfältige Risiken auf Unternehmensseite abzu­sichern. Wesentliche Aspekte bilden die Bestand­teile der Haftpflichtversicherung, der Betriebs­ausfall­versicherung und der Absicherung von sonstigen Eigenschäden auf Seiten der Unter­nehmen. Der Verbreitungsgrad von Cyber-Ver­sicherungen steigt zwar stetig an, jedoch hält die Abschlussquote noch nicht mit der getroffenen Risikoeinschätzung mit.

Für Unternehmensleiter kann diese „Übergangsphase“ zur Haftungsfalle werden. Nicht zuletzt durch die Datenschutzgrundverordnung (DSGVO) rücken Datenschutz- und IT-Sicherheitsrisiken in den Kernbereich des Risiko­managements und sind klar dem Verantwortungsbereich der obersten Managementebene zugewiesen. Unter­nehmensleiter müssen sich mit diesen Themen beschäftigen und entsprechende Prozesse zur Risiko­minimierung implementieren, wollen sie nicht selbst in persönliche Haftungsrisiken laufen. Im Rahmen ihrer Sorgfaltspflicht sind sie beispielsweise dazu angehalten, Risiken angemessen zu identifizieren und die IT-Sicherheit im Unternehmen sicherzustellen. Ferner obliegt es ihnen im Rahmen der Legalitätspflicht die für das Unter­nehmen geltenden Regelungen zu identifizieren und zu befolgen (z.B. Sicherheit bei der Verarbeitung personenbezogener Daten). Aber auch im Rahmen der Einrichtung
eines ordnungsgemäßen Risikomanagements sind Cyber- und IT-Sicherheit im Hinblick auf die Bestandsgefährdung für das Unternehmen zu überprüfen.

Hierzu gehört auch, sich rechtzeitig und intensiv mit dem Abschluss einer Cyber-Versicherung zu beschäftigen. Selbstverständlich sollte auf dem Risikotransfer nicht der alleinige Fokus liegen. Vielmehr sollte dieser Teil eines entsprechenden Cyber Security Management System sein. Da Cyber-­Risiken aufgrund der Komplexität und Entwicklungsgeschwindigkeit nie vollständig beherrschbar sein werden, ist der (Teil-)Transfer der entsprechenden Risiken auf eine Versicherungs­lösung in den allermeisten Fällen sinnvoll.

Sofern Unternehmen den Risikotransfer in eine Cyber-­Versicherung nicht vollzogen haben und hierdurch entsprechende Schäden auf Seiten des Unternehmens eingetreten sind, stellt sich zwangs­läufig die Frage, inwiefern eine Kompensation dieser Schäden anderweitig realisiert werden kann. Hier tritt das Thema Organhaftung und D&O-Versicherung zwangsläufig wieder in den Vordergrund. Aus der Schadenpraxis lässt sich berichten, dass derartige Vorgänge aktuell verstärkt in den Fokus geraten.

Daneben besteht in einigen Fällen auch faktisch die Notwendigkeit zum Abschluss einer Cyber-­Versicherung, da von Lieferanten und Kunden mittlerweile vielfach Bestätigungen über den Abschluss von Cyber-Versicherungen verlangt werden.

Fazit: Unternehmensleiter sind gut beraten, sich schnell und intensiv mit dem Thema Cyber Security  Management und den entsprechenden Ab­sicherungslösungen zu beschäftigen. Andern­-
­falls können nicht unerhebliche persön­liche Haftungsrisiken drohen.

*By the Numbers: Marsh Microsoft Global Cyber Risk Perception Survey 2018 (https://www.marsh.com/us/insights/research/global-cyber-risk-perception-survey.html)

Autoren: Lukas Nazaruk, Leiter Geschäftsbereich Financial & Professional Services (FINPRO) und
Tobias Liedtke, Fachexperte FINPRO Claims Advocacy & Product Development FINPRO, Marsh GmbH