[Aufmachergrafik: heller, corporate design] Volle Deckung? Neuere Entwicklungen im IT-Versicherungsschutz

Ordnungsmerkmale

erschienen in: <kes> 2006#4, Seite 60

Rubrik: Management und Wissen

Schlagwort: IT-Versicherungen

Zusammenfassung: Speziell auf IT-Risiken zugeschnittene Versicherungsprodukte bieten mittlerweile nicht mehr nur angloamerikanische, sondern auch alle größeren deutschen Versicherer an. Was sie zu leisten vermögen und wo ihre Grenzen liegen, soll nach einem kurzen Marktüberblick anhand von Schadenszenarien aus der Praxis aufgezeigt werden.

Autor: Von Robert Koch, Hamburg

IT-Risiken lassen sich unterteilen in Schäden des eigenen Vermögensbereichs (Eigenschäden) und Schäden im Vermögensbereich Dritter, für die aufgrund besonderer Rechts- oder Vertragsbeziehungen eine Verantwortung und somit Haftung besteht (Fremdschäden). Dienstleister benötigen vor allem eine angemessene Absicherung gegen Fremdschäden, gegen die Haftpflichtversicherungen Schutz bieten. Nutzern drohen in Abhängigkeit vom Einsatzbereich der Informationstechnik zwar ebenfalls Fremdschäden, im Vordergrund steht bei ihnen jedoch der Bereich der Eigenschäden, gegen die eine Sachversicherung Schutz bieten kann. Fällt beispielsweise eine Maschine zur Herstellung von Folie wegen eines Softwaremangels aus, so stellen sich die Umsatzeinbußen aus der Sicht des Folienherstellers als Eigenschäden und aus der Sicht des Softwareherstellers als Fremdschäden dar.

Die Risikosituation im IT-Bereich ist unter anderem dadurch gekennzeichnet, dass regelmäßig Zugriffe auf die IT-Infrastruktur, IT-Anwendungen und Daten erfolgen. Vor dem Hintergrund der bislang höchstrichterlich nicht eindeutig geklärten Sachqualität von Daten erweist sich in der herkömmlichen Betriebshaftpflichtversicherung die nur eingeschränkte Deckung von Vermögensschäden und (besonders für IT-Dienstleister) der Ausschluss von Tätigkeitsschäden als sehr problematisch. Die Unklarheiten in der rechtlichen Qualifikation von Daten sind jedoch auch für die verschiedenen Sparten der Sachversicherung und die darauf aufbauenden Mehrkosten-/Betriebsunterbrechungsversicherungen von Bedeutung, weil die Deckung dort ebenfalls einen Sachschaden zur Voraussetzung hat.

Um dieses Problem zu umgehen, haben Haftpflicht- und Sachversicherer unterschiedliche Deckungskonzepte entwickelt, deren konkreter Umfang in der Haftpflichtversicherung von der Größe der Unternehmen (Jahresumsatz) und in der Sachversicherung vom Wert der versicherten Gegenstände abhängt. Die Deckungssummen werden individuell für jeden Versicherungsnehmer und seine Anforderungen ermittelt. Sie liegen in der Regel bei mindestens 1,5 Mio. Euro.

Vor dem Abschluss einer Versicherung sind häufig umfangreiche Fragebögen auszufüllen: Die Fragen beziehen sich in der Haftpflichtversicherung zum Beispiel auf die Tätigkeiten und Leistungen des Versicherungsnehmers, die Einsatzbereiche bei dessen Auftraggebern und die hierauf jeweils anfallenden Umsätze. In der Sachversicherung sind umfänglich Fragen zur IT-Infrastrukur (z. B. eingesetzte Hardware-Plattformen) und zum IT-Sicherungssystem (Sicherheitsübungen, physische Sicherheit etc.) zu beantworten.

Haftpflichtversicherung

Versicherungsschutz wird in der Haftpflicht vor allem für typische Tätigkeiten von Softwarehäusern wie Erstellung, Handel, Implementierung und Pflege von Software, IT-Analyse, Netzwerkplanung et cetera angeboten. Ersetzt werden Personen- und Sachschäden. Schäden an Daten werden zumeist Sachschäden gleichgestellt; dadurch wird der Streit über die Sachqualität von Daten obsolet. Darüber hinaus werden nicht auf Personen- und Sachschäden beruhende (echte) Vermögensschäden ebenfalls ersetzt.

Versicherungsschutz besteht ferner für Risiken aus dem Access-, Host- und dem Content-Providing. Wegen des hohen Schadenpotenzials durch falsche Angaben in zum Download bereitgehaltenen Daten wird beim Content-Providing Deckung für echte Vermögensschäden nur bei gesonderter Vereinbarung gewährt. Einige Versicherer dehnen den Katalog der versicherten Risiken über den Kreis der für Softwarehäuser typischen Tätigkeiten auch auf die Abwicklung von E-Commerce, den Betrieb von Rechenzentren und Datenbanken für Dritte sowie Application Service Providing (ASP) aus.

Für Schadenfälle aus dem so genannten indirekten Export von Erzeugnissen wird im Allgemeinen weltweiter Versicherungsschutz geboten. Um einen Fall des indirekten Exports handelt es sich beispielsweise, wenn auf Datenträgern verkörperte Software in Deutschland vertrieben und erst vom Erwerber ins Ausland verbracht wird. Der direkte Export von Erzeugnissen unmittelbar in das außereuropäische Ausland ist hingegen nur bei besonderer Vereinbarung versichert. Für das Bereitstellen von Daten zum Abruf (Download) wird Deckung standardmäßig nur für Versicherungsfälle im europäischen Ausland geboten.

Soweit weiter gehend Schadenersatzansprüche aus der Verletzung von Patent-, Namens-, Urheberrechten oder wegen Verstößen in Wettbewerb und Werbung im Ausland versichert sind, wird die Deckung oftmals davon abhängig gemacht, ob der Versicherungsnehmer vorab eine entsprechende Recherche durch geeignete Fachkräfte durchgeführt hat. Zudem sind Schäden, die sich in den USA, Kanada oder Großbritannien ereignen oder vor Gerichten dieser Länder verhandelt werden, oftmals vom Versicherungsschutz ausgeschlossen. Einige Versicherer gewähren Deckung für Schadenersatzansprüche aus Verzug infolge der Nichtverfügbarkeit von Daten aufgrund von Schäden an elektronischen Geräten des Versicherungsnehmers unter der Voraussetzung, dass die Geräte über eine Elektronikversicherung sachversichert sind.

Als Sicherheitsbeauftragte oder (System-)Administratoren tätige Mitarbeiter sind in der Haftpflichtversicherung nach Maßgabe der für das Unternehmen bestehenden Deckung mitversichert. Um auch ihre persönlichen Haftpflicht-Risiken abzudecken, bedarf es jedoch des ausdrücklichen Einschlusses von Ansprüchen mitversicherter Personen (anderer Mitarbeiter) sowie von Ansprüchen des Unternehmens selbst (für auf mittlerer oder grober Fahrlässigkeit beruhende Pflichtverletzungen).

Softwareversicherung

Hinter der Bezeichnung Softwareversicherung verbirgt sich eine spezialisierte Sachversicherung – genauer: die Klausel 028, die auf der Elektronikversicherung aufbaut. Die Standardbedingungen der Elektronikversicherung (ABE) und die Datenträgerversicherung (ABE-Klausel 010) gewähren Versicherungsschutz für Daten indes nur unter der Voraussetzung, dass die eingetretenen Schäden auf einem Sachschaden an dem betroffenen Datenträger zurückzuführen sind und die Daten dadurch nicht mehr gelesen werden können. Unter einem Sachschaden sind Beschädigungen oder Zerstörungen zu verstehen; erforderlich ist somit eine Beeinträchtigung der Sachsubstanz des Datenträgers (z. B. durch mechanische Einwirkung oder Hitze). Demgegenüber ersetzt die Softwareversicherung nachteilige Veränderungen oder Verluste versicherter Daten oder Programme, die nicht auf einer Beschädigung des Datenträgers, sondern auf eine der nachstehenden Ursachen zurückzuführen sind (abschließende Aufzählung):

Versicherungsschutz besteht nur innerhalb der im Versicherungsvertrag bezeichneten Betriebsgrundstücke und für die Datenfernübertragungseinrichtungen und -leitungen, die diese Betriebsgrundstücke verbinden. Für Sicherungsdaten und -datenträger besteht zusätzlich Versicherungsschutz in Auslagerungsstätten sowie auf den Verbindungswegen.

Erweiterungen

Einige Versicherer bieten Schutz für nachteilige Veränderungen oder Verluste von Daten und Programmen, die nicht aus einem Schaden am Datenträger resultieren, unter der Bezeichnung "erweiterte Softwareversicherung" auch als Allgefahrendeckung mit der Einschränkung an, dass es sich hierbei um ein unvorgesehenes Ereignis gehandelt haben muss. Eingeschlossen sind zudem Malware-Schäden, soweit es sich um Programme und Dateien handelt, deren schädigende Wirkungen sich ausschließlich und zielgerichtet auf den Versicherungsnehmer auswirken. Daneben besteht Versicherungsschutz für Schäden

Versicherungsschutz gegen Ertragsausfälle infolge einer Betriebsunterbrechung oder hieraus resultierende Mehrkosten (Aufwendungen, die dazu dienen, um die Unterbrechung des Geschäftsbetriebs sachlich und zeitlich zu begrenzen oder zu vermeiden) sind gegenwärtig nur bei ausländischen Versicherern erhältlich. Vor allem Betriebsunterbrechungs-Policen enthalten jedoch oft so weit gehende Einschränkungen, dass sich die Deckung praktisch auf Schäden an Daten oder Datenträgern beschränkt, die aus Naturkatastrophen oder den Folgen eines Blitzeinschlags resultieren.

Schaden-Szenarien

Ausfall von Sicherungssystemen

Als erstes Beispiel soll der Ausfall von Sicherungssystemen zur Abwehr gezielter und ungezielter Angriffe auf das unternehmensinterne Netz dienen (z. B. Malware, Hacking, Sabotage, Spionage). Szenario 1: Infolge eines Softwarefehlers oder einer vom Versicherungsnehmer vorgenommenen fehlerhaften Implementierung der Software kommt es zu einem Ausfall von Sicherungssystemen. Angreifern gelingt es deshalb, Schadprogramme einzuschleusen, welche die Integrität und Verfügbarkeit von Daten und Programmen beeinträchtigen und darüber hinaus Daten ausspionieren.

Haftpflichtversicherung

Für Schadenersatzansprüche wegen Verletzung der Integrität und Verfügbarkeit von Daten besteht grundsätzlich Deckung. Die Deckung umfasst auch etwaige Schäden infolge von Betriebsunterbrechungen. Für Ansprüche wegen Verletzung der Vertraulichkeit von Daten besteht ebenfalls Versicherungsschutz.

Zu beachten ist, dass der Erhalt der Versicherungsleistung zur Voraussetzung hat, dass der Versicherungsnehmer seine Datensicherung in angemessenen Intervallen durchführt und seine Datenverarbeitungssysteme und -netze mit dem Stand der Technik entsprechenden Sicherheits- und Schutzvorkehrungen überprüft. Ausgeschlossen vom Versicherungsschutz sind auch Ansprüche wegen Sach- und Vermögensschäden durch Software, deren Verwendung oder Wirkung im Hinblick auf den konkreten Verwendungszweck nicht nach dem Stand der Technik – etwa ohne übliche und angemessene Programmtests – oder in sonstiger Weise unzureichend erprobt war.

Sachversicherung

Der Auftraggeber könnte sich als Nutzer gegen gezielte und ausschließlich gegen ihn gerichtete Angriffe durch Abschluss einer erweiterten Softwareversicherung oder – bei Abschluss der (einfachen) Softwareversicherung auf Basis der Klausel 028 – durch Vereinbarung eines entsprechenden Wiedereinschlusses schützen. Die Entschädigungsleistung wäre aber bei nachteiliger Veränderung oder Verlust versicherter Daten oder Programme beschränkt auf die notwendigen Kosten für jeweils erforderliche

Der Schaden, der dem Auftraggeber durch den Verlust der Vertraulichkeit erwächst, bleibt somit unersetzt. Wie in der Haftpflichtversicherung hat auch hier der Erhalt der Versicherungsleistung zur Voraussetzung, dass der Versicherungsnehmer eine angemessene Datensicherung betreibt und seine Datenverarbeitungssysteme und Datennetze mit dem Stand der Technik entsprechenden Sicherheits- und Schutzvorkehrungen überprüft.

Ausgenommen vom Versicherungsschutz sind zudem Schäden an

Beeinträchtigung des Zugangs zum Unternehmen

Szenario 2: Ein Internet-Kaufhaus beauftragt ein Softwarehaus mit der Erstellung einer speziellen Software, die Denial-of-Service-Angriffe (DoS) erkennt und Gegenmaßnahmen ergreift. Trotzdem wird das Kaufhaus Opfer einer solchen Attacke, da die Software fehlerhaft ist, fehlerhaft implementiert wurde oder beides.

Haftpflichtversicherung

Die Beeinträchtigung der Nutzbarkeit des Netzwerkrechners des Kaufhauses stellt sich als Eigentumsverletzung dar. Für die Haftpflichtansprüche des Kunden wegen der Schäden durch die DoS-Attacken, die infolge fehlerhafter Software oder Implementierung nicht abgewehrt werden konnten, besteht beim Softwarehaus grundsätzlich Versicherungsschutz.

Sachversicherung

Eine Softwareversicherung bietet dem Nutzer keinen Schutz gegen DoS-Attacken, denn es fehlt an der Grundvoraussetzung einer nachteiligen Datenveränderung oder eines Datenverlusts. Hinzu kommt, dass die daraus erwachsenden Schäden in Form von Ertragsausfällen, Überstunden durch Nacharbeiten et cetera nicht versichert sind. Diesbezüglich käme prinzipiell Leistung aus einer abgeschlossenen Mehrkosten- oder Betriebsunterbrechungsversicherung infrage. Die derzeit auf dem Markt erhältlichen Deckungen schließen jedoch Schäden infolge vorsätzlicher oder böswilliger Handlungen und damit auch durch DoS-Attacken explizit aus.

Fehlerhafte Software

Szenario 3: Der Versicherungsnehmer hat den Auftrag, für einen Handelsbetrieb eine Software zur Preisumgestaltung in Euro zu erstellen. Fälschlicherweise halbiert die Software dabei auch die gesetzliche Mehrwertsteuer. Die Preise für den Endverbraucher werden dadurch zu niedrig ausgewiesen, der Auftraggeber muss aber die gesetzlich vorgeschriebene Mehrwertsteuer abführen.

Haftpflichtversicherung

Es handelt sich um echte Vermögensschäden, für die nach Maßgabe der herkömmlichen (!) Betriebshaftpflichtversicherung kein Versicherungsschutz besteht. Anders bei IT-risikospezifischen Deckungskonzepten: Dort sind Schäden aus fehlerhafter Software ebenso wie aus fehlerhafter IT-Schulung sowie fehlerhafter Netzwerkinstallation sehr wohl versichert.

Sachversicherung

Im vorstehenden Beispiel ist kein Sachversicherungsschutz erhältlich, weil es auch hier an der Grundvoraussetzung der Deckung, nämlich einer nachteiligen Veränderung oder dem Verlust existierender Daten fehlt (es werden nur von vornherein fehlerhafte Daten generiert).

Ausfälle bei Speichersystemen

Szenario 4: Während einer Software-Implementierung beschädigt der Versicherungsnehmer versehentlich einen Controller. Daraufhin werden Daten fehlerhaft abgespeichert und können nicht mehr abgerufen werden.

Haftpflichtversicherung

Abweichend von der herkömmlichen Betriebshaftpflichtversicherung schließen die speziellen IT-Konzepte Schäden an fremden Sachen (auch Daten) und alle sich daraus ergebende Vermögensschäden ein, wenn die Schäden durch Installations- und Implementierungsarbeiten oder eine sonstige gewerbliche oder berufliche Tätigkeit des Versicherungsnehmers entstanden sind. Wegen des hohen Schadenpotenzials bei Datenlöschung, -beschädigung oder Beeinträchtigung der Datenordnung sowie Tätigkeitsschäden sehen Versicherungsbedingungen jedoch eine niedrigere Versicherungssumme (Sublimit) sowie eine höhere Selbstbeteiligung vor.

Sachversicherung

Der Verlust versicherter Daten infolge der Beschädigung eines Controllers zählt in der (erweiterten) Softwareversicherung zu den versicherten Gefahren, die durch Störung oder Ausfall der Hardware einer Datenverarbeitungsanlage hervorgerufen worden sind. Ersetzt werden die Kosten für jeweils erforderliche maschinelle Wiedereingabe aus Sicherungsdatenträgern, Wiederbeschaffung und Wiedereingabe oder Wiederherstellung von Stamm- und Bewegungsdaten (z. B. Kundendaten) und die Wiedereingabe von Programmdaten individuell hergestellter Programme und Programmerweiterungen aus beim Versicherungsnehmer vorhandenen Belegen. Etwaige Betriebsunterbrechungsschäden sind nach Maßgabe der aktuell angebotenen Bedingungswerke nicht gedeckt. Versicherungsschutz ist insoweit nur für die Mehrkosten erhältlich.

Ausfall von Rechenzentren (IT-Outsourcing)

Szenario 5: Ein Rechenzentrum speichert für eine Vielzahl von Kunden Daten und stellt Anwendungsprogramme zum Abruf bereit. Die Schutz- und Sicherheitssysteme des Rechenzentrums werden durch eine Hacking-Attacke überwunden. Dem Angreifer gelingt es dabei, Schadprogramme in den Speicher des Rechenzentrums einzuschleusen, die die Anwenderprogramme lahm legen. Dadurch können die Kunden ihre Daten nicht mehr abrufen und es kommt bei ihnen zu Betriebsunterbrechungsschäden.

Haftpflichtversicherung

Grundsätzlich sind Betriebsunterbrechungsschäden bei Kunden aus dem Betrieb eines Rechenzentrums oder der Tätigkeit als Application Service Provider (ASP) versicherbar. Während für andere IT-Dienstleister bezüglich der Betriebsunterbrechungsschäden in der Regel nur ein summenmäßiger Selbstbehalt zum Tragen kommt, wird die Deckung für Rechenzentrumsbetreiber auf Betriebsunterbrechungsschäden durch einen so genannten "zeitlichen Selbstbehalt" begrenzt, das heißt Schäden werden erst nach Ablauf einer zeitlichen Vorlauffrist ersetzt (Formularbeispiel: "Ausgeschlossen sind Schäden wegen Betriebsunterbrechung bei Dritten für die ersten 24 Stunden der Betriebsunterbrechung.")

Sachversicherung

Für die Ertragsausfälle des Rechenzentrumsbetreibers (z. B. weil seine Kunden für den Zeitraum der Nichtverfügbarkeit keine Zahlungen für die Nutzung leisten) ist nach den gegenwärtig auf dem deutschen Markt angebotenen Policen kein Versicherungsschutz erhältlich.

Fazit

Alles in allem bieten die aktuellen Fremdschadendeckungskonzepte für Softwarehäuser einen relativ umfassenden Schutz für Sach-, Personen- und vor allem Vermögensschäden. Ergänzungsbedarf besteht jedoch bei allen Konzepten hinsichtlich der Auslandsdeckung, besonders für Inhalte, die zum Herunterladen aus dem Internet angeboten werden.

Für Eigenschäden infolge der Verletzung der Integrität oder Verfügbarkeit von Daten und Programmen wird nur eingeschränkter Versicherungsschutz angeboten. Es fehlt zudem an einer darauf aufbauenden Betriebsunterbrechungs- oder Mehrkostenversicherung.

Wer vor diesem Hintergrund auf den Gedanken kommt, bestimmte IT-Bereiche auf eigens zu diesem Zweck gegründete Tochterunternehmen auszulagern, um Betriebsunterbrechungsschäden des Mutterunternehmens durch eine vom Tochterunternehmen selbstständig abgeschlossene Haftpflichtversicherung abzudecken, sei an dieser Stelle auf die so genannte Konzernklausel hingewiesen: Enthält der Versicherungsvertrag diese Klausel, so sind Ansprüche wegen Vermögensschäden ausgeschlossen, die von Unternehmen geltend gemacht werden, die mit dem Versicherungsnehmer durch Kapital mehrheitlich verbunden sind oder unter einer einheitlichen unternehmerischen Leitung stehen.

Des Weiteren ist zu beachten, dass der Erhalt der Versicherungsleistung sowohl bei Eigenschäden als auch bei Fremdschäden zur Voraussetzung hat, dass der Versicherungsnehmer eine Datensicherung in angemessenen Intervallen durchführt und seine Datenverarbeitungssysteme und Datennetze mit dem Stand der Technik entsprechenden Sicherheits- und Schutzvorkehrungen überprüft. Insoweit ist abschließend der Hinweis geboten, dass Versicherungsschutz nicht als Alternative zu Schadenverhütungsmaßnahmen, sondern nur als Ergänzung begriffen werden kann.

Prof. Dr. Robert Koch LL.M. (McGill) hat zum Wintersemester 2006/2007 einen Ruf für Bürgerliches Recht und Versicherungsrecht an dei universität Hamburg angenommen (robert.koch@t-online.de).

Literatur

[1]
Robert Koch, Versicherbarkeit von IT-Risiken in der Sach-, Vertrauensschaden- und Haftpflichtversicherung, Erich-Schmidt-Verlag, Berlin 2005, ISBN 3-503-08328-6 (vgl. [externer Link] www.esv.info/3-503-08328-6)