Versicherung und Entschädigung: Was Versicherungsnehmer über Cyber-Schäden wissen müssen

6. Dezember 2023

Auf LinkedIn teilen Auf Facebook teilen Teilen auf X

Im Versicherungsbereich gibt das Konzept der Entschädigungsfrist den Zeitrahmen an, in dem der Versicherungsnehmer (Versicherte) eine Entschädigung für finanzielle Verluste aufgrund eines versicherten Ereignisses verlangen kann. Sie dient als Grenze für die von der Versicherung gewährte Deckung und begrenzt diese für Betriebsunterbrechungsschäden auf den Zeitpunkt, an dem die Auswirkungen auf den Betrieb aufhören, oder auf die in der Police festgelegte Höchstdauer, je nachdem, welcher Wert niedriger ist.

Erstaunlicherweise wird dieser wichtige Aspekt einer Police jedoch oft übersehen, wenn es um die Erneuerung geht. Gehen wir der Frage nach, warum das so ist und was Versicherungsnehmer tun können, um weiterzukommen. 

Wie wird eine Entschädigungsfrist festgelegt?

Betrachten wir zunächst, wie die Entschädigungsfristen in einem Standardprogramm für industrielle Sonderrisiken (ISR) festgelegt sind. Da es sich um eine Sachversicherungspolice handelt, steht die physische Wiederherstellung oft im Vordergrund, wenn es um die Versicherungsbedingungen geht und darum, wie ein Schadenfall in der Praxis ablaufen kann. Dies kann manchmal kontraintuitiv sein, da die Entschädigungsfrist so festgelegt werden sollte, dass die meisten der denkbaren finanziellen Auswirkungen eines versicherten Schadens auf das Unternehmen innerhalb der in der Police festgelegten maximalen Entschädigungsfrist (MIP) eintreten.

In einem typischen ISR wird eine maximale Entschädigungsdauer von mindestens 12 Monaten festgelegt. Dieser Zeitraum wird in der Regel auf der Grundlage des Zeitbedarfs für die Wiederherstellung eines hypothetischen Totalschadens unter Berücksichtigung der voraussichtlichen Reparaturdauer für das versicherte Objekt festgelegt. Es wird jedoch oft übersehen, dass Ansprüche auf Betriebsunterbrechung nicht unbedingt mit der Wiederherstellung des Schadens enden. 

Es gibt mehrere Gründe, warum ein Betriebsunterbrechungsschaden über das Datum der Behebung des versicherten Schadens hinausgehen kann. Der Verlust von Marktanteilen, zeitliche Probleme im Zusammenhang mit der Anerkennung von Einnahmen und der Verwendung vorhandener Vorräte sowie eine verlängerte Anlaufzeit bis zur Wiederherstellung des normalen Betriebsniveaus sind nur einige davon. Wenn es sich nicht um einen Totalschaden handelt, sollte die Höchstentschädigungsdauer in den meisten Fällen ausreichen, um Verluste zu decken, die über den Abschluss der physischen Reparaturen hinausgehen. Bei längeren und komplexeren Reparaturen können jedoch Verluste, die über das Ende des Entschädigungszeitraums hinausgehen, zu einem Problem bei einem Schadensfall werden. 

Cyber-Politik und wie sie sich von einer ISR unterscheidet

Das Bild wird noch komplexer und der Entschädigungszeitraum exponentiell wichtiger, wenn wir die oben genannten Konzepte auf eine Cyber-Police anwenden. Die Auswirkungen einer Betriebsunterbrechung durch einen Cyberverstoß lassen sich im Vorfeld viel schwerer vorhersehen. Es gibt keine physischen Wiederherstellungsfristen für Gebäude oder anderes Eigentum, die als Grundlage für die Festlegung einer Entschädigungsfrist dienen könnten. Der Schaden, den eine Sicherheitsverletzung verursachen kann, kann weitreichend sein und ist angesichts der möglichen Bandbreite und des Umfangs der Auswirkungen auf das Unternehmen schwer vorherzusagen, vor allem, wenn man bedenkt, dass Cyberverletzungen im Vergleich zu herkömmlichen Sachschäden und Reparaturen seltener vorkommen. Bedenken Sie außerdem, dass ein typischer Cyberangriff kurz und heftig ist und in der Regel innerhalb weniger Tage oder Wochen vorbei ist. Die Auswirkungen der Sicherheitsverletzung können jedoch oft viel länger andauern. 

Wenn wir die obige Denkweise bei der Festlegung von ISR-Policen verpflanzen, ist es vernünftig anzunehmen, dass die Entschädigungsdauer für eine Cyber-Police in der Regel auf der Grundlage des eigentlichen Cyber-Verstoßes festgelegt wird und nicht auf der Grundlage der laufenden Auswirkungen auf das Unternehmen. Eine Website oder ein Server, die von einer schwerwiegenden Verletzung betroffen sind, können oft innerhalb von Stunden, Tagen oder höchstens Wochen durch Backups oder Wiederherstellung wieder online gestellt werden. Der Entschädigungszeitraum in einer Cyber-Police spiegelt dies oft wider und liegt in der Regel bei etwa 90 Tagen. Ist dies angesichts der Komplexität, die bei einem Betriebsunterbrechungsschaden auftreten kann, ausreichend, um das Risiko sowohl für den Versicherten als auch für den Versicherer angemessen zu erfassen?

Auswirkungen auf eine Forderung

Betrachten wir nun ein Szenario, in dem ein Unternehmen von einem Cyberangriff betroffen ist, der zu einer erheblichen Störung seines Betriebs führt.

Wenn sich das Unternehmen erfolgreich erholt und den normalen Betrieb innerhalb der Entschädigungsfrist wieder aufnimmt, sind alle entschädigten Verluste, die während dieses Zeitraums entstanden sind (sei es ein Gewinnausfall oder zusätzliche Kosten), in der Regel durch die Police gedeckt.

Wenn jedoch der Wiederherstellungsprozess länger dauert als erwartet oder, was noch häufiger vorkommt, die tatsächlichen finanziellen Auswirkungen auf das Unternehmen erst nach Ablauf der Entschädigungsfrist eintreten, gilt der Versicherungsschutz nicht mehr. Es gibt eine Reihe von Möglichkeiten, wie sich dies in einem Schadensfall niederschlagen kann. Ein Versicherter könnte zum Beispiel langfristige Verträge verlieren, weil er nicht in der Lage ist, sein normales Geschäft zu betreiben, oder er könnte vierteljährlich/nach Projektabschluss abrechnen, und obwohl die Arbeit verloren geht, gibt es innerhalb der Entschädigungsfrist keine finanziellen Auswirkungen auf das Unternehmen. Cyber-Schäden werden auch in der Öffentlichkeit stark wahrgenommen, und die Möglichkeit eines anhaltenden Imageschadens ist ein großes Problem.

Beschränkungen der Deckung

Nach Ablauf der Entschädigungsfrist deckt die Versicherungspolice in der Regel keine weiteren Schäden, die über diesen Zeitraum hinausgehen. Das bedeutet, dass Schäden, die nach Ablauf der Entschädigungsfrist eintreten, vom Versicherer nicht ersetzt werden, selbst wenn sie unmittelbar aus dem ursprünglichen Ereignis resultieren.

Wichtig ist, und das wird manchmal weniger beachtet, dass auch der umgekehrte Fall zutrifft, der die Versicherer angreifbar macht. Wenn ein Versicherter während des gesamten Entschädigungszeitraums einen Schaden erleidet, diesen aber nach Ablauf des Entschädigungszeitraums vollständig wiedererlangt, sind die Versicherer verpflichtet, dem Versicherten die erlittenen Verluste zu erstatten, auch wenn eine teilweise oder vollständige Wiedererlangung, die normalerweise die geltend gemachten Verluste ausgleichen würde, stattgefunden haben mag.

Dies ist vor allem bei Cyber-Schäden aus zwei Gründen von Bedeutung. Erstens sind, wie bereits erwähnt, in Cyber-Policen in der Regel kürzere Entschädigungsfristen vorgesehen. Zweitens kann es manchmal schwierig sein, die vollen Auswirkungen einer Sicherheitsverletzung zu verstehen, bis sie wiederhergestellt sind. So kann es sein, dass die Netzinfrastruktur des Versicherten zwar vollständig wiederhergestellt ist, die betrieblichen Auswirkungen aber noch nicht erkennbar sind.

Zusammenfassung

Zusammenfassend lässt sich sagen, dass, wenn die Entschädigungsfrist zu kurz ist und die Auswirkungen des Versicherten über diesen Zeitraum hinausgehen, das Unternehmen für die Zeit nach dem Ende der Deckung nicht entschädigte finanzielle Verluste erleiden könnte. Umgekehrt müssen sich die Versicherer darüber im Klaren sein, dass eine kurze Entschädigungsfrist zwar für die Entschädigung eines Schadens vorteilhaft erscheinen mag, sich aber auch zu Gunsten des Versicherten auswirken kann, wenn nach Ablauf der Entschädigungsfrist eine Rückforderung erfolgt.

Die korrekte Festlegung eines Entschädigungszeitraums bei Vertragsabschluss oder -verlängerung kann einen wesentlichen Unterschied für die praktischen Auswirkungen eines Schadensfalls ausmachen. Es ist wichtig, dass Experten konsultiert werden, die mit Betriebsunterbrechungsschäden vertraut sind, die speziell für die betreffende Police gelten, um sicherzustellen, dass die richtigen Überlegungen angestellt werden. Wir hoffen, dass dies zu einem reibungslosen und angemessenen Schadensverlauf für alle Parteien führt.

Mehr erfahren > Kontakt [email protected].