Regelungen zu versicherten IT-Systemen
Welche Systeme, Personen und Gesellschaften versichert sind und wie die genauen Regelungen lauten, muss geprüft werden.
Einen optimalen Schutz bietet die Versicherung dann, wenn es bezüglich des Standortes der IT-Systeme keine Einschränkungen gibt. Ist im Vertrag vereinbart, dass lediglich bestimmte Standorte und Länder mitversichert sind, schneidet dieser Versicherer im Vergleich schlechter ab.
Ein Versicherungsvertrag sollte immer dahingehend geprüft werden, ob jegliche Hardware mitversichert ist. Bestehen Ausschlüsse für zum Beispiel Smartphones oder Speichermedien ist dies ein deutlicher Nachteil für den Versicherungsnehmer. Ein umfassender Versicherungsschutz ist dann geboten, wenn alle technischen Geräte mitversichert sind.
Bei einer Cyberversicherung sollten auch industrielle Steuerungssysteme, wie z.B. Scada, Embedded Systems usw. mitversichert sein. Werden diese im Versicherungsvertrag ausgeschlossen, fällt dieser in der Bewertung negativ aus.
Oftmals gibt es den Versicherungsvertrag betreffend Ausschlüsse für Betreiber von IT-Bestandteilen. Dies hängt meist mit versicherten Personen und Ihren privaten Mobilgeräten zusammen oder die Ausschlüsse betreffen bestimmte Cloud-Anbieter. Gibt es solche Einschränkungen hinsichtlich Betreiber und Eigentümer von IT-Systemen, ist leider kein vollkommener Versicherungsschutz geboten.
Ein Versicherungsschutz beinhaltet auch natürliche Personen. Dazu gehören verschiedene Personengruppen wie ehemalige Organmitglieder und Arbeitnehmer, freie Mitarbeiter, sowie Zeitarbeitskräfte. Diese Personengruppen werden im Namen des Unternehmens tätig und sollten daher unbedingt mitversichert sein.
Der Versicherungsvertrag sollte dem Versicherungsnehmer für alle Tochtergesellschaften Schutz bieten, bei denen er einen beherrschenden Einfluss hat. Dabei soll weder eine zeitliche, noch eine örtliche Einschränkung vereinbart sein.
Kommen weitere Tochtergesellschaften zum Unternehmensumfang hinzu, sollten diese mit im Versicherungsschutz aufgenommen werden. Ein umfassender Schutz ist dann geboten, wenn die neue Tochtergesellschaft mindestens ein halbes Jahr nach der Übernahme ohne Einschränkungen mitversichert ist.
Die Definition eines Versicherungsfalls sollte im Vertrag definiert werden. Ein solcher Versicherungsfall tritt demnach ein, wenn der Versicherungsnehmer diesen feststellt, ein Schadenereignis eintritt oder ein Sicherheitsverstoß geschieht. Ist ein Versicherungsfall mit einer abweichenden Definition im Vertrag beschrieben, besteht kein optimaler Schutz für den Versicherungsnehmer.
Die Rückwirkung von Drittschäden ist Bestandteil des Versicherungsvertrags. Der Versicherungsnehmer sollte darauf achten, dass keine Einschränkungen definiert sind, was den Schutz vor in der Vergangenheit liegende Sicherheitsschäden betrifft. Jedoch gilt der Schutz nur, wenn der Versicherte und seine Repräsentanten bisher keine Kenntnis von diesem zurückliegenden Schaden hatten.
Tritt ein Schadensfall während der Vertragslaufzeit ein, wird allerdings erst bis zu 120 Monate nach Ende des Vertrags festgestellt, sollte der Versicherer dafür dennoch Schutz leisten. Diese Nachhaftung ist dann unbegrenzt möglich, wenn der Vertrag durch das Wegfallen des versicherten Interesses beendet wird und eine Schadensmeldung nach Ansprucherhebungsprinzip mitversichert ist.
Die Rückwirkung von Eigenschäden ist ebenfalls Bestandteil des Versicherungsvertrags. Der Versicherungsnehmer sollte darauf achten, dass keine Einschränkungen definiert sind, was den Schutz vor in der Vergangenheit liegende Sicherheitsschäden betrifft. Jedoch gilt der Schutz nur, wenn der Versicherte und seine Repräsentanten bisher keine Kenntnis von diesem zurückliegenden Schaden hatten.
Tritt ein Eigenschaden während Vertragslaufzeit ein, der jedoch erst nach Vertragsende bekannt wird, gilt eine Regelung zur Nachhaftung. Diese sollte nach Möglichkeit keine zeitlichen Einschränkungen aufweisen, bzw. bis zu 60 Monaten betragen, um einen guten Versicherungsschutz zu gewährleisten.
Wird ein Schadensfall bei einem mitversicherten Unternehmen entdeckt, nachdem der Mitversicherungs-Vertrag bereits geendet hat, sollte der Versicherungsschutz dennoch weiter bestehen, sofern der Hauptversicherungsnehmer noch einen laufenden Versicherungsschutz genießt. Der Schadensfall muss allerdings seinen Ursprung in der Zeit finden, als der Mitversicherungs-Vertrag noch gültig war. Nur dann greift die sogenannte M&A-Schutzklausel.
Auch die Serienschadenklausel wird im Vergleich untersucht. Ein umfassender Schutz besteht für den Versicherungsnehmer dann, wenn mehrere Schadensfälle nur dann zu einem Versicherungsfall zusammengefasst werden, wenn diese sowohl sachlich als auch zeitlich in Zusammenhang stehen. Sind die Vorkommnisse allerdings voneinander in einem oder mehreren Aspekten abgrenzbar, sollte die Versicherung diese als Einzelfälle behandeln.
Ein Vertrag zur Cyberversicherung sollte eine Beweislasterleichterung enthalten. Das heißt, wenn es nicht eindeutig zu Beweisen ist, dass ein versicherter Schadensfall besteht, reicht die 51-prozentige Wahrscheinlichkeit aus, um eine Versicherungsleistung erwarten zu können. Ist dies im Vertrag anders geregelt, wird der Versicherer im Vergleich zu anderen schlechter abschneiden.
Werden zukünftig Verbesserungen an den Versicherungsbedingungen vorgenommen, sollen diese auch für bestehende Verträge geltend gemacht werden. Neue Vertragsbedingungen, die allerdings negative Folgen für den Versicherungsnehmer beinhalten, wie beispielsweise Sonderkündigungsrechte oder Umgehungstatbestände, sollten im Idealfall nicht auf bestehende Verträge übernommen werden.
In manchen Fällen kann es dazu kommen, dass ein Vertrag ohne Kündigung beendet wird. Beispielsweise bei Fusionen oder Insolvenz des Versicherungsnehmers. Optimal für diesen ist der Vertrag allerdings nur dann, wenn es in keinem Fall zu einem automatischen Vertragsende ohne Kündigung kommen kann.
Als Innentäter wird eine mitversicherte Person beschrieben, die böswillig und vorsätzlich einen Sicherheitsschaden verursacht. Häufig ist ein solcher Innentäter nicht im Versicherungsschutz enthalten. Nur bei Mitversicherung dessen als Schadenverursacher ist dem Unternehmen ein optimaler Schutz geboten. Eine Ausnahme stellen allerdings Repräsentanten dar, diese zählen nicht als Innentäter.
Ein umfassender Versicherungsschutz ist dann vorhanden, wenn unmittelbare Vermögensschäden aufgrund von den folgenden Ursachen ohne Ausschlüsse und Einschränkungen mitversichert sind.
- Netzwerksicherheitsverletzung
- Informationssicherheitsverletzung
- Manipulation (Identitätsdiebstahl, Phishing, Pharming)
Besteht ein Computer-Betrug, welcher im Leistungsumfang abgedeckt ist, kommt es auf die Höhe der Deckungssumme an. Ist diese begrenzt auf eine Summe unterhalb der definierten Gesamt-Versicherungssumme, bietet dies einen Nachteil für den Versicherungsnehmer.
Geprüft wird auch, ob eine Leistungsberechtigung besteht, wenn die IT-Systeme unberechtigt genutzt wurden. Durch diese unberechtigte Nutzung entstehen zum Beispiel erhöhte Strom- oder Telefonrechnungen. Dabei sollten im Vertrag keine Ausschlüsse bezüglich Innentätern bestehen und der Versicherer sollte auch diese Kosten decken.
Im Leistungsumfang enthalten sein sollte die Wiederherstellung der Programme und Daten ohne Ausschlüsse. Dabei sollte der Versicherer bei verschiedenen Angriffs-Szenarien dennoch die selben Sublimits und Einschränkungen beibehalten.
ach einem Sicherheitsschaden müssen oftmals Daten und Programme wieder hergestellt werden. Der Versicherungsschutz ist dann optimal, wenn die dadurch entstehenden Kosten von der Versicherung, ohne weitere Einschränkungen (z.B. Lizenz-Wiederbeschaffung), übernommen werden.
Ein optimaler Versicherungsschutz besteht, sobald alle Sachschäden an IT-Systemen abgedeckt werden, ohne dass der Versicherer gewisse Ausschlüsse ohne eine maximale Deckungssumme bestimmt.
Im Normalfall besteht kein Schutz für Verbesserungen die bei Wiederherstellung an den Systemen vorgenommen wurden. Wenn durch diese Verbesserung ein wirtschaftlicher Vorteil für das Unternehmen entsteht, sollte dieses allerdings nicht angerechnet werden. Wenn Kosten anfallend, dadurch dass das System verbessert wurde, dies jedoch nicht rückgängig zu machen ist, sollte der Versicherer die Mehrkosten des Versicherungsnehmers laut Vertrag übernehmen.