Im Rahmen der Cyber Security Konferenz am 28.3.17 in Berlin hat der GDV Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber) vorgestellt. Diese unverbindlichen Musterbedingungen sollen Versicherern eine Hilfestellung bei der Erstellung und Entwicklung eigener Angebote geben.
Doch was beinhaltet die AVB, für wen ist sie überhaupt geeignet und die wichtigste Frage: Bietet sie auch einen Mehrwert?
Grundsätzlich richtet sich die AVB an kleine bis mittelgroße Unternehmen (KMU) mit bis zu 250 Mitarbeitern und einem Umsatz bis zu 50 Millionen.
Die AVB (siehe www.gdv.de/wp-content/uploads/2017/04/AVB_Cyber_April_2017.pdf) gliedert sich in zwei Teile. Der erste Teil bildet generelle Regeln zur Ausgestaltung eines Versicherungsschutzes Cyber ab. Im zweiten Teil werden allgemeine Regeln über Rechte und Pflichten der Vertragsparteien skizziert.
Der AVB nach setzt sich eine Cyberversicherung aus vier Bausteinen zusammen.
1) Basisbaustein: enthält allgemeine bausteinübergreifende Regelungen
2) Service-Kosten-Baustein: Dienstleistungen wie Forensik und PR sowie generelle Serviceleistungen
3) Drittschaden-Baustein: Gesetzliche Haftpflicht eines VN infolge einer Informationssicherheitsverletzung ( Freistellungs- und Abwehranspruch)
4) Eigenschaden-Baustein: Datenwiederherstellung und sachschadenunabhängige Betriebsunterbrechung
Die von uns in dem Beitrag “Top Wirtschaftsrisiko Cyber: Und wo bleibt der Versicherungsschutz” vorgestellte Cyber-Police wird inhaltlich lediglich um den Basisbaustein allgemeine Definitionen ergänzt.
Grundsätzlich soll gelten, dass die Cyberversicherung vorrangig vor eventuell anderen vorhandenen Versicherungen zu behandeln ist.
Zusätzlich zu der AVB hat die VDS – eine Tochterfirma der GDV – eine Richtlinie für die Informationssicherheit erstellt. Diese umfasst 38 Seiten und soll zu einem besseren Umgang mit der Informationssicherheit beitragen.
Abgerundet wird das „Paket“ der GDV durch einen Musterfragebogen, der Versicherungsunternehmen dabei helfen soll, die IT-Sicherheit des VN einzuschätzen und gleichzeitig das Unternehmen auf etwaige Schwachstellen hinzuweisen. Damit soll die Vorrausetzung erfüllt werden, einen Mindeststandard der IT-Sicherheit für den Abschluss des Versicherungsschutzes zu gewährleisten.
Im Rahmen der GDV-Security-Konferenz konnten einige Versicherer Stellung zu dem vorgestellten Konzept der GDV geben. Hier einige Auszüge und Meinungsbilder:
Die Meinungen über die AVB gehen in eine sehr positive Richtung, dennoch wird deutlich, dass dies nur der Anfang der Reise auf dem Weg zu einer Cyber Versicherungssparte sein kann.
Generell bietet die AVB viele positive Ansätze, wirft jedoch auch mehrere Fragen auf:
1) Was ist mit Unternehmen, die größer sind als die oben beschriebene Zielgruppe?
2) Wie kann die Qualität der Fragebögenantworten gewährleistet bleiben?
3) Sind die Bedingungen flexibel genug, um sich an die ständig ändernde Gefahrenlage „Cyber“ anzupassen?
4) Wird es möglich sein, ein einheitliches Wording zu entwickeln?
Viele Versicherer haben sich bereits an Unternehmen gewagt, die die Größenordnung der hier betrachteten Zielgruppe übersteigen. Dennoch bleibt das Thema IT-Security und Cyber nach wie vor sehr komplex und ist für den Nicht-IT-Experten nur schwer greifbar. Die Frage ist, wie schnell Versicherer auch die notwendige Expertise für die technische und prozessuale Cyber-Risk-Bewertung und Beratung in relevanter Größenordnung aufbauen können.
Es gilt diese Fragen kritisch im Blick zu behalten, da abschließende Antworten zum jetzigen Zeitpunkt nur schwer gegeben werden können.
Viele Grüße
Jonas Schwade
Jonas Schwade ist Diplom-Kaufmann und arbeitet bei PPI als Consultant im Bereich Versicherungen. Seine Schwerpunkte liegen im Bereich der Kommunalversicherungen sowie in allen gesundheitlich relevanten Fragen rund um das Thema Versicherung und Cyber.