Wer den Cyber-Schaden hat, steht unter Verdacht
21.06.2023
Foto: © Skórzewiak- stock.adobe.com
Schuld und Sühne ... und Verantwortung
Früher war die Rollenverteilung im Haftpflichtfall klar: Der Verursacher schädigt das Opfer schuldhaft und leistet Ersatz. Eventuell traf den Geschädigten noch eine Mitschuld, aber die strafrechtliche Verfolgung galt dem Schädiger. Heute zielen Cyber-Attacken sowohl auf die Unternehmen als auch auf die dortigen Daten von Dritten. Das Strafgesetzbuch, kurz StGB, schreibt deshalb beispielsweise Medizinern und Rechtsberufen intensive Abschottung besonders schützenswerter Daten vor. Versicherungsmakler kennen das im Umgang mit Gesundheitsdaten zur Lebens- und Krankenversicherung. Auf den illegalen externen Datenzugriff folgen Strafermittlungen gegen Hacker sowie den eventuell Mitverantwortlichen für IT-Sicherheitslücken. Behörden und ganze Regional- bzw. Stadtverwaltungen verloren bereits die IT-Systemzugriffe an Kriminelle. Lösegelder waren dabei als Folge noch das geringere Übel. Die DSGVO verordnet den Schutz personenbezogener Daten in Europa inklusive Unterbindung unbefugter Datenzugriffe. Erfolgen Zugriffe bei Cyber-Attacken, sind per se angegriffene Unternehmen nebst Manager des Datenschutzverstoßes verdächtig. Zuweilen sind bei illegalen Zugriffen ebenfalls externe IT-Dienstleister für die Sicherheitslücken verantwortlich und ersatzpflichtig. Eine Durchsetzung der Ersatzforderungen fällt bei nachgewiesenen Sorgfaltspflichtverletzungen oftmals leichter. So flankieren Anzeigen bei Datenschützern und Strafverfolgern die externen Regresse und können bei einer festgestellten Mitverantwortung das Strafmaß für Unternehmen und deren Manager verringern.
Völlig losgelöst und ungeschützt
Ein Schutz über Cyber-, D&O-, Haftpflicht-, Rechtsschutz-, Vertrauensschaden- und weiteren Versicherungen gehört für Beteiligte zum Pflichtprogramm. Die Herausforderung für Versicherungsmakler: Nach schwerem Verstoß gegen Schutz- und Sicherheitsgepflogenheiten kürzen Versicherer den Ersatz. Und fordern eventuell Schadenersatz zurück, wenn fortschreitende Regulierung oder Strafverfolgung ein Fehlverhalten offenlegen. Erfolgreiche Cyber-Angriffe schaffen Fakten, die punktgenau den Schutz und die Sicherheit für Daten und IT in Frage stellen. Versicherer müssen jedes Fehlverhalten ergründen, um die Versichertengemeinschaft und sich selbst wirtschaftlich zu schützen. Entweder führen die Ermittlungen via Obliegenheiten oder Ausschlüsse zur Ersatzkürzung oder zu den Cyber-Kriminellen, bei denen selten etwas zu holen ist, sowie zu den weiteren Verantwortlichen. So gelangen Gesellschaftsorgane und Manager des geschädigten Unternehmens sowie externe IT-Dienstleister und andere Berater in den zusätzlichen Interessenfokus. Sind diese versichert, wird auf deren Versicherer zurückgegriffen. Behördlich festgestelltes Fehlverhalten unterstützt den Regresserfolg und stellt den Ersatzwillen der Versicherer wegen Ausschluss oder Obliegenheit wiederum auf die Probe. In solchen Fällen geraten Versicherungsvermittler mitunter zwischen die Fronten, wenn ihre Beratungen im Hinblick auf Ausschlüsse, Obliegenheiten und Regresse ausblieben. (gg)
