D&O vs. Cyberversicherung
So versichern sich CIOs
cio.de: Was ist eine D&O-Versicherung?
Seul: Der Begriff D&O steht für Directors and Officers. Dahinter verbirgt sich eine Vermögensschaden-Haftpflichtversicherung, die ein Unternehmen für seine Vorstände, Geschäftsführer und alle Organe, auch in den Tochtergesellschaften, abschließt, um deren persönliche Haftungsrisiken zu mindern. Vorstände und Geschäftsführer haften laut Aktien- und GmbH-Gesetz unbeschränkt und stehen mit ihrem Privatvermögen im Sinne einer gesamtschuldnerischen Haftung gerade.
Wir versichern über D&O inzwischen viele Manager und auch leitende Angestellte. Gerade Sicherheitsbeauftragte wie Compliance-Manager, Datenschutzbeauftragte oder CISOs werden dort mitversichert, weil man die Haftungsrisiken erkannt hat.
cio.de: Wie teuer ist eine D&O-Versicherung?
Seul: In Deutschland ist das Prämienniveau im Vergleich zu den USA relativ niedrig. Für ein mittelständisches Unternehmen kostet eine Deckungssumme von einer Million Euro rund 1000 Euro oder weniger.
cio.de: Weil nie etwas passiert?
Seul: Ganz im Gegenteil, es passiert viel! Aber der Marktdruck ist extrem hoch. Es gibt wahnsinnig viele Risikoträger, die hier engagiert sein wollen. Man könnte bei der D&O Versicherung von einem Prestigebereich sprechen. Vor allem für Versicherungsmakler bietet sie einen guten Einstieg in die Kundenbeziehung, besteht hierdurch doch die Möglichkeit, auch andere sinnvolle Versicherungslösungen platzieren zu können.
cio.de: Was ist eine Cyberversicherung in Abgrenzung von einer D&O-Versicherung?
Hess: Eine Cyberversicherung deckt finanzielle Schäden ab, die dem Unternehmen durch Betriebsunterbrechungen, Datenschutzverletzungen, Ansprüche Dritter etc. entstehen. In der D&O geht es um Schäden, die diese Dritten gegenüber dem Vorstand eines Unternehmens geltend gemacht werden können. Das bezieht sich weniger auf das operationale oder betriebswirtschaftliche Risiko und mehr auf schuldhaftes Verhalten.
Seul: Bei der D&O reden wir zu über 90 Prozent von der sogenannten Innenhaftung. Das heißt, es wird nicht nur ein Haftpflichtschaden im Außenverhältnis versichert, sondern es geht darum, dass ein Unternehmen einen Vermögensschaden erleidet und dafür den eigenen Vorstand in Regress nimmt. Der Aufsichtsrat ist verpflichtet, seinen Vorstand haftbar zu machen, wenn durch dessen Verschulden ein Vermögensschaden verursacht wurde.
Laien wissen oft nicht, dass in der D&O das eigene Unternehmen gegen die Organe vorgeht. Versichert sind dabei auch ehemalige Vorstandsmitglieder. Das Unternehmen bezahlt die Versicherungsprämie und kämpft im Schadensfall gegen die Versicherten.
cio.de: Was ist denn eigentlich mit einer D&O-Versicherung abgegolten?
Seul: Wir decken Vermögensschäden ab. Es gibt natürlich noch viele Zusatzbausteine, aber das würde an dieser Stelle wohl zu weit führen. An sich geht es um die unbeschränkte Haftung aus dem GmbH- und dem Aktiengesetz der Vorstände beziehungsweise Organe.
Im Gesetz steht: Vorstände müssen "die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters" anwenden. Das impliziert nach meiner Erfahrung aber so gut wie alles. Wenn Geld verbrannt wurde und ein Vermögensschaden entstanden ist, wird schnell die Frage aufgeworfen, wer eventuell dafür verantwortlich ist. Je mehr Geld im Spiel ist, desto schneller geht das. In Deutschland haben wir eine extreme Klagementalität, fast so wie in den USA. Da wird aus allem immer gleich ein D&O-Fall gemacht, wenn es irgendwie möglich ist. Das liegt natürlich auch daran, dass der Aufsichtsrat oder Insolvenzverwalter dazu verpflichtet ist.
Das Schlimme ist, dass wir es bei diesen Vermögensschäden mit einer Beweislast-Umkehr zu tun haben. Das angeklagte Organ muss den Beweis erbringen, dass es keine Pflichtverletzung begangen hat. Heißt, es geht dann um Dokumentationspflichten: Kann ich nach fünf Jahren oder - so beispielweise bei börsennotierten Unternehmen - nach zehn Jahren noch nachweisen, dass ich meine Pflicht nicht verletzt habe? Das ist schon extrem aufwändig.
cio.de: Wann zahlen Versicherungen bei Pflichtverletzungen und wann nicht?
Seul: Wir reden in der Regel über leicht oder grob fahrlässige Pflichtverletzungen. Alles was vorsätzlich begangen wurde, ist natürlich nicht versichert. Grob fahrlässige Vorgehensweisen sind dagegen versichert, auch wenn später gesagt wird: "Wie konnte er nur…"
cio.de: Wenn der Versicherungsschutz greift, kann der Versicherte doch eigentlich den jeweiligen Fall zu den Akten legen.
Seul: Nein, er ist ja beklagt. Sein Ruf und seine Karriere sind in Gefahr. Er wird vielleicht freigestellt oder bekommt keinen Anschlussjob - gerade deswegen hat er schon ein Interesse daran, dass er nicht der Sündenbock ist. Natürlich hat er die Versicherung im Rücken, aber die meisten "Schäden", die entstehen, sind eigentlich Abwehrkosten. Die Versicherung deckt die hohen Anwaltskosten, die ja auch in Deutschland rapide ansteigen. Jedes Organ hat meist seinen eigenen Anwalt; das kann schnell sehr teuer werden. Man braucht eine angemessene Deckung, um das bezahlen zu können. Die D&O ist also auch gleichzeitig eine Rechtsschutzversicherung.
cio.de: Wie sieht das bei CIOs aus? Wann sind die wie versichert?
Hess: Man muss unterscheiden zwischen dem Aufgabengebiet, das eine Person abdeckt, und der Person selbst. Geht es um das Aufgabengebiet, ist nicht die D&O, sondern die Cyberversicherung das Kernprodukt. Das Absichern von Vertraulichkeit, Verfügbarkeit und Integrität steht im Mittelpunkt. Verfügbarkeit ist die Hauptzuständigkeit des CIOs, für Vertraulichkeit und Integrität sind eher CISOs zuständig. Der CIO will vor allem Betriebsausfälle absichern.
Wenn es sich nicht um ein Organmitglied handelt, dann besteht zumindest keine unbegrenzte Haftung.
Viele, die eine D&O-Versicherung abschließen, interessieren sich auch für eine Cyberversicherung - schon um belegen zu können, dass sie sich mit dem Thema hinreichend beschäftigt haben und eine Pflichtverletzung eher unwahrscheinlich ist.
Seul: Wenn ein Makler dem Kunden eine Cyberversicherung vorrechnet und sich dann der Vorstand dagegen entscheidet, ein paar Monate später aber ein Schadenfall passiert, dann würde es sich eventuell um eine Pflichtverletzung handeln. Der Manager hatte schließlich Kenntnis von dem Risiko und hätte den Schaden abwenden können. Er steht dann in der Pflicht zu erklären, warum es für das Unternehmen besser gewesen ist, die Versicherung nicht abzuschließen.
cio.de: Was heißt das nun aber genau für die Entscheidungsfindung auf Unternehmensseite?
Seul: Schlussendlich gibt hier kein Schwarz und Weiß, man muss genau abwägen. Hier kommen dann auch die Juristen ins Spiel. Letztlich gilt: Wenn man Organ ist, haftet man persönlich unbeschränkt. Als Arbeitnehmer haftet man dagegen aufgrund der Arbeitnehmerprivilegierung nicht unbeschränkt und auch nicht persönlich.
cio.de: Ich stelle es mir schwierig vor, im D&O-Schadensfall Klarheit zu schaffen. Wie viele Fälle enden in einem Prozess?
Seul: Da haben wir es mit einer hohen Dunkelziffer zu tun. Viele Schadensfälle enden in einem Vergleich. Die Parteien haben irgendwann die Schlammschlachten satt. Dann wird der Fall noch durch die Presse gezogen und die Beteiligten sind über Jahre hinweg an ihrer nervlichen Belastungsgrenze. Man kann oft auch den Schaden nicht genau definieren und sagen, wer welchen Anteil an Schuld zu tragen hat. Deshalb sagt man: Strich drunter, wir vergleichen uns, es wird ein bestimmter Betrag genommen, aufgeteilt, und dann ist Ruhe.
cio.de: Es gibt also niemals volle Klarheit bei D&O-Fällen?
Seul: Das ist nur schwer zu beantworten, denn gedeckt ist ja die potenzielle Pflichtverletzung eines Organs. Dann stehen allerdings Fragen im Raum wie: War es seine Pflicht? War es eine Verletzung? Wie war die Kenntnislage? Da wird es sehr detailliert, deshalb ziehen sich solche Prozesse auch so lange hin. Die D&O deckt ja gerade Vorfälle, die in der Vergangenheit liegen. Der Versicherungsfall wird erst dann ausgelöst, wenn eine schriftliche Inanspruchnahme vorliegt. Die Pflichtverletzung - zum Beispiel der millionenschwere Kauf einer neuen IT-Anlage, die nicht für den gedachten Zweck einsetzbar ist - kann Jahre zurückliegen. Potenziell ein klassischer D&O-Fall.
cio.de: Zurück zur Cyberversicherung: Auch hier gibt es wahrscheinlich jede Menge Grauzonen. Betriebsausfälle entstehen ja nicht zuletzt, weil Menschen vorsätzlich oder fahrlässig Fehler machen.
Hess: Aus genau diesem Grund ist man dazu übergegangen, hier ganz klare Trigger zu definieren, die sagen: Wenn dies oder das passiert, dann tritt die Cyberversicherung ein. Eine Datenschutz- oder eine IT-Sicherheitsverletzung reicht hier schon aus. Es ist völlig egal, ob diese vorsätzlich oder fahrlässig herbeigeführt wurde oder durch einen Angreifer. Es geht hier um den eigentlichen Schadensfall.
Die einzige Ausnahme, ist hierbei, wenn ein Organmitglied leichtfertig handelt. Dann wäre das in der Cyberversicherung nicht gedeckt, aber in der D&O. Wenn also ein CIO, der nicht Organmitglied ist, vorsätzlich als Innentäter unterwegs ist oder jemand in seinem Bereich, zum Beispiel ein Netzwerkadministrator, dann sind die entstehenden Schäden trotzdem von der Cyberversicherung abgedeckt.
cio.de: Unter welchen Bedingungen können Cyberversicherungen abgeschlossen werden? Ein Rechenzentrum in einem erdbebengefährdeten Gebiet werden Sie ja kaum versichern. Und uralte, schlecht gepflegte Systeme finden Sie vielleicht auch nicht so gut.
Hess: Da wird es komplex. Ich kann bei einem Unternehmen mit 200 Arbeitsplätzen relativ gut bewerten, wie es von der IT-Sicherheitsseite aufgestellt ist. Wenn es um einen globalen Konzern geht, ist das viel schwieriger. Man bewegt sich auch ganz schnell von technischen Fragen hin zu Governance- und Prozessfragen. Dann geht es vor allem darum, wie ich als CIO, CISO oder Chief Risk Officer feststellen kann, dass irgendwo in meinem Unternehmen etwas passiert ist, und wie schnell ich reagieren kann.
Als Versicherer nehmen wir genau diese Risikobewertung vor. Wir müssen wissen, wie das Unternehmen aufgestellt ist und welchen Reifegrad es erreicht hat, wenn es um IT- oder Cybersicherheit geht. Das interessiert uns sowohl aus Organisations- und Prozesssicht, als auch aus Sicht derSicherheitstechnologieSicherheitstechnologie. Anschließend kommen wir an den Punkt, an dem entschieden werden muss, ob das Unternehmen eine CyberversicherungCyberversicherung bekommen kann. Was wir nicht tun: Wir sagen ihm nicht "Ihr müsst das und das machen, damit wir euch versichern können". Alles zu Finance IT auf CIO.de Alles zu Security auf CIO.de
cio.de: Also eine Art Due Diligence?
Hess: Ja, darauf läuft es im Endeffekt hinaus.
cio.de: Ist das bei der D&O auch so? Es gibt doch bestimmt schwarze Schafe unter den Managern, die Sie nicht versichern möchten?
Seul: Wir bewerten Unternehmen, nicht Einzelpersonen. Das läuft eher bilanzgetrieben. Es geht unter anderem darum, wie die Unternehmen finanziell aufgestellt sind.
cio.de: Mit der Digitalisierung verlagert sich die Verantwortung für IT auf viele Schultern. Der CIO, der CDO, der CTO, der CISO, der digitalaffine Bereichs- und Abteilungsleiter …
Seul: Auch das ist ein Grund, weshalb die D&O wichtig ist. Diese Aufsplittung von Verantwortlichkeiten ist für die persönliche Haftung durchaus gefährlich. Verantwortet der CFO Resorts dieser Personen, kann man immer sagen: Du hättest wissen müssen, was die machen, das ist dein Überwachungs- und Organisationsverschulden. Du hast offensichtlich nicht die richtigen Sicherheitsvorkehrungen und Kontrollsysteme eingeführt, damit du weißt, was da passiert.
Hess: Auch fürCyberversicherungenCyberversicherungen ist das ein wichtiger Aspekt. Gerade die Verteilung von IT- und Sicherheitsaufgaben kann je nach Unternehmen und Wertschöpfung ganz unterschiedlich sein. Deshalb ist es wichtig zu verstehen, wie funktioniert der Informationsfluss zum Vorstand? Im Endeffekt muss der Vorstand die Risikoinformation zeitnah bekommen. Wenn uns ein Unternehmen die entsprechenden Prozesse dafür aufzeigen kann, ist es eigentlich egal wie viele Mitspieler in der IT arbeiten und ob es feste Eskalationsstufen gibt. Die Prozesse müssen festgelegt und gelegentlich im Rahmen von Krisensimulationen geübt werden. Ansonsten gilt: Jedes Unternehmen ist anders. Top-Firmen der Branche Versicherungen
cio.de: Lassen Sie uns von der Theorie zu praktischen Beispielen kommen - Ransomware etwa: Ein Eindringling blockiert kritische IT-Systeme und verlangt Lösegeld. Trägt das die Cyberversicherung?
Hess: Definitiv. Dabei sind mehrere Aspekte versichert: Von der Wiederherstellung des Originalzustands, über das Beseitigen der Malware, die forensische Analyse mit der festgestellt wird, wie die Schadsoftware ins System gekommen ist, bis zu Produktions- und Umsatzausfällen durch lahmgelegte Systeme. Das alles kann per "Baukastenprinzip" mitversichert werden.
cio.de: Zahlt die Cyberversicherung auch den Beitrag, den die Erpresser fordern?
Hess: Erpressungsgelder sind ebenfalls versicherbar. Die Entscheidungsfindung, ob man bezahlen sollte, ist aber komplex und obliegt dem Versicherten. Es gibt ja auch Ransomware, die einem rein zerstörerischen Ansatz folgt. Selbst wenn man bezahlt, wird man in diesen Fällen seine Daten nicht zurückbekommen.
cio.de: Anderes Beispiel: Mit dem Internet of Things vervielfachen sich die Angriffspunkte, das Risiko steigt …
Hess:Für uns ist wichtig zu wissen, ob Unternehmen schnell genug handeln können, um den Schaden zu minimieren. Die Incident-Response-Fähigkeit ist also entscheidend. In Deutschland gibt es ein starkes produzierendes Gewerbe, IoT spielt eine immer wichtigere Rolle. Wir entwickeln uns hier im Bereich der Cyberversicherung langsam weg von einer reinen Finanzschaden-Versicherung und hin zu einer Versicherung, die auch Schäden an realen Objekten und Maschinen mit abdeckt.
Wir sprechen hier aktuell noch nicht über ein Standardprodukt, es wird aber mehr und mehr nachgefragt. Beachten muss man allerdings, dass man hierbei schnell in einem Überdeckungsbereich mit Sach- oder anderen Versicherungen kommt. Deshalb ist die Cyberversicherung bei AIG zwar ein eigenständiges Produkt, das alleinstehend angeboten wird, gleichsam aber auch die Möglichkeit bietet, Deckungsbausteine anderer Versicherungsprodukte einzubetten.
Vor allem IoT wird spannende Fragestellungen hinsichtlich Produkthaftung mit sich bringen. Wenn zum Beispiel ein IoT-fähiges Endgerät gehackt wird und sich remote kein Update mehr aufspielen lässt, um das Geräte wieder unter Kontrolle zu bekommen, wie sind dann die Haftungsszenarien? Dieses Themengebiet ist noch nicht durchdrungen und stellt Unternehmen wie auch Versicherer vor neue Herausforderungen.
cio.de: Hat die Datenschutz-Grundverordnung (DSGVO) Ihnen eine Sonderkonjunktur beschert?
Seul: Nein. Aus D&O-Sicht fällt das Thema unter ComplianceCompliance. Das ist eines der Segmente, in denen die größten Schäden entstehen. Tatsächlich ist aber durch die DSGVO eine große Unsicherheit entstanden, da die Verordnung hohe Geldbußen bei Verstößen vorsieht. Einen Peak gab es deswegen aber nicht. Alles zu Compliance auf CIO.de
Hess:Das Interesse an Cyberversicherungen ist durch die DSGVO und auch durch die populären Ransomware-Attacken stark angestiegen. Forensische Analyse, Gerichtskosten… - diese Kosten werden ja auch mit übernommen. Gerade für Mittelständler ist das interessant.
cio.de: Kann man bei Ihnen auch Projektrisiken versichern? Kürzlich ging das Beispiel Lidl durch die Presse: Die sind mit einem über Jahre laufenden Versuch, ein SAP-basiertes Warenwirtschaftssystem einzuführen, gescheitert.
Hess: Im Rahmen einer Cyberversicherung ist das nicht versichert, da keine Systeme ausgefallen sind und keine Sicherheits- oder Datenschutzverletzung vorliegt.
Seul: Für einen D&O-Fall könnte es eventuell einen Ansatz geben, wenn man argumentiert: Die Verantwortlichen hätten früher erkennen müssen, dass das System ungeeignet ist. Auch hier wieder die Frage: Wer hat da nicht rechtzeitig die Reißleine gezogen? Das ist zwar sehr schwammig, aber gerade bei D&O kann man immer viele Ansatzpunkte finden und Verantwortliche, die hätten, müssen, sollen...
cio.de: Nahezu alle Unternehmen sind im Zuge der Digitalisierung im Experimentiermodus, sie wollen neue Dinge entwickeln und innovieren. Es entstehen jede Menge Minimum Viable Products (MVPs), die dann beim Kunden vielleicht doch nicht ganz so funktionieren, wie sie eigentlich sollten. Diese Risikoprojekte kann man nicht absichern?
Hess: Die Schwierigkeit ist, festzulegen, was exakt versichert werden soll und was der potenzielle finanzielle Verlust ist. Wenn ich an einem neuen Produkt arbeite, kann ich nicht vorhersagen, welche Gewinne ich damit erzielen werde. Und selbst wenn mir jemand Konstruktionsdaten klaut und die Konkurrenz damit versorgt, muss ich erstmal das Delta benennen können, das mir hier entsteht. So ist es auch mit Reputationsverlusten: Sehr schwer zu beziffern.
cio.de: Gibt es in Ihren D&O- und Cyberversicherungen noch Spielraum für Innovationen? Können sie sich vom Wettbewerb differenzieren?
Seul: Das ist in der Tat ein wunder Punkt. Es ist extrem schwierig, sich in einem solch gesättigten Markt abzusetzen. Jedes Jahr kommt aufs Neue ein weiterer Wettbewerber dazu, der mit Gimmicks arbeitet. Und nach ein paar Monaten hat das dann auch jeder.
Leider beobachten wir gerade im Mittelstand, dass viele Kunden rein preisgetrieben vorgehen. Das Hauptargument bei D&O-Versicherungen sollte aber vielmehr sein, dass man sich einen finanzstarken und erfahrenen Versicherer aussuchen sollte, der die Risiken kennt und weiß, wie damit umzugehen ist.
Hess: Als Cyberversicherer hat man ebenfalls viel Konkurrenz. Hierbei gibt es aber durchaus Chancen: Indem man sich von der qualitativen und hin zu einer quantitativen Bewertung bewegt, kann man robustere Zahlen generieren und dem Kunden mehr Transparenz verschaffen. Dieser bekommt dann nicht nur die Versicherungsleistung, sondern auch einen wertvollen Spiegel vorgehalten: Wie gut ist er etwa in Sachen IT-Sicherheit oder DatenschutzDatenschutz - auch gegenüber anderen - aufgestellt, die in einem ähnlichen Umfeld agieren? Diesen Mehrwert können aktuell nur wenige Versicherungen versprechen. Alles zu Datenschutz auf CIO.de
cio.de: Da sind Sie aber schon nahe am Beratungs- und IT-Benchmarking-Geschäft dran …
Hess: Als Versicherer bietet man ausschließlich Versicherungsprodukte an. Jedoch stimmt es, dass immer mehr Versicherungen auch Beratungsgesellschaften gründen. Die AIG hat diesen Schritt in den USA ebenfalls getan.
cio.de: Zum Schluss: Wie sollte sich ein CIO absichern?
Seul: Eine D&O ist Pflicht, wenn der CIO im Vorstand ist. Dabei sollte man sich über die Höhe der Versicherungssumme Gedanken machen, denn die Schadensfälle werden immer größer.
Hess: Eine Cyberversicherung wird auch immer mehr zum Standard. Sie deckt Kosten ab, die sich negativ auf Bilanzen niederschlagen können. Zudem bleibt das Restrisiko eines Totalausfalls von Systemen und Rechenzentren immer bestehen; das gilt auch bei redundanter Auslegung, Backups etc. Dieses Risiko kann man gut durch eine Versicherung abdecken.