25 Jun D&O- und Cyber-Versicherung: Die Wette gilt
Last Updated on 2024-06-27
Brigitta Schwarzer, 22.05.2024
In der heutigen dynamischen Wirtschaftswelt mit ihren wechselnden Bedrohungsszenarien ist die Absicherung von Risiken ein unverzichtbarer Bestandteil unternehmerischen Handelns.
Ein Versicherungsvertrag ist bekanntlich eine Wette, bei der der Versicherungsnehmer – salopp gesagt – einen vereinbarten Preis dafür zahlt, dass der Versicherer für den zufälligen Schaden einsteht (siehe auch § 1288 ABGB). Während z.B. bei einer herkömmlichen Loswette der Käufer auf einen Gewinn hofft, gewinnt man bei einer Versicherung, wenn der Schadenfall nicht eintritt. Andernfalls kann eine risikoadäquate Versicherung für den Schaden aufkommen oder ihn begrenzen.
In der heutigen dynamischen Wirtschaftswelt mit ihren wechselnden Bedrohungsszenarien ist die Absicherung von Risiken ein unverzichtbarer Bestandteil unternehmerischen Handelns. Firmen, Organisationen und Institutionen aller Größen und Branchen, vom KMU bis zur börsennotierten Gesellschaft und von der öffentlichen Einrichtung über die Stiftung bis zum Verein, müssen sich zunehmend gegen vielfältige Gefahren absichern. Zwei wesentliche Versicherungen rücken dabei immer mehr in den Fokus: die D&O-Versicherung und die Cyberversicherung. Vielen Unternehmen ist jedoch nicht bewusst, dass diese beiden Versicherungen zwar einige Überschneidungen aufweisen, jedoch grundsätzlich unterschiedliche Risiken abdecken.
Bedeutung der D&O-Versicherung
Die Directors and Officers (D&O)-Versicherung bietet in erster Linie den Leitungsorganen als versicherte Personen Deckungsschutz, wenn sie wegen eines schuldhaften (jedoch nicht wissentlich oder mit dolus directus verursachten) Pflichtverstoßes entweder von Dritten (Außenanspruch) oder vom eigenen Unternehmen (Innenanspruch) für einen Vermögensschaden in die Pflicht genommen werden. Aufgrund der zunehmenden wirtschaftlichen Komplexität und verstärkten Regulierung sind diese Personen einem erheblichen persönlichen Haftungsrisiko ausgesetzt. Dabei steht auch das Privatvermögen auf dem Spiel, was existenzbedrohende Folgen haben kann.
Was leistet eine D&O-Versicherung?
Sie deckt eine Vielzahl von Risiken ab, denen Leitungsorgane ausgesetzt sind:
- Auswahl-, Organisations- und Überwachungsverschulden (z.B. Besetzung von Schlüsselpositionen mit „nahestehenden“, aber nicht entsprechend qualifizierten Personen);
- Verstöße gegen Gesetz, Satzung, Geschäftsordnung und/oder unternehmensinterne Richtlinien (z.B. Abschluss von genehmigungspflichtigen Geschäften ohne Zustimmung des Aufsichtsrats);
- falsche Darstellung der wirtschaftlichen Lage des Unternehmens (z.B. „Bilanzkosmetik“ zur Verschleierung von Verlusten);
- Mängel im Rechnungswesen, im Risikomanagementsystem und im internen Kontrollsystem (z.B. kein durchgängiges Vier-Augen-Prinzip);
- unzureichende Sicherheitsvorkehrungen gegen Cyberangriffe, die zu Betriebsunterbrechungen, Datenverlusten und anderen finanziellen Nachteilen für das Unternehmen führen können;
Nota bene: Betrug, Untreue und Bilanzfälschung sind strafrechtliche Vorsatzdelikte. Wird man deswegen verurteilt, ist die D&O-Versicherung jedenfalls verspielt.
Steht die D&O-Versicherung auch für Cyberrisiken ein?
Cyberrisiken deckt die D&O-Versicherung – wenn überhaupt – nur indirekt ab: Verabsäumen es die Leitungsorgane, ihre Mitarbeitenden für Cybergefahren entsprechend zu sensibilisieren und zu schulen, könnte dies im Schadenfall Grund genug sein, gegen sie Regress zu nehmen. Eine Entscheidung darüber ist jedoch ein Prozess, der sehr lange dauern kann. Die Nachteile der unmittelbaren Bewältigung eines Cyberangriffs deckt die D&O-Versicherung nicht ab. Zudem muss eine ernsthafte Inanspruchnahme einzelner oder aller versicherten Personen vorliegen, was in der Regel zumindest organisatorische Maßnahmen für die Betroffenen voraussetzt (Herabstufung, Verlust von Personal- und Budgethoheit etc.).
Cyberrisiken – die unsichtbare Gefahr
Cyberangriffe sind reale Bedrohungen, die heute jedes Unternehmen treffen können. Vom kleinen Handwerksbetrieb bis zum internationalen Konzern – die digitale (Unter-)Welt behandelt alle gleich. Die Frage ist nicht ob, sondern wann es passiert, sind sich die Experten einig. Dennoch wiegen sich viele Unternehmen in Sicherheit oder glauben, dass eine D&O-Versicherung auch Cyberschäden abdeckt. Ein gefährlicher Trugschluss (siehe oben).
Cyberkriminelle nutzen verschiedene Methoden, um Unternehmen zu schädigen:
- Phishing: Betrügerische E-Mails, um an sensible Informationen zu gelangen;
- Ransomware: Erpressungssoftware, die Daten verschlüsselt und Lösegeld fordert;
- DDoS-Angriffe: Überlastung der IT-Infrastruktur durch Massenanfragen;
- Data Leakage: Unbefugter Zugriff auf vertrauliche Daten;
- Malware: Schadsoftware, die IT-Systeme infiziert und schädigt.
Sie entwickeln immer raffiniertere Methoden, um in Unternehmensnetzwerke einzudringen. Auch die besten Sicherheitsvorkehrungen bieten keinen hundertprozentigen Schutz. Neben präventiven Maßnahmen ist daher eine umfassende Cyberversicherung unerlässlich, um im Ernstfall abgesichert zu sein.
Falsche Sicherheit
Viele Unternehmen gehen fälschlicherweise davon aus, dass ihre IT-Systeme cyberresilient sind. Häufig liegt dies an mangelndem Risikobewusstsein oder an einer überschätzten IT-Sicherheitsinfrastruktur. Regelmäßige Sicherheitsüberprüfungen und Penetration Tests sind notwendig, um Schwachstellen zu identifizieren und zu beheben. Studien zeigen jedoch, dass viele Unternehmen diese Maßnahmen nicht oder nicht konsequent durchführen.
Die Cyberversicherung
Eine Cyberversicherung bietet Schutz vor den Folgen von Cyberangriffen, wenn im Unternehmen entsprechende Sicherheitsstandards implementiert sind (es gibt Versicherer, die hierfür versierte Dienstleister mit einem einschlägigen track record vorschlagen). Sie deckt unter anderem
- Kosten für die Wiederherstellung der IT-Systeme;
- Ertragsausfälle und Mehrkosten durch Betriebsunterbrechungen;
- Abwehr unberechtigter und Befriedigung berechtigter Schadenersatzansprüche;
- Kosten für IT-Forensik, Rechtsberatung, PR-Beratung.
Je nach Deckungsumfang und -bedingungen übernimmt sie gegebenenfalls auch Lösegeldzahlungen.
Die Wahl des „richtigen“ Versicherungsschutzes hängt von verschiedenen Faktoren wie Unternehmensgröße, Branche und spezifischem Risikoprofil ab. KMU benötigen meist andere Versicherungslösungen als börsennotierte Großunternehmen. Gerade für erstere kann eine angemessene Cyberversicherung existenziell sein, da sie meist nur über begrenzte personelle und finanzielle Ressourcen verfügen, die Folgen eines Cyberangriffs zu bewältigen.
Fazit: Eine lohnende Investition
Der Schutz durch eine D&O-Versicherung und eine Cyberversicherung sollte für alle am Markt tätigen Unternehmen ein Gebot der Stunde sein. Wie ausgeführt, decken sie unterschiedliche, aber gleichermaßen kritische Risiken ab. Während die D&O-Versicherung Leitungsorgane vor persönlichen Haftungsrisiken schützt, bietet die Cyberversicherung dem versicherten Unternehmen Schutz vor den nachteiligen Folgen von Cyberangriffen.
Sowohl die D&O- als auch die Cyberversicherung sind keine „Produkte von der Stange“, die man wie eine Haushalts- oder Kfz-Versicherung schnell online abschließen kann. Eine umfassende Risikoanalyse und die Beratung durch Experten sind daher ratsam, um den passenden Versicherungsschutz einzukaufen.
Wie eingangs erwähnt, ist jede Versicherung eine Wette auf das Unvorhersehbare. Gewonnen ist, wenn der Schaden nicht eintritt. Tritt er aber ein, sind jene Unternehmen im Vorteil, die sich durch geeignete Versicherungen vor den finanziellen Folgen geschützt haben. Die Wette gilt – und sie lohnt sich.
Die Autorin hat diesen Beitrag für die Sommerausgabe 2024 des VersicherungsJournals spezial „Cyber-Versicherung“ (Printausgabe) geschrieben.