
Nach IT-Chaos – Warum die Versicherung vermutlich nicht zahlt
Die entsprechenden Klauseln sorgen dafür, dass die folgen des fehlerhaften Sicherheitsupdates laut dem branchenverband GDV die deutschen Versicherer nicht belasten dürfen.
Die IT-Ausfälle des vergangenen Freitags dürften nach Einschätzung des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) nicht zu außergewöhnlichen Belastungen bei Versicherern in Deutschland führen. Dem Handelsblatt sagte GDV-Hauptgeschäftsführer Jörg Asmussen „Schäden durch den Ausfall eines IT-Dienstleisters sind in den meisten Fällen nicht versichert.“
Ein fehlerhaftes Sicherheitsupdate hatte Weltweit für Windows-Computer mit Software des Softwareanbieters Crowdstrike zu Problemen geführt. Der Flugverkehr war teilweise lahmgelegt, zu vorübergehenden Störungen kam es auch in Krankenhäusern, Banken und Supermärkten.
Die Versicherungsindustrie beschäftigt nun, wer für die daraus entstandenen finanziellen Schäden geradesteht. Eine klare Einschätzung hat GDV-Mann Asmussen: „Policen wie die Cyberversicherung oder die Ertragsausfallversicherung setzen in der Regel andere Auslöser voraus.“
In der Cyberversicherung sei das insbesondere ein Hackerangriff auf das versicherte Unternehmen. Der Betrieb müsse in der Ertragsausfallversicherung zum Beispiel aufgrund eines Feuers oder eines Sturmes unterbrochen sein. Asmussen räumt aber auch ein, dass es Einzelfälle geben könne, bei denen ein Ausfall des IT-Dienstleiters vom Versicherungsschutz gedeckt ist.
Der Fall von Crowdstrike: Versicherer zurückhaltend mit konkreten Einschätzungen
Die Versicherer sind noch dabei, den Fall im Detail aufzuarbeiten und halten sich daher mit konkreten Äußerungen bisher zurück. Aus der Branche heißt es aber, dass es in der Cyberversicherung durchaus Verträge gibt, die für die Wiederherstellung von Daten aufkämen – zum Beispiel im falle eines Datenverlustes durch eine defekte Hardware. Verbreitet sei aber auch eine Update-Klausel, die die Entschädigung für den Fall von Datenverlust nach einem Softwareupdate ausschließt. Damit dürften die aktuellen Schäden somit also tatsächlich oft nicht versichert sein.
Auch bei der Ertragsausfall- beziehungsweise Betriebsunterbrechungsversicherung sehen die Gesellschaften mehrere Beschränkungen. Fluggesellschaften sollen diesen Versicherungsschutz häufig gar nicht abgeschlossen haben. Der Grund: Laut den Versicherern interessieren sich die Fluglinien meist nach einem speziellen Ereignis, wie etwa einer Naturkatastrophe , für diese Police. Dann sei der Schutz aber auch besonders teuer, sodass dann doch dagegen entschieden wurde.
Viele Policen haben lange Wartezeiten bevor die Versicherung die Kosten übernimmt
Um nicht für jeden Kleinschaden aufzukommen, setzen viele Versicherer zudem lange Wartezeiten voraus. Der Versicherungsschutz setzt also erst dann ein, wenn die Betriebsunterbrechung einige Stunden andauert. Ein Versicherungsmanager erklärte, dass die Zeitspanne zwar in den Bedingungen variiere. Eine Wartezeit von unter vier Stunden wurde von ihm in noch keinem Vertragswerk gesehen. Da Crowdstrike zügig eine Lösung bieten konnte – wenn es auch nur die manuelle Neukonfiguration der Systeme war – dürfte der Versicherungsschutz häufig nicht greifen.
Laut Asmussen dienen diese Einschränkungen dazu, die „Leistungsfähigkeit der Versicherer in einem solchen Szenario nicht zu gefährden – denn wenn viele Kunden gleichzeitig hohe Schäden erleiden, könnten Versicherer sonst in existenzielle finanzielle Schwierigkeiten geraten“, erklärte der GDV-Hauptgeschäftsführer. Anders als etwa bei Naturkatastrophen seien die Folgen bei Softwarekatastrophen räumlich nicht begrenzt, sondern könnten sich innerhalb weniger Stunden oder Tage exponentiell verbreiten und ganzen Volkswirtschaften erhebliche Schäden zufügen.