REGULIERUNG
REGULIERUNG VERSICHERUNGSRECHTLICHE IMPLIKATIONEN DER BAIT Digitale Risiken absichern Banken sind seit jeher ein natürliches Ziel von Kriminellen. Als Alternative zum physischen Bankraub haben sich im Zuge der Digitalisierung jedoch Cyber-Angriffe etabliert. Fakt ist: Banken sind erheblichen digitalen Bedrohungen ausgesetzt. Mit Cyber-Versicherungen können sich kleinere Institute gegen die finanziellen Risiken absichern – doch die Policen können noch viel mehr. Erfolgreiche Cyber-Angriffe auf Bitcoin- Banken, Datenverluste bei Großbanken und der Zugriff durch Hacker auf ca. 20.000 Girokonten in Großbritannien sind als bekannt gewordene Beispiele erfolgreicher Angriffe nur die Spitze des Eisbergs. Auch wenn sich die Mehrzahl der Angriffe an der Peripherie der komplexen IT-Systeme von Banken abspielt und häufig Kunden oder eigene Mitarbeiter die maßgebliche Sicherheitslücke darstellen, sind Banken insgesamt einem erheblichen Bedrohungsszenario ausgesetzt. Banken als kritische Infrastruktur Folgerichtig hat der Gesetzgeber Banken einer gewissen Größe als kritische Infrastruktur eingestuft und ein strenges Aufsichts- und Sicherheitsregime etabliert. Hintergrund ist die systemische Bedeutung des Bankenwesens für das Funktionieren des Markts – insbesondere mit Blick auf die Bargeldversorgung der Bevölkerung und die Abwicklung des bargeldlosen Zahlungsverkehrs. Eine besondere Anfälligkeit für relevante Schäden ergibt sich vor allem daraus, dass IT- Systeme von Banken ständig verfügbar sein müssen. Ein Ausfall kann schon innerhalb weniger Stunden zu Schäden führen, die das Überleben von Instituten und Kundenunternehmen gefährden können. Anders als bei Handels- oder produzierenden Unternehmen, bei denen Betriebsunterbrechungsschäden im Fokus stehen, haben bei Banken die Schäden Dritter das größere Schadenpotenzial: Können bestimmte Transaktionen nicht rechtzeitig (z. B. fristwahrend) durchgeführt oder verbucht werden, kann dies im Einzelfall zu erheblichen Störungen in Geschäftsbeziehungen führen. Verhindern gestörte IT-Systeme etwa beabsichtigte Wertpapierverkäufe, kann sich dies bei rasant fallenden Börsenkursen schnell in einem hohen Schaden niederschlagen. Diese Überlegung hat bei Kapitalverwaltungsgesellschaften für Alternative Investmentfonds (AIF) zur Versicherungspflicht derartiger System-Unterbrechungsschäden – als Alternative zur Eigenkapitalvorhaltung – geführt. Bei derartigen Schadenrisiken liegt für Banken die Überlegung nahe, sich dagegen mit einer Cyber-Versicherung mit ausgeprägten Haftpflichtkomponenten abzusichern. Große Institute stoßen an Marktgrenzen Allerdings stoßen die Versicherungsmöglichkeiten gerade bei größeren Instituten schnell an Grenzen: Um das hohe Schadenpotenzial vollständig abzusichern, fehlen zumindest im deutschen Versicherungsmarkt noch die nötigen Deckungskapazitäten. Dies ist im Hinblick auf die häufig zu verzeichnenden Cyber-Angriffe auf die jeweiligen Kundenportale noch vergleichsweise unproblematisch: Eine Haftung bei Leichtsinn der Kunden ist ohnehin fraglich, und das Schadenpotenzial wird regelmäßig auf Einzelfälle begrenzt sein. Ganz anders sähe es aber aus, wenn tatsächlich ein breiter Zugriff auf die Kernsysteme einer Bank durch Kriminelle erfolgreich wäre. Die dann denkbaren Schäden können vorhandene Marktkapazitäten schnell überfordern. Umgekehrt stellen diejenigen Deckungsbausteine, welche gerade für kleine und mittelständische Unternehmen sehr wichtig sind – beispielsweise die Absicherung von Assistance-Dienstleistungen oder der Rechtsschutz bei Einleitung behördlicher Verfahren für größere Institute – keine Gefahr in bilanziell relevanter Größenordnung dar. Die unter der Datenschutz-Grundverordnung nunmehr möglichen erheblichen Bußgelder für Datenschutzverstöße – bei Verlust von Kundendaten können dies bis zu vier Prozent des weltweiten Jahresumsatzes sein – sind zwar relevant, aber nicht unmittelbar versicherbar. Rundum-Deckung für kleinere Institute Für kleinere Institute kann eine Cyber-Versicherungslösung dagegen attraktiv sein. Zum einen sind die betragsmäßig zu erwartenden Schäden geringer, sodass die Marktkapazitäten eine effektive Risikovorsorge gewährleisten können. Zum anderen sind aber auch bereits kleinere Schäden eine relevante Belastung: insbesondere durch die Verteidigungsund Rechtsverfolgungskosten sowie durch den Aufwand externer Dienstleister zur Wiederinbetriebnahme ausgefallener IT-Systeme. Hier können die in einer Cyber-Deckung gebündelten Deckungsbausteine eine geeignete Absicherung bieten. Eine Cyber-Versicherung befreit jedoch nicht von der Aufrechterhaltung eines hohen Sicherheitsstandards für die eigenen IT-Systeme. Durch das IT-Sicherheitsgesetz obliegt Banken und Geldinstituten eine regelmäßige Nachweispflicht hinsichtlich ausreichenden Sicherheitsstandards etwa durch Prüfungen und Zertifizierungen. Zudem ist die Erarbeitung branchenspezifischer Sicherheitsstandards vorgesehen. Diese konkretisieren zugleich die für Cyber-Deckungen typischen Obliegenheiten, eine dem üblichen Standard 52 04 // 2018
REGULIERUNG entsprechende IT-Sicherheit zu gewährleisten. Eine diesen Standards entsprechende IT-Sicherheit ist also Voraussetzung für den Versicherungsschutz. Schädigung durch eigene Mitarbeiter Für Institute jeder Größe gilt es, besonderes Augenmerk auf Schäden zu legen, die durch eigene Mitarbeiter verursacht werden. Diese sind nicht nur für Cyber-Kriminelle eine attraktive Angriffsstelle, Stichwort Social Engineering, sie können auch vorsätzlich das eigene Unternehmen schädigen. Ein Beispiel dafür ist die Weitergabe von Kundendaten oder die Veruntreuung durch gezielte Manipulation der eigenen Zahlungssysteme. Gerade im Bankenbereich dürfte daher ausreichender Vertrauensschaden- Versicherungsschutz wichtig sein. Soweit die versicherten Taten über IT- Systeme abgewickelt werden, gibt es häufig starke Überschneidungen zwischen der Vertrauensschadenversicherung einerseits und den marktüblichen Cyber-Deckungen andererseits. Auch diesbezüglich wird es von der Größe des Instituts abhängen, ob eine Cyber- Organhaftung bei Vernachlässigung der IT-Sicherheit Das Rundschreiben der BaFin zu den aufsichtlichen Anforderungen an die IT (BAIT) konkretisiert die MaRisk und ordne- Bankte wesentliche Kernpunkte der IT-Sicherheitsstrategie – insbesondere Aufbau, Ablauforganisation, Auslagerungsstrategie, Definition der gängigen Standards und der Eckpunkte der Informationssicherheitsorganisation – als Geschäftsleitungsaufgabe ein. Um die hieraus resultierenden erheblichen Haftungsgefahren der Geschäftsleitung abzusichern, bedarf es ausreichender D&O-Deckungen, welche auch den nunmehr zu bestellenden Informationssicherheitsbeauftragten einschließen sollten. Geschäftsleiter sollten dabei vor Augen haben, dass Regressansprüche gegen Organe, aber auch gegen den neu geschaffenen Informationssicherheitsbeauftragten oft leichter und billiger versichert werden können, als die unmittelbaren Ausfall- und Drittschäden selbst. Wegen der drohenden Haftung mit dem eigenen Privatvermögen sollten sich Geschäftsleiter daher in diesem Bereich keine Schwachstellen leisten. Die Geschäftsleitung hat nicht nur auf die eigene IT-Sicherheit zu achten, sondern auch auf diejenige der Zulieferer und IT-Dienstleister – besonders bei ausgelagerten Aufgaben. Eben diese Zulieferer und Dienstleister müssen dieselben Sicherheitsstandards einhalten, die für ihre Auftraggeber gelten. Daher ist aufseiten der Auftragnehmer eine ausreichende Haftpflichtdeckung – beispielsweise in Form einer Cyber-Versicherung mit starken Haftpflicht-Komponenten – geboten. Deckung mit einer Vertrauensschaden- Komponente ausreichend oder eine gesonderte Vertrauensschadenversicherung zu bevorzugen ist. Insgesamt ist festzuhalten, dass die jüngsten gesetzgeberischen und aufsichtsbehördlichen Verschärfungen der geforderten IT-Sicherheit unmittelbare Auswirkungen auf die Haftungsgefahren und Versicherungsanforderungen von Bankinstituten haben. Entsprechend muss nicht nur die IT-Organisation weiterentwickelt werden, sondern parallel dazu auch die vorhandenen Versicherungsprogramme. Autoren Dr. Stefan Jöster ist Fachanwalt für Versicherungsrecht sowie Spezialist für Cyber-Versicherungen der Sozietät Heuking Kühn Lüer Wojtek. Dr. Lutz Martin Keppeler ist Fachanwalt für Informationstechnologierecht und Spezialist für IT-Sicherheitsrecht und Datenschutz der Sozietät Heuking Kühn Lüer Wojtek. 04 // 2018 53
