Umsatzverlust durch IT-Ausfall: Schadenersatz, Versicherungsfall oder Pech gehabt?

Am vergangenen Freitag, den 19. Juli 2024, schien einmal mehr die Welt unterzugehen. Die ersten Hilferufe vernahm ich morgens von CGM Lauer-Nutzern, später auch von anderen WaWi-Systemen und alsbald sogar von Flughäfen und Kliniken.

Der erste Verdacht, es können sich um einen groß angelegten Cyberangriff handeln, bestätigte sich nicht. Es handelte sich um einen Softwarefehler bei dem Zulieferer Crowdstrike, der eine große Reichweite mit seinen Produkten hat. 

Versichert ist der Ausfallschaden nirgendwo. Möglicherweise ist Crowdstrike haftbar zu machen. Die Schadenhöhe wird es nicht rechtfertigen, das Prozesskostenrisiko einzugehen.

Es ist jedoch eine Gelegenheit zu erklären, welche Schäden eine Cyberversicherung deckt und wo sich Unterschiede in den Bedingungswerken bemerkbar machen können.

Wann greift eine Cyberversicherung?

Eine Cyberversicherung versichert IT-Sicherheitsverletzungen, also unberechtigte Zugriffe. Der Softwarefehler am vergangenen Freitag war davon weit entfernt, ein unberechtigter Zugriff gewesen zu sein.

Nehmen wir an, es wäre ein Cyberangriff gewesen. Nahezu alle Versicherer schließen in Ihren Bedingungen den Ausfall der öffentlichen Infrastruktur aus. Der Ausfall der privaten Infrastruktur einer Apotheke ist meines Wissens überall mitversichert. Voraussetzung für den Versicherungsschutz bleibt immer der unberechtigte Zugriff. Doch es gibt Zusatzklauseln, die den unberechtigten Zugriff in bestimmten Fällen abbedingen.

Kontrolle muss beim Versicherten liegen

Unserem Fall vom Freitag kommt die Klausel „Betriebsunterbrechung infolge von technischen Problemen“ am nächsten. Das klingt vielversprechend. Nach meiner Kenntnis wird Apotheken diese Klausel verwehrt. Zudem ist der Versicherungsfall nachvollziehbar eng definiert. Zum Beispiel unter anderem mit diesem Satz: „Darüber hinaus muss die Fehlfunktion von dem Teil des IT-Systems und der Stromversorgung ausgehen, welcher der alleinigen Herrschaftsgewalt eines Versicherten unterliegt oder über den der Versicherte die vollständige Kontrolle hat.“

Eine weitere Klausel, die keine IT-Sicherheitsverletzung voraussetzt, ist der „erweiterte Cyberbetrug“, mit der Fake President-Fraud versichert wird. Auch Datenschutzverletzungen sind häufig versichert, ohne dass es eine IT-Sicherheitsverletzung geben muss. Bei Betriebsunterbrechung durch einen Cyberangriff gilt zusätzlich zum Vertragsselbstbehalt stets ein zeitlicher Selbstbehalt von, je nach Vereinbarung und Anbieter, sechs bis zwölf Stunden.

Softwarefehler ist kein Versicherungsschaden

Dass ein Softwarefehler kein versicherter Cyberschaden ist, ist selbsterklärend.
Dennoch klagt der Markt der Cyberversicherer nicht über Beschäftigungslosigkeit. Laut Branchenverband Bitkom entstehen der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage jährlich Schäden von über 200 Milliarden Euro.

Einige Versicherer haben sich aus dem Markt wieder zurückgezogen, andere haben nie teilgenommen. Dritte schaffen neue Annahmerichtlinien oder neue Vertragspflichten (Obliegenheiten), um das Risiko in den Griff zu bekommen. Wer glaubt, seine Apotheke sei zu klein, um angegriffen zu werden, dem sei gesagt, dass die meisten Vorfälle aus zufälligen Angriffen resultieren.

Relevante Risiken ausgleichen

Das Fazit lautet: Nicht jedes finanzielle Risiko ist versichert. Wir wollen zudem gar nicht für jedes erdenkliche Risiko Beiträge an die Versicherer zahlen. Inhaberinnen müssen die relevanten Risiken qualifizieren und bestmöglich über die Zeit und über das Kollektiv einer Versicherung ausgleichen.

(Cyber-)versicherung ist ebenso wenig gleich (Cyber-)versicherung wie Augentropfen gleich Augentropfen sind. Ihr Versicherungsvermittler darf nicht der Vertreter eines Versicherers sein. Er muss Ihre Apotheke gegenüber den Versicherern vertreten und sowohl den Markt kennen als auch die Risiken von Apotheken verstehen.