Versicherungsfall bei der IT-Haftpflicht: Das „Wann“ ist ganz entscheidend!

Frage eines Interessenten zum Thema IT-Haftpflichtversicherung: „Angenommen, unser Unternehmen schließt eine IT-Haftpflichtversicherung ab. Und dann ergibt sich auf einmal ein Schaden aus einem Projekt, das wir schon vor einem halben Jahr abgeschlossen haben – ein Programmierfehler, die falsche Hardware, irgend so etwas. Ist das dann auch gedeckt?“

Die Antwort: Es kommt darauf an. Am besten erklärt man es an einem Beispiel:

  • Nehmen wir an, Ihr Versicherungsschutz beginnt laut Vertrag am 1. Juni.
  • Bereits am 5. April  wurde beim Kunden eine mit mangelnder Sorgfalt erstellte Software installiert. Ein Fehler im Quellcode wartet darauf, Unheil anzurichten. (Der Fehler darf bei Abschluss des Versicherungsvertrags aber noch nicht bekannt gewesen sein!)
  • Am 13. Juli ist es dann soweit – das Problem wird virulent, die Datenbank des Kunden havariert, seine Produktion stockt.
  • Am 2. August erreicht sie das Einschreiben mit der Schadenersatzforderung.

Ist dieser Schaden durch Ihre IT-Haftpflicht gedeckt? Das hängt davon ab, welches von drei möglichen, branchenüblichen Prinzipien für die Definition des Versicherungsfalls bei Ihrer Police gilt:

  • Das Verstoßprinzip: Entscheidend ist der Zeitpunkt, zu dem die Pflichtverletzung passierte, die zur Haftpflicht führt.  In unserem Fall ist das im April, also vor Versicherungsbeginn, deshalb haben Sie mit dem Verstoßprinzip Pech.
  • Das Schadensereignisprinzip: Hier ist der Zeitpunkt des Schadens ausschlaggebend. Das war bei uns im Juli, im Folgemonat des Versicherungsbeginns. Hier haben Sie also Glück, die Ansprüche sind versichert.
  • Das Claims-made-Prinzip macht das Datum zum Stichtag, an dem die Schäden geltend gemacht werden, bei uns der  2. August. Auch in diesem Fall sind Sie geschützt.

Wenn der Softwarefehler allerdings beim Abschluss der Versicherung schon bekannt war, dann ist es so gut wie unmöglich, dafür eine Deckung zu erhalten – egal, wie der Versicherungsfall bei Ihrem Vertrag definiert ist.

Und daran sieht man, weshalb es wichtig ist, einen fachkundigen Versicherungsmakler zu haben. Denn der kann Ihnen sagen, welchen Schutz eine bestimmte Police Ihnen tatsächlich bietet.

 

Das schmutzige kleine Geheimnis der Cyber-Security

„Here’s the dirty little secret of cyber security, though: nothing is 100 per cent secure.“

„Hier ist das schmutzige kleine Geheimnis der Cyber-Sicherheit: Nichts ist zu 100 Prozent sicher.“ Das ist die zentrale Aussage in einem Beitrag der britischen IT-News-Website The Register.

Eigentlich will der Artikel erklären, dass ein Viren- und Malware-Scanner zwar unverzichtbar ist, aber keineswegs ausreicht, um die Rechner im Firmennetzwerk gegen Angriffe zu sichern. Man braucht vielmehr „layered security“, d.h. mehrere Schichten von Sicherheitsmaßnahmen. Es geht darum, weitere Löcher stopfen, durch Zugangsfilter für zwielichtige Websites, durch Viren- und Spamfilter auf dem Mailserver und durch pflichtbewusstes Installieren von  Updates und Patches.

Das ist alles richtig. Ansonsten ist der Artikel sicher nicht der beste Ratgeber zur Cyber-Security, den es je gab. Von Firewalls und mobilen Datenträgern zum Beispiel spricht er  gar nicht erst. Und das Konzept der „layered security“ ist ja nicht gerade neu. ABER: Der Satz oben ist entscheidend. Es gibt keine hundertprozentige IT-Sicherheit.

Ich füge hinzu: Dafür gibt es Cyber-Versicherungen. Denn das ist eine Sicherheitsmaßnahme, die auch der hinterhältigste Hacker der Welt nicht löschen, deaktivieren, zum Absturz bringen oder überschreiben kann.