3 Cyber-Risiken

3.1 Definition und Abgrenzung

Der Begriff Cyber-Risiken ist bisher weder versicherungstechnisch noch im Risikomanagement eindeutig definiert und in aktuellen Diskussionen werden verschiedene Begriffe teils synonym verwendet. Zudem verändern sich in dem dynamischen Umfeld die unter Cyber-Risiken verstandenen Risiken ständig. Die vorausgegangene Erläuterung der Begrifflichkeit Risiko soll hier als Basis dienen und um den Begriff ‚Cyber’ erweitert werden.

Aus dem griechischen Wort Steuermannskunst leitet sich das Präfix Cyber ab und wurde bereits 1948 von Norbert Wiener als „Kybernetik“ (englisch: „cybernetics“) auf die Regelungs- und Steuertechnik bezogen. Laut Duden beschreibt „Cyber-“ ein Wortbildungselement mit der Bedeutung „die von Computern erzeugte virtuelle Scheinwelt betreffend“[33] und beschreibt ebenfalls die wissenschaftliche Forschungseinrichtung, die Systeme verschiedenster Art (z.B. biologische, technische oder soziologische Systeme) auf selbsttätige Regelungs- und Steuermechanismen hin untersucht. Laut Oxford Dictionary steht Cyber für alle in Verbindung mit, oder charakterisierend für, die Kultur von Computern, Informationstechnologie und der virtuellen Realität.[34] Als Definition für den Begriff Cyber-Space führt das Bundesministerium des Inneren (BMI) den „virtuellen Raum aller auf Datenebene vernetzten IT-Systeme im globalen Maßstab, [...] dem als universelles und öffentlich zugängliches Verbindungs- und Transportnetz das Internet zugrunde liegt, welcher durch beliebige andere Datennetze ergänzt und erweitert werden kann“.[35]

Es kann festgehalten werden, dass das Präfix Cyber im Zusammenhang mit physischer und virtueller Informations- und Datentechnologie sowie deren Vernetzung und Verarbeitung universell verwendet wird.

Häufig mit der Begrifflichkeit Cyber-Risiken in Verbindung stehende Begriffe sollen nachfolgend abgegrenzt werden. Der vom BMI angestrebte Zustand der IT-Sicherheitslage wird als Cyber-Sicherheit und Cyber-Raum-Sicherheit betitelt und beschreibt die auf ein tragbares Maß reduzierten Risiken. Dabei wird zwischen globaler, nationaler sowie militärischer und ziviler Cyber-Sicherheit unterschieden. Die zivile Sicherheit „betrachtet die Menge der zivil genutzten IT-Systeme des deutschen Cyber-Raums“[36]. In Anbetracht der fehlenden, nationalen Grenzen im Internet und der weltweiten Vernetzung ist eine nationale bzw. regionale Trennung technisch kaum möglich und inhaltlich wenig sinnvoll. Hinsichtlich einer Definition für das Risikomanagement ist eine inhaltliche Trennung zwischen zivilen und militärischen Bereichen durchaus hilfreich. Als die Gesamtheit aller Maßnahmen zur Sicherung der Cyber-Umwelt und der Güter einer Organisation, die in Verbindung mit der Cyber-Umwelt stehen, definiert die Internationale Fernmeldeunion die Cyber-Sicherheit. Dabei sind mangelnde Verfügbarkeit, Integrität, Vertraulichkeit und Zurechenbarkeit die Risiken, die Cyber-Sicherheit gefährden können.[37] Diese als Schutzziele einschlägigen Begriffe werden später näher erläutert. Cebula und Young definieren operative Cyber-Sicherheits-Risiken als operative Risiken für Informations- und Technologiegüter in Bezug auf die zuvor genannten Schutzziele.[38] „Die Möglichkeit eines nicht gewollten Vorfalls, der in der Schädigung eines technischen Systems, eines Individuums oder einer Organisation liegt“[39] definiert das BMI als Cyber-Bedrohungen. „Angriffe, die im Cyber-Raum durch Tools, Dienste oder Anwendungen durchgeführt werden (dabei kann der Cyber-Raum sowohl Ausgangspunkt, Ziel oder der Ort des Angriffs sein)“[40], sind als Cyber-Angriffe definiert.

Häufig aufkommende Begriffe im Zusammenhang mit Cyber-Risiken sind klassisch die Begriffe Informationssicherheit sowie die IT-Sicherheit. Die bereits angesprochenen Schutzziele sollen im Rahmen der Informationssicherheit von informationsverarbeitenden und -lagernden Systemen sichergestellt werden. Nicht-digital gespeicherte oder verarbeitete Daten und Informationen werden hier ebenso einbegriffen. Hier bietet der Begriff Cyber-Sicherheit eine weit griffigere Definition und soll anstelle von Informationssicherheit verwendet werden. Auf den bereits weiter oben vorgestellten Begriff Informationstechnologie (IT) soll hier nicht weiter eingegangen werden, jedoch findet dieser seinen Platz in einer einfachen Definition für Cyber-Risiken von Innerhofer-Oberperfler. Cyber-Risiken sind demnach alle finanziellen Auswirkungen von IT-Risiken für die Gewinn- und Verlustrechnung bzw. Bilanz von Unternehmen.[41] Dabei sind IT-Risiken erneut die Verletzung der Schutzziele.

Eine mögliche Definition im Rahmen von Risikomanagement-Betrachtungen für Cyber-Risiken kann also folgende Definition formuliert und für die folgende Arbeit verwendet werden:

Cyber-Risiken sind Vermögensschäden, die aus der Nutzung von Daten und IT – mit besonderem Blick auf deren Nutzung – bei Verletzung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Zurechenbarkeit entstehen.

Zudem werden im Zusammenhang mit Cyber-Risiken weitere, teilweise auf Teilbereiche beschränkte Begriffe erwähnt. E-Risk zielt beispielweise auf die Risiken der elektronischen Verarbeitung ab und ist dahingehend ungenau, da IT nicht nur die Hardware, also Elektronik beinhaltet. Cyber-Kriminalität, E-Crime oder Computerkriminalität begrenzen die Cyber-Risiken auf kriminelle Handlungen, die jedoch nicht nur für Cyber-Risiken Ursache sind. Datenschutz- bzw. Datensicherheitsrisiken beschränken sich beispielsweise auf reine Aspekte der Datenrechtsverstöße. Cyber-Risiken sind also eine weit umfangreichere Palette von Risiken, die berücksichtigt werden müssen.

Wie später noch beschrieben wird, werden Cyber-Risiken in der Versicherungsbranche häufig nach ihren Auswirkungen unterschieden. Dabei werden direkte oder indirekte Folgen für das Unternehmen selbst (Eigenschäden) und Folgen bei Dritten, für die das Unternehmen gegebenenfalls haftet oder Ansprüche abwehren muss (Drittschäden), unterschieden.[42]

3.2 Rechtliche Umwelt

Die rechtliche Umwelt in Bezug auf IT und Datenschutz ist für die Beurteilung von Cyber-Risiken von hoher Bedeutung. Ein wesentliches Merkmal dieser ist das dynamische Umfeld und die ungefestigte Rechtslage. Diverse Sachverhalte der IT und insbesondere Haftungsproblematiken sind (noch) nicht abschließend durch beispielsweise richterliche Entscheidungen geklärt.[43]

In Deutschland umfasst das IT-Recht unterschiedliche Rechtsquellen. Das Bundesdatenschutzgesetz (BDSG) ist eine wesentliche Quelle, die den Schutz von personenbezogenen Daten vorgibt und deren Verarbeitung und Speicherung reguliert.[44] Daneben ergeben sich auch aus weiteren Rechtsquellen Bezüge zum IT-Recht. Unzureichendes Risikomanagement der IT- bzw. Cyber-Risiken und ungenügende Prüfung des Einkaufs von entsprechendem Versicherungsschutz kann eine Haftung der Geschäftsführenden Organe erzeugen.[45]

In Zukunft wird es neben dem BDSG in Bezug auf Datenschutzverletzungen neue Gesetze geben, die einen hohen Einfluss auf das Risikomanagement von Cyber-Risiken und auch Versicherungsprodukte für Cyber-Risiken haben werden. Erst kürzlich einigten sich die EU-Staaten auf eine neue Datenschutz-Grundversorgung, welche die seit 1995 bestehende und noch gültige Datenschutzrichtlinie ablösen wird. Diese soll umfangreiche Datenschutzvorgaben enthalten, aber auch den freien Datenverkehr innerhalb der EU ermöglichen und vereinfachen.[46] Für das Risikomanagement wird insbesondere die Stärke des Datenschutzes interessant, auch, ob analog zu den USA weitreichende Benachrichtigungsvorschriften im Falle eines Verlustes von personenbezogenen Daten vorgeschrieben werden.[47] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zielt ebenfalls mit einer Initiative für verbindliche Sicherheitsstandards auf eine generelle Meldepflicht für bestimmte als kritisch eingestufte Branchen ab.[48] Solch eine Meldepflicht gibt es bereits seit 2002 auf Länderebene in den USA. Diese regelt die Benachrichtigungspflichten für Unternehmen von Betroffenen bei Datenschutzvorfällen.

Insgesamt ist es für das Risikomanagement schwierig, einen Rechtsrahmen abzugrenzen, da die globale Vernetzung nicht an nationalen Grenzen Halt macht und Risiken selten regional oder national begrenzt sind.[49]

Zudem besteht für jedes Unternehmen, das eine Website betreibt oder am Internetverkehr anderweitig teilnimmt, das Risiko, vor amerikanischen Gerichten verklagt zu werden und damit einhergehend den rechtlichen Besonderheiten wie Strafhöhen und der klagefreundlichen Umwelt ausgesetzt zu sein.

Die geschilderten Umstände bilden einen diffusen rechtlichen Kontext und machen es für das Risikomanagement schwierig, diese unstetige rechtliche Umwelt zu beurteilen und vorherzusagen. Es muss daher dauerhaft kritisch hinterfragt werden, ob und wie richterliche und gesetzgeberische Entscheidungen Einfluss auf das Risikomanagement -...