Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

20.10.2000 - 

Unzureichender Schutz für ASPs und Portale

Bei IT-Ausfällen sind spezielle Versicherungen gefragt

Bei der Versicherung von Daten- und Hardwareausfällen - etwa durch Viren, Denial-of-Service-Attacken, Hacker oder Stromausfall - herrscht in Deutschland noch Nachholbedarf. Vor allem für ASPs und Portalbetreiber haben Betriebsunterbrechungen hohe Kosten zur Folge, da sie sich gegen Schadenersatzforderungen ihrer Kunden nicht absichen können. Von Andreas Reinhardt*

Nicht nur die IT-Branche - die gesamte Wirtschaft ist von der ständigen Verfügbarkeit von Daten und IT-Ausstattung abhängig. Für die Versicherungsbranche entsteht ein neuer, lukrativer Markt: die Risiken im Bereich Internet, E-Business und E-Commerce - auch Global Electronic Data Interchange (GEDI) genannt. Während bislang nur Internet-Service-Provider über spezielle Haftpflichtkonzepte rudimentär versichert waren, sollen neue Versicherungstypen umfassenden Schutz für IT-Schäden bieten - darf man den Ankündigungen der Anbieter Glauben schenken. Die Frage ist jedoch, ob diese wirklich alle essentiellen Risiken absichern, oder ob es sich in erster Linie um Marketing-Aktionen handelt, von denen sich die Versicherer eine "schnelle Mark" versprechen.

Immense Kosten durch Haftungsansprüche DritterDadurch, dass immer mehr Bereiche eines Unternehmens auf elektronischem Weg miteinander kommunizieren, ist die Sicherheit des Datenaustauschs ein zentrales Thema. Spätestens seit dem Auftauchen des "I-love-you"-Virus hat man auch in Europa erkannt, in welchem Maße der sofortige Zugriff auf Daten, Anwendungen und Software für den wirtschaftlichen Erfolg eines Unternehmens mitentscheidend ist. Durch IT-Ausfälle können sich in kurzer Zeit hohe Kosten anhäufen. Ins Geld geht dabei nicht nur die Wiederherstellung von Daten beziehungsweise die Reparatur defekter Hard- und Software. Vor allem der Gewinnausfall kommt das betroffene Unternehmen teuer zu stehen. Eine börsennotierte Company bestraft der dadurch verursachte Imageverlust zusätzlich mit einem Kursrückgang.

Geradezu fatale Auswirkungen haben solche Schäden für Application-Service-Provider (ASP) und Portalbetreiber, da hier nicht nur der Anbieter selbst, sondern sein gesamter Kundenstamm von dem Ausfall betroffen ist. Haftungsansprüche von geschädigten Teilnehmern können die Kosten, die dem ASP sowieso schon entstehen, in ungeahnte Höhen treiben. Haftungsbegrenzungen in Form von Allgemeinen Geschäftsbedingungen (AGB) oder Individualabsprachen - sofern im internationalen Verkehr überhaupt wirksam und durchsetzbar - nützen dabei nicht viel.

Denn bei einer vereinbarten Verfügbarkeit etwa von 99,9 Prozent verbleibt für den Provider als "nicht verfügbar" nur die Zeit für Wartungsarbeiten. Plötzliche, unvorhersehbare Ausfälle lassen sich damit jedoch nicht auffangen.

Alle bisherigen Versicherungskonzepte basieren auf der Absicherung von so genannten Sachsubstanzschäden, aus denen der Betriebsunterbrechungsschaden direkt resultiert. Beispiele für versicherte Gefahren aus Sachsubstanzschäden sind Feuer, Leitungswasser, Sturm, Hagel und Blitzeinschlag sowie Diebstahl und Vandalismus. Abgedeckt ist auch die falsche Bedienung von Soft- und Hardware, wenn diese zu einem Sachsubstanzschaden führt und daraus ein Betriebsausfall entsteht. Voraussetzung ist bei allen genannten Schäden allerdings, dass die Versicherung in entsprechenden Zusatzklauseln vereinbart wurde, worauf die Versicherer und ihre Vermittler jedoch häufig keinen Wert legen. Außerdem besteht der Versicherungsschutz nur für das eigene Unternehmen und dessen direkte Zulieferer.

Werden dagegen durch die Fehlbedienung Daten verändert, ohne dass Hardware beschädigt wurde, und sind diese Daten nicht mehr verfügbar, dann handelt es sich nicht um einen Sachsubstanzschaden - der Betriebsunterbrechungsschaden ist damit nicht versichert. Gleiches gilt für Stromausfälle, da durch sie keine Sache beschädigt wird - die Wirtschaftseinheit bleibt "einfach nur" stehen. Auch Unterbrechungsrisiken, die auf Denial-of-Service-Attacken oder Angriffen durch Hacker und Viren beruhen oder sich aufgrund von Manipulationen durch Mitarbeiter ereignen, werden von den gängigen Versicherungen nicht abgedeckt. Sie gelten als "echte Vermögensschäden", da ihnen kein Sachsubstanzschaden vorausgeht. Das Problem an der Sache: Die Bedrohung durch solche Schäden ist für ein Unternehmen sehr viel wahrscheinlicher als die Gefahr von Sachsubstanzschäden. Vor allem ASPs, Portalbetreiber und andere E-Business-Anbieter haben unter den gängigen Versicherungsbestimmungen zu leiden. Denn bei ihnen kommt erschwerend hinzu, dass die bislang in Deutschland erhältlichen IT-Haftpflichtversicherungen keinen Schutz vor Haftungsansprüchen Dritter bieten.

Die Versicherungswirtschaft wittert hier zu Recht ein neues, lukratives Marktsegment. Erste Konzepte für die Versicherung von E-Business-Anbietern liegen bereits vor. Die Frage ist jedoch, ob die neuen Verträge nur Sachsubstanzschäden und daraus resultierende Betriebsausfälle versichern, die etwa den Betrieb der Website und der darüber laufenden Transaktionen betreffen - oder ob ein wirklich umfassender Versicherungsschutz für echte Vermögensschäden besteht. Und wenn ja, ob dieser Schutz nur für das eigene Unternehmen oder auch für das Application-Service-Providing und ähnliche Modelle gilt und damit die Haftungsansprüche Dritter einschließt.

Bietet eine Versicherung nun die Möglichkeit, Schäden durch Stromausfall, Viren, Hacker, Fehlbedienung oder Denial of Service abzusichern, sollte der Versicherungsnehmer die Risiken genau analysieren. Mittlerweile gibt es eine Vielzahl von Sicherheits- und IT-Beratungsfirmen, die versuchen, mit der oft einmaligen technischen Risikobeurteilung neue Kunden an Land zu ziehen.

Der Risikobericht, ein Bestandteil des Versicherungsvertrags, hat häufig bereits nach kurzer Zeit nicht mehr viel gemeinsam mit der tatsächlichen Situation: Technischer Fortschritt, Wachstum und die damit veränderten Geschäftsprozesse gelten laut Versicherungsvertrag als "gefahrerhöhende Umstände", über die der Versicherer regelmäßig in Kenntnis gesetzt werden muss: "Der Versicherungsnehmer hat jede Gefahrerhöhung, die ihm bekannt wird, dem Versicherer unverzüglich anzuzeigen, und zwar auch dann, wenn sie ohne seinen Willen eintritt." Damit wird dem Versicherungsnehmer eine ständige Beobachtungspflicht seines IT-Umfeldes aufgebürdet. Auch die Formulierung "jede Gefahrerhöhung, die ihm bekannt wird", lässt Ungutes vermuten. Aber vor allem der Begriff "unverzüglich" verdeutlicht, dass von Verträgen dieser Art in erster Linie die Versicherer profitieren. Denn versäumt es der Versicherungsnehmer, "gefahrerhöhende" Umstände - etwa einen Wechsel des Carriers oder Änderungen seiner Policies - anzuzeigen, hat er seinen Versicherungsschutz bereits verloren. Man kann sich kaum des Eindrucks erwehren, dass einige Konzepte genau auf solche Situationen ausgelegt sind.

Bisher hat es kein deutscher Versicherer gewagt, sich von dem Konzept der Sachsubstanzschäden zu lösen. Dem Versicherungsnehmer werden oftmals Pflichten auferlegt, die dem Versicherer im Schadensfall viele Möglichkeiten bieten, vom Vertrag zurückzutreten. Angesichts der Zunahme des elektronischen Datenaustauschs und neuer Internet-Geschäftsmodelle sind die deutschen Versicherer daher gefordert, alternative Lösungen zu erarbeiten.

*Andreas Reinhardt ist als Versicherungsberater in Berlin zugelassen.

Versicherungsleistungen

Stark vereinfacht lassen sich die Versicherungsleistungen in die Kategorien "kein Schutz", "eingeschränkter Schutz" und "Schutz" einteilen, bei denen wiederum zwischen Schäden im eigenen Unternehmen und Haftungsansprüchen Dritter unterschieden werden muss.

Bedeutung des Versicherungsschutzes für Schäden im eigenen Unternehmen:

Kein Schutz: Der Versicherungsschutz basiert auf den klassischen Versicherungskonzepten der Versicherbarkeit von Sachsubstanzschäden (Sachversicherung: AFB87, AERB87, AWB87, AstB87) oder auf der technischen Versicherung ABE sowie Bedingungen für die Betriebsunterbrechungsversicherung, die darauf aufbauen.

Eingeschränkter Schutz: Der Versicherungsschutz basiert auf den klassischen Versicherungskonzepten der Sachsubstanzschäden - durch Deckungserweiterungen werden aber einzelne Bausteine aus dem Bereich der echten Vermögensschäden erfasst.

Schutz: Der Versicherungsschutz basiert primär nicht auf den Sachsubstanzschäden, schließt diese aber mit ein. Alle Risiken mit Ausnahme von Vorsatz, grober Fahrlässigkeit und Verschleiß sind versichert.

Bedeutung des Versicherungsschutzes für Haftungsansprüche Dritter:

Kein Schutz: Bei den klassischen IT-Haftpflichtkonzepten besteht für ASPs und andere Anbieter, die ihre Leistungen via Internet zur Verfügung stellen, kein Versicherungsschutz, da die Versicherer solche Services bislang als zu hohes unternehmerisches Risiko einstufen.

Schutz: Der Versicherungsschutz umfasst speziell die Hauptleistungspflicht der Verfügbarkeit von Daten, Applikationen und Hardware für den Kunden.