Nach Hackerangriffen und anderen Cybervorfällen rücken Manager und Vorstände der betroffenen Unternehmen ins Fadenkreuz von Anteilseignern und Aufsichtsräten. Damit werden Cyber-Schäden zunehmend auch zum Problem für die Managerhaftpflichtversicherer, warnt Marcel Armon, Geschäftsführer des Düsseldorfer Versicherungsmaklers Hendricks. Verletzen Manager ihre Pflichten, haften sie für den Schaden mit ihrem Privatvermögen. Davor schützen sie sich mit Managerhaftpflichtversicherungen, nach dem englischen Directors & Officers Liability kurz D&O genannt.
Eigentlich gibt es spezielle Cyber-Deckungen, mit denen sich Firmen gegen die Folgen von Angriffen schützen können. Doch in Deutschland haben bisher nur wenige Unternehmen diesen Schutz gekauft. Deshalb wird die D&O-Police zur Auffanglösung. So versuchen die Eigner eines Unternehmens, zumindest einen Teil des Schadens ersetzt zu bekommen.
Armon nennt ein Beispiel: Ein deutsches Unternehmen hatte seine Finanzbuchhaltung innerhalb der eigenen Gruppe in ein osteuropäisches Land ausgelagert. Über einen Angriff auf die dortige Buchhaltung bekamen Hacker Zugriff auf das Netzwerk und verschlüsselten die Computer mit Erpressungs-Software. Das Unternehmen hat keine Cyberdeckung, die für den entstandenen Schaden einspringen könnte. Jetzt versucht die Firma, Ansprüche gegen die Manager zu stellen, so Armon. Der Vorwurf: Das Management habe die ausgelagerte Finanzabteilung nicht ordnungsgemäß im IT-Sicherheitskonzept berücksichtigt und überwacht. "Jeder Cyberschaden hat das Potenzial für einen D&O-Fall", sagt er. Das Aktiengesetz legt fest, dass Unternehmen gegenüber den eigenen Managern Anspruch auf Schadenersatz haben, wenn diese ihre Geschäfte nicht mit der Sorgfalt eines ordentlichen Kaufmanns betrieben haben. Eine ähnliche Regelung gibt es für GmbH-Geschäftsführer. Im Zweifel muss der Manager selbst beweisen, dass er seiner Pflicht nachgekommen ist. Das ist im Falle von Cyber schwierig, betont Armon. Es gebe dafür nun mal kein generelles Handbuch oder standardisierte Verfahren. "Ein Managementfehler lässt sich also immer konstruieren."
In den USA nehmen die Aktionärsklagen wegen Datensicherheitsverletzungen zu
Das gilt auch für ein mittelständisches Unternehmen aus der Getränkeindustrie. Hier stand das Unternehmen für mehrere Tage still, nachdem Hacker das Lagerverwaltungsprogramm gehackt hatten. Der Schaden beträgt 1,3 Millionen Euro. Der Gesellschafter wirft dem Geschäftsführer vor, kein geeignetes Steuerungsprogramm verwendet zu haben und verlangt Schadenersatz von ihm - das heißt, von seiner D&O-Versicherung. Das Unternehmen hat ebenfalls keine Cyberdeckung.
In den USA ist die Situation etwas anders: Dort sorgen vor allem Aktionärsklagen wegen Datensicherheitsverletzungen für Schäden. Auch die Schadensummen sind deutlich höher. Nach dem Datenskandal bei der Hotelkette Marriott im vergangenen Jahr reichten Aktionäre Klage gegen den Chef, den Finanzchef und den Chefbuchhalter ein. Sie verlangen rund 500 Millionen Dollar, berichtet Armon. "Es wird spannend, wie und vor allem wann die D&O-Versicherer diesen Schaden in den USA bezahlen oder sich vergleichen wollen."
Vorbild könnte der Yahoo-Fall sein. Das US-Internetunternehmen hatte Sicherheitslücken, über die Hacker Daten von mehreren Hundert Millionen Nutzern abgreifen konnten. Auch hier klagten Aktionäre. Der Angriff hatte dem Aktienkurs des Unternehmens geschadet. Das Unternehmen und die D&O-Versicherer haben sich inzwischen mit den Klägern verglichen, sagt Armon. "Die Forderung an die D&O-Versicherer war 80 Millionen Dollar, der Vergleich endete mit 29 Millionen Dollar."
Cyberrisiken können auch normale Sach- und Haftpflichtversicherungen für Unternehmen treffen. Wenn eine Firma sich gegen eine Betriebsunterbrechung versichert hat, muss der Versicherer zahlen, egal ob ein Feuer oder ein Cyberangriff für die Unterbrechung sorgt. Das gilt jedenfalls, wenn Cyberangriffe in diesen Verträgen nicht ausdrücklich ausgeschlossen sind, dann sind sie nämlich versichert. Den Versicherern ist das zu riskant, deswegen schließen sie Cyber-Gefahren mittlerweile aus vielen Verträgen aus.
In der D&O-Versicherung wird das nicht möglich sein, glaubt Armon. "Die D&O-Sparte ist ein Auffangbecken für alle Managementfehler und macht nicht beim Thema Cyber halt." Das wissen auch die Versicherer. Sie gehen nun einen anderen Weg. "Wir sehen zunehmend D&O-Angebote der Versicherer mit dem Vorbehalt, dass der Kunde auch eine Cyberdeckung in gleicher Höhe wie die D&O-Deckungssumme hat", sagt er. "Anderenfalls ist der Versicherer nicht bereit, D&O-Versicherungsschutz zu gewähren."