Viele Unternehmen haben ihre Mitarbeiter anlässlich der Corona-Krise ins Home-Office geschickt – ein Kraftakt für die IT-Abteilungen! Die vermehrte Nutzung von Heimarbeitsplätzen und oft auch privater Geräte – womöglich innerhalb schlecht gesicherter Heimnetzwerke – birgt auch ein größeres Risiko, Hacker-Angriffen ausgesetzt zu sein. Cyber-Angriffe nehmen bereits zu. Der Stadtwerke-Monitor klärt die Frage, wie sich das Home-Office auf den Cyber-Versicherungsschutz von Unternehmen auswirkt. Zudem geben wir Tipps für die IT-Sicherheit zu Hause.
Die Digitalisierung birgt eine Vielzahl neuer Chancen – und ebenso viele Risiken. Beides hat vor dem Hintergrund der Corona-Krise eine ganz besondere Brisanz. Dank der Digitalisierung konnten Unternehmer rasch reagieren und Ihre Mitarbeiter ins Home-Office schicken. Leider witterten Cyber-Kriminelle sofort die große Chance. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet laut Pressemeldung vom 2. April bereits eine auf Corona zurückzuführende Zunahme von Cyber-Angriffen auf Unternehmen und Bürger. Überspitzt formuliert herrscht eine regelrechte Bitcoin- bzw. Goldgräberstimmung in der Ransomware-Industrie.
Home-Office dem Versicherer melden?
Vor dem geschilderten Hintergrund gehen inzwischen auch die meisten Cyber-Versicherer ganz allgemein von einem gestiegenen Risikopotential durch die Nutzung von Homeoffice-Arbeitsplätzen aus. Ob damit im Einzelfall zugleich auch eine dem Versicherer gegenüber anzeigepflichtige Gefahrerhöhung im Sinne der §§ 23 ff. VVG vorliegt und – falls ja – welche Konsequenzen das insbesondere bei unterbliebener Anzeige an den Versicherer hat, diskutieren die Markteilnehmer derzeit kontrovers. Für Unternehmer besteht die Gefahr, dass eine unterlassene Anzeige einer Gefahrerhöhung die Leistungsfreiheit des Versicherers nach § 26 VVG bedeuten könnte.
Veränderte Arbeitssituation mitteilen oder nicht mitteilen, das ist hier die Frage. Und zwar eine schwierige Frage. Die Folgen einer Gefahrerhöhung werden im Versicherungsvertragsgesetz in den Paragraphen 23 bis 27 zwar beschrieben, der Begriff der Gefahrerhöhung selbst ist dabei jedoch nicht näher geregelt. Orientiert man sich beispielsweise an einer vom Bundesgerichtshof entwickelten Formel zur Gefahrerhöhung, kommt es darauf an, ob nach Vertragsabschluss eine Änderung der gefahrerheblichen Umstände eingetreten ist, bei der
„der Versicherer, hätte er sie bei Vertragsabschluss gekannt,
das Risiko nicht oder jedenfalls nicht zu den aktuell vereinbarten Konditionen
in Deckung genommen hätte“.
Wann dies der Fall ist, hängt wiederum von unterschiedlichen, sich teilweise überlappenden Themen ab. Dazu zählen die konkrete IT-Situation und die technische Umsetzung des Home-Office ebenso wie die im Rahmen der vorvertraglichen Risikoprüfung erörterten Umstände und letztlich natürlich das jeweilige konkrete Vertragswerk.
Auf die IT kommt es an
In technischer Hinsicht ist zunächst relevant, in welchem quantitativen Maß die Arbeit im Home-Office die Möglichkeiten für Cyberangriffe gegen Versicherungsnehmer per se erhöht. Eine Frage, die sich erst einmal vollkommen unabhängig von der konkreten Umsetzung IT-technischer Sicherheitsmaßnahmen stellt. An dieser scheiden sich dann allerdings die Geister. So sehen einige Risikoträger eine anzeigepflichtige Gefahrerhöhung grundsätzlich schon dann als gegeben an, wenn Versicherte erstmalig oder zusätzliche Heimarbeitsplätze einrichten – unabhängig vom Schutzniveau der technischen Umsetzung. Im Kern ergibt sich die erhöhte Gefährdungslage dann aus dem Umstand, dass Schadsoftware über potentiell unsichere Heim-PCs häufiger und einfacher ins Unternehmensnetzwerk eingebracht werden könnte.
Im Gegensatz dazu schließen andere Versicherer eine Gefahrerhöhung aus rein technischer Sicht zumindest für solche Unternehmen weitestgehend aus, die ein Arbeiten ausschließlich über einen virtuellen Desktop beziehungsweise über einen Terminalserver ermöglichen. In diesem Fall ist die Kompromittierung des Firmennetzwerkes in der Praxis nämlich deutlich unwahrscheinlicher.
Schweigen ist Silber, Reden ist Gold
Aus rechtlicher Sicht sollte vor dem Hintergrund der hier angedeuteten, komplexen rechtlichen Themen daher frühzeitig der Dialog zwischen den Parteien gesucht werden. Insbesondere, um im Schadenfall unnötige Rechtsstreitigkeiten zu vermeiden. Um das Risiko einer Nichtanzeige einer Gefahrerhöhung und eine damit eventuell einhergehende Leistungsfreiheit des Versicherers im Cyber-Schadensfall zu vermeiden, sollte der Versicherungsnehmer im Zweifel lieber eine entsprechende Anzeige an den Versicherer abgegeben.
Wichtig: Die für den einzelnen Vertrag vorliegende Gefahrerhöhung gilt es bei der Meldung an den Versicherer hinreichend zu konkretisieren, um dem Versicherer die fristgerechte Prüfung seiner Optionen zu ermöglichen.
Mindestanforderungen an die IT-Sicherheit im Home-Office
Die Verlagerung von Arbeitsplätzen in das Home-Office sollte keinesfalls zu einer Verwässerung der IT-Sicherheit führen, sonst wird der Schaden nachher größer als die Fortführung des Betriebes an Nutzen gebracht hat. Aus unserer Sicht sollten daher mindestens folgende elementare Vorsichtsmaßnahmen getroffen werden:
- Sämtliche Heim-/Telearbeitsplätze greifen ausschließlich über gesicherte VPN-Zugänge auf das
Unternehmensnetzwerk zu. - Sämtliche zur Heim-/Telearbeit genutzten Geräte verfügen über einen aktuellen Antivirenschutz.
- Auf sämtlichen zur Heim-/Telearbeit genutzten Geräte ist ein Passwortschutz eingerichtet.
Das BSI hat hierzu weitergehende Empfehlungen veröffentlicht.
Der Beitrag entstand ohne finanzielle Gegenleistung in Zusammenarbeit mit Experten von Erichsen.