Sicherheit in der Informationstechnik (IT-Sicherheit) ist ein komplexes Problemfeld. Es ist unumgänglich, alle Präventionen aufeinander abzustimmen, um eine kohärente Risikopolitik zu verwirklichen. Der Schutz vor wirtschaftlichen Folgen, das heißt der Abschluß "wasserdichter" Versicherungsverträge, ist ein wesentlicher Bestandteil der Maßnahmen zur IT-Sicherheit.

Die Versicherungsmöglichkeiten für Datenverarbeitungs- und Kommunikationssysteme sind vielfältig. Leider erscheinen die einzelnen Leistungen für einen Laien nicht sonderlich transparent. Dies führt dazu, daß gerade bei schwerwiegenden Risiken, die die Existenz eines Unternehmens ernsthaft bedrohen können, Fehler in der Auswahl oder Ausgestaltung von Versicherungsverträgen gemacht werden. Neueste Zahlen belegen dies: In Zusammenarbeit mit dem Verfasser untersuchte Waltraud Amsl im Rahmen einer Diplomarbeit an der Universität Passau das Datenmaterial der Sicherheits-Enquête 1990 der Zeitschrift für Kommunikations- und: EDV-Sicherheit KES speziell hinsichtlich des Abschlußverhaltens bei Versicherungsverträgen im IT-Bereich. Bedenkliches Ergebnis: Nicht einmal die Hälfte aller befragten IT-Benutzer ist gegen Folgeschäden bei Ausfall ihrer Systeme versichert. Am besten haben Banken und Versicherungen vorgesorgt. Industriebetriebe liegen bereits unter der 50-Prozent-Marke. Das Schlußlicht bilden Unternehmen aus den Bereichen Handel, Dienstleistungen und sonstige. Dort besitzen nicht einmal 40 Prozent der Betriebe ein ausreichendes Versicherungspaket.

Der Verfasser stellt immer wieder erstaunliche Brüche in der Durchgängigkeit von risikopolitischen Entscheidungen der Unternehmen fest, die ohne Zweifel vorwiegend daher rühren, daß technische und organisatorische Maßnahmen von anderen Entscheidungsträgern Veranlaßt werden als Versicherungsabschlüsse. So ist es durchaus üblich, im Hardwarebereich Bagatellrisiken zu versichern, die ein Unternehmen ohne Schwierigkeiten selbst tragen könnte, während in den Bereichen Software und Anwendungen, Verfügbarkeit und Abhängigkeit von IT-Systemen Risiken hingenommen werden, die auch die Ergebnisrechnung sehr potenter Unternehmen nachhaltig stören würden. Mangelnde Information dürfte die Hauptursache für derartige Fehlentscheidungen sein.

Die Produktlandschaft der Assekuranz hat sich in jüngster Zeit deutlich verändert Innovationsimpulse kamen sowohl von der staatlichen Versicherungsaufsicht als auch vom europäischen Binnenmarkt.

Das Bundesaufsichtsamt für das Versicherungswesen (BAV) in Berlin rückte von seiner Praxis ab, Versicherungsbedingungen nur der gesamten Anbieterschaft gemeinsam zu genehmigen. Der bisher übliche Ablauf war, daß ein Gremium des betreffenden Versichererverbandes (zum Beispiel Verband der Versicherer e. V.) die Allgemeinen Versicherungsbedingungen (AVB) formulierte und anschließend den Verbänden der Marktgegenseite und dem BAV zur Genehmigung vorlegte. Dieses Verfahren hatte zur Folge, daß einmal genehmigte AVBs sich sehr lange am Markt hielten. Der Bedarf der Versicherungsnehmer wurde oft nicht ausreichend befriedigt. Vorstöße innovativer Versicherer blieben häufig erfolglos, weil sie entweder in den Gremien nicht vertreten waren oder sich dort nicht durchsetzen konnten. Heute genehmigt das BAV auch einem einzelnen Anbieter spezielle AVBs. Jedes Versicherungsunternehmen ist dadurch in der Gestaltung seiner Produktpalette frei.

Als weiterer Impuls für Innovationskräfte auf dem Versicherungsmarkt wirkt der entstehende europäische Binnenmarkt. Schon heute dürfen ausländische Versicherungsgesellschaften unter bestimmten Voraussetzungen in Deutschland tätig werden. Die Möglichkeiten ausländischer Assekuranzunternehmen auf dem deutschen Versicherungsmarkt werden stufenweise ausgedehnt.

Hier nun drei Beispiele:

Versicherungsdeckung von Backup-Kosten

Backup-Verträge stellen für die Versicherungsdeckung ein Problem dar, denn die Versicherungsbedingungen aller tangierten Vertragsformen wurden zu einer Zeit formuliert, als es noch keinen Backup-Anbieter gab und Überwiegend Batch-Verarbeitung praktiziert wurde. Die Feuer-Betriebsunterbrechungsversicherung (FBU), die laut KES-Enquête 27 Prozent der Unternehmen abgeschlossen haben, kommt nicht unbedingt für die mitunter sehr kostspielige Notfall-Nutzungsgebühr auf. Aus einer FBU-Versicherung erhält der Versicherungsnehmer den Gegenwert von entgangenem Gewinn und fortlaufenden (nicht einsparbaren) Kosten, die infolge eines Schadensfalles nicht verwirtschaftet werden konnten.

Ersatzweise werden sogenannte, Schadenminderungskosten bezahlt. Nicht in jedem Fall sind die Backup-Kosten jedoch erstattungsfähig. Weist der Versicherer nach, daß auf eine andere Weise durch Interimsmaßnahmen geringere Kosten entstanden wären oder daß der entgangene Gewinn und die fortlaufenden Kosten niedriger gewesen wären, als die Notfall-Nutzungsgebühr, so braucht er die höheren Kosten nicht zu erstatten. Nicht in Geld meßbare Schäden wie Kundenabwanderung, Rufschädigung etc. dürfen laut den Versicherungsbedingungen unberücksichtigt bleiben. Besonders augenfällig wird dieses Beispiel dann, wenn durch eine IT-Anwendung nicht direkt Gewinn erzielt wird.

Fällt etwa ein Entwicklungs-Rechenzentrum aus, so wirkt sich dieser Ausfall überhaupt nicht unmittelbar auf den Betriebsertrag aus. Da der sogenannte Bewertungszeitraum, also der Zeitabschnitt, innerhalb dessen die Berechnung der Versicherungsentschädigung erfolgt, nur zwölf Monate beträgt, bleiben selbst in Geld meßbare Einbußen unberücksichtigt.

Das Problem kann nun dadurch gelöst werden, daß mehrere namhafte Versicherungsgesellschaften, die im Bereich der Elektronikversicherung aktiv sind, besondere Vertragsvereinbarungen in der Elektronik-Mehrkostenversicherung akzeptieren. Zu diesen Versicherern zählen zum Beispiel die Unternehmen Elektra, Tela und Württembergische Feuer. Die Mehrkostenversicherung, die ursprünglich lediglich für den Unterbrechungszeitraum von Rechnern aufkam, läßt sich auf das RZ-Gebäude und die IT-Infrastruktur ausdehnen.

Auf diese Weise werden Backup-Kosten im K-Fall voll ersatzpflichtig. Es empfiehlt sich, spezielle Vertragsregelungen zu schaffen, damit der Einwand der Schadenminderungspflicht nicht erhoben werden kann.

Versicherung von Folgeschäden aus Softwarefehlern

Fehler in der System- oder Anwendungssoftware sind unvermeidlich. Im Normalfall führt ein Bug allenfalls zu Systemabstürzen. Es ist aber auch denkbar, daß Folgen in Betriebsabläufen entstehen, die ernsthafte Störungen des Material-, Waren- oder Geldflusses darstellen. Als typisches Beispiel gilt das Produktionsband einer Automobilfabrik, das plötzlich pinkfarbene Fahrzeuge mit lila Dach ausstößt. Weit schlimmer wäre die Herstellung von medizinischen Apparaturen, die aufgrund unzulänglicher Funktionsfähigkeit das Leben von Menschen gefährden.

Kommen solche Geräte in den Handel und führen tatsächlich zu Folgen, so ist dies ein Risiko aus dem Bereich der Produkthaftung. Hierfür kann bei den meisten Sachversicherern eine Produkt-Haftpflichtversicherung abgeschlossen werden. Wird der Fehler früher erkannt und müssen die Autos oder Geräte ausgemustert werden, so entsteht ein finanzieller Schaden, der über eine Haftpflichtversicherung nicht abgedeckt ist. Für solche Fälle bietet der Haftpflichtverband der Deutschen Industrie (nach Kenntnisstand des Verfassers als bisher einziger Anbieter) eine Spezialversicherung an.

Versicherung von Schäden durch Datenverlust

Die herkömmliche Datenträgerversicherung als Anhängsel der Elektronikversicherung weist ein erhebliches Manko auf: Die Ersatzpflicht des Versicherers wird ausschließlich durch einen Sachschaden am Datenträger begründet. Entwendung steht dem Sachschaden gleich. Nun gibt es aber viel häufiger Datenverluste, die logische Ursachen haben, als solche durch Physische Beeinträchtigungen. Der größere Bereich konnte bisher nicht versicherungsmäßig abgefangen werden. Nun haben zwei Anbieter jeweils ein neues Versicherungsprodukt entwickelt.

Die Tela Versicherung hat als Ausweitung der Datenträgerversicherung eine sogenannte Softwareversicherung kreiert. Vertragsgrundlage sind die Versicherungsbedingungen der Elektronikversicherung (AVFE 76) sowie eine besondere Vereinbarung Nr.9318. Versicherte Schäden und Gefahren sind in drei Gruppen eingeteilt:

a) Gefahren, die in der herkömmlichen Datenträgerversicherung versichert sind (Voraussetzung: Sachschaden an dem Datenträger oder Entwendung).

b) Verlust oder Veränderung von Daten, die durch

- elektrostatische Aufladung, elektromagnetische Störung,

- höhere Gewalt (einschließlich Blitzeinwirkung),

- Störung, Ausfall oder Beschädigung der Datenverarbeitungsanlage, der Datenfernübertragungseinrichtungen und -Leitungen, der Stromversorgung oder der Klimaanlage sowie durch Stromausfall, Über- und Unterspannung entstehen.

c) Verlust oder Veränderung von Daten, die aus

- fehlerhafter Bedienung (einschließlich falschem Programmeinsatz),

- Vorsatz Dritter, Sabotage, Böswilligkeit (einschließlich Programm- und Datenmanipulationen) resultieren.

Für c) ist die Entschädigung auf 25 Prozent der im Versicherungsschein je Position bezeichneten Versicherungssumme begrenzt. Insgesamt werden für c) nicht mehr als eine Million Mark erstattet. Die 25 Prozent Regelung führt in den Bereichen a) und b) zwangsläufig zu einer erheblichen Überversicherung, da der maximal mögliche Schaden von a) bis c) gleich hoch ist. Aus Benutzersicht entbehrt die Regelung einer gewissen Logik. Mindestens wöchentliche Datensicherung ist Voraussetzung für den Erhalt des Versicherungsschutzes. Für weitergehende Datensicherungsmaßnahmen gibt die Tela gestaffelte Rabatte.

Die Tela ersetzt die erforderlichen und angefallenen Aufwendungen für:

- die maschinelle Wiedereingabe der Stamm- und Bewegungsdaten aus Sicherungsdatenträgern, höchstens bis zur manuellen Wiedereingabe der Daten aus Urbelegen oder damit vergleichbaren Unterlagen,

- die Wiederbeschaffung der System-Programmdaten,

- die Wiederbeschaffung der Standard-Programmdaten,

- die maschinelle Wiedereingabe der Anwender-Programmdaten aus Sicherungsdatenträgern höchstens für die maschinelle und manuelle Wiedereingabe aus dem Ursprungsprogramm bis zum ablauffähigen Zustand,

- die Wiederbeschaffung der Datenträger.

Nicht versichert sind Daten, die innerhalb des Arbeitsspeichers der Zentraleinheit gespeichert sind, Daten aus noch nicht abgeschlossenen Datenverarbeitungsprozessen oder noch nicht betriebsfertigen Programmen sowie Daten aus nicht autorisierten Programmen. Diese Einschränkung greift zwei zentrale Probleme logischer Schäden auf:

1. die Flüchtigkeit des RAM-Speicherinhalts,

2. den häufigen Virus-Befall von Raubkopien.

Während 1. hingenommen werden kann, ist 2. insbesondere für größere Unternehmen problematisch. Ohne den Einsatz spezieller Security-Software läßt sich in einer größeren Organisationseinheit niemals sicherstellen, daß keine Raubkopien eingeschleust werden. Bekanntlich sind "Programmsammler" und "Computer-Begeisterte" kaum davon abzuhalten, illegal kopierte Software zu speichern.

Datenversicherung wird zur Virenversicherung

Die Albingia Versicherung wirbt für eine sogenannte Datenversicherung. Pate für die neuen Versicherungsbedingungen stand die Vertrauensschaden- und Computermißbrauchversicherung. Voraussetzung für den Abschluß der Datenversicherung ist eine konventionelle Datenträgerversicherung. Aus rechtlichen oder technischen Gründen ist die Notwendigkeit dieser Koppelung nicht erkennbar, da die beiden Deckungsbereiche streng abgrenzbar sind. Nach den Grundbedingungen (ABDV) ist der Versicherungsschutz der Datenversicherung auf Insider bezogen. Durch Vereinbarung der Klausel 2 (Erweiterung des Personenkreises) werden auch Schäden ersatzpflichtig, die Personen verursachen, mit denen zum Zeitpunkt des Versicherungsfalles kein Arbeitsvertrag bestand. Durch diese Klausel 2 wird die Datenversicherung zur Hacker- und Virenversicherung.

Voraussetzung für eine Entschädigungsleistung ist bei Programmen eine den gesetzlichen Bestimmungen entsprechende Dokumentation der Programme, die einem sachverständigen Dritten eine leichte Einarbeitung in die Problematik ermöglicht (Einhaltung der "Grundsätze ordnungsgemäßer Buchführung [GoB] und Grundsätze ordnungsgemäßer Speicherung [GoS]). Versicherungsnehmern wird deshalb die Lektüre des "Schuppenhauer" empfohlen, einem guten Standardwerk zu diesem Thema.

Für Programme ersetzt der Versicherer die "Überspielkosten" (Originaltext ABDV), maximal die Wiederbeschaffungskosten beziehungsweise bei Selbstprogrammierung die Erstellungskosten. Eine einschränkende Regelung, daß ersatzfähige Daten-Rekonstruktionsmaßnahmen im Schadenfall nur bis zu einem möglicherweise nicht vorhandenen Urbeleg zurückgehen, ist in den ABDV nicht enthalten. Ebenso findet sich keine Einschränkung bezüglich Raubkopien. Dafür gibt es eine andere Lücke, die über die herkömmliche Datenträgerversicherung nur recht schwer zu füllen ist: Der Verlust oder die Veränderung von Daten durch elektrostatische Aufladung, elektromagnetische Störungen, Störungen, Ausfall oder Beschädigung der DV-Systeme, der DFÜ-Einrichtungen und -leitungen, der Stromversorgung oder der Klimatisierung, Stromausfall, Über- und Unterspannung ist nicht versichert.

Die Versicherungssumme ist bisher offiziell auf 100 000 Mark begrenzt. Dadurch kommt das Albingia-Produkt vorwiegend für Mikro- und Minicomputer-Anwendungen in Betracht. Weshalb sich der Anbieter dem am stärksten gefährdeten Marktsegment zuwendet, während er die besser geschätzten Großrechner durch die niedrige Versicherungssumme ausgrenzt, muß noch untersucht werden.