Ob zu Hause im Heimnetzwerk oder im Firmennetzwerk im Geschäft: Cyberkriminalität ist überall anzutreffen. Studien zeigen, dass Cybervorfälle in den letzten Jahren massiv zugenommen haben und Firmen die Bedrohung immer ernster nehmen. Gleichzeitig möchten Firmen ihren Angestellten flexible Arbeitsmodelle wie Home-Office oder «byod-System» bieten, die die Digitalisierung erst ermöglichen. Doch inwieweit werden Cybervorfälle in ausserbetrieblichen Netzwerken versichert? Und was passiert mit Cyberschäden, die der Angestellte auf privaten Geräten erfährt, die aber durch Firmennetzwerke ermöglicht wurden?

Vermischt genutzte Geräte

Durch die modernen Arbeitsmodelle werden oft in technischer Hinsicht Privates mit Geschäftlichem vermischt. So werden Privat-Geräte zum Arbeiten im Geschäft genutzt (sogenanntes byod-System: «bring your own devices») oder Geschäfts-Geräte zu Hause wie beim Home-Office. Je nach Situation wird der Umstand nur zum Teil in den Cyberversicherungen berücksichtigt.

Fall 1: Geschäftsdaten werden beschädigt

In der Cyberversicherung spielt die Herkunft des Virus/ Schadprogramms keine Rolle, solange betriebliche Daten, Anwendungen oder das Unternehmensnetzwerk angegriffen bzw. beschädigt werden. Nutzen also Mitarbeiter den Geschäftslaptop im Home-Office und über das Privatnetzwerk wird z.B. ein Virus auf den Geschäftslaptop eingeschleust, besteht Deckung zur Wiederherstellung, Bereinigung, IT-Forensik etc. über die Grunddeckung der Cyberversicherung für den Betrieb. Aus dem gleichen Grund werden die gleichen Kosten im Rahmen der Grunddeckung für die betriebliche IT übernommen, wenn gemäss byod-System private Geräte im Geschäft und dessen Netzwerk genutzt werden und über diese der Cybervorfall ausgelöst wird.

Fall 2: Privatdaten werden beschädigt

Der wahre Unterschied der angebotenen Cyber-Produkte zeigt sich jedoch, wie die privaten Geräte bzw. Daten des Angestellten behandelt werden, wenn der umgekehrte Fall eintrifft (bedeutet: Im Home Office wird das Privatnetzwerk durch das Geschäftsgerät infiziert oder durch einen Cybervorfall auf das Unternehmensnetzwerk wird das private Gerät beschädigt). Zumeist werden nämlich nur Daten und Software des Unternehmens versichert, welche auf Firmen-Geräte laufen. Je nach Gesellschaft sind dadurch schon private Geräte ausgeschlossen. Bei denen, denen die Eigentumsverhältnisse der Geräte egal sind, kommt es darauf an, welche Daten auf dem befallenen (privaten) Gerät durch eine Attacke beschädigt wurden (private oder geschäftliche?).

Geschäftliche Daten sind klar – siehe Fall 1. Anders sieht es bei den privaten Daten/ Anwendungen aus: hier schliessen die Versicherer die Kostenübernahme aus, da das Gerät nicht vollumfänglich für die Firma genutzt wird. Dazu kommt, dass die Firmendaten auch nur versichert sind, wenn diese im entsprechenden Netzwerk hinterlegt werden (z.B. im Cloud-System der Firma). Speichert der Mitarbeiter aber bspw. eine Firmen-Datei auf dem Desktop ab (nicht im Unternehmensnetzwerk), so wären Wiederherstellungskosten für diese Datei nicht versichert.

Damit der Mitarbeiter nun keinen Nachteil hat, weil er seinen Laptop fürs Geschäft nutzt, sehen einige Gesellschaften in der Cyber-Haftpflicht den Mitarbeiter nur als eine externe Privatperson und somit als einen geschädigten Dritten an. Dadurch wären Kostenansprüche aufgrund der Wiederherstellung privater Daten über die Cyber-Haftpflicht versichert. Wird der Mitarbeiter jedoch (wie normalerweise üblich) als mitversicherte Person des Unternehmens angesehen, werden Kosten ausgeschlossen, da in der Haftpflicht Eigenschäden nicht versichert sind. Dieses «Haftpflicht-Verhältnis » ist ebenfalls entscheidend, wenn durch ein Geschäfts-Gerät im Home-Office ein Cybervorfall auf das Privatnetzwerk des Mitarbeiters auslöst.