Waren Cyber-Angriffe, die als kriegerischer Akt zu verstehen sind, wirksam vom Versicherungsschutz ausgeschlossen? Diese Frage stand im Zentrum eines Verfahrens in den USA.
2017 sorgte ein Wurm für massive Schäden. Die Schadsoftware ‚notPetya‘ überschrieb unwiderbringlich Dateien von Rechnern. Im Unterschied zu ‚normaler‘ Ransomware war nicht die Erpressung von Lösegeld Absicht, sondern eben die unwiderbringliche Zerstörung. Die Schadsoftware sollte vor allem die Ukraine treffen; doch auch Unternehmen, die Zahlungen mit dem Land oder ukrainischen Firmen abwickelten, wurden von der Schadsoftware attackiert. So zum Beispiel Beiersdorf oder der US-amerikanische Pharma-Riese Merck & Co.
Letzterer soll durch Betriebsunterbrechungen und Neubeschaffung von IT-Infrastruktur insgesamt einen Schaden von 1,4 Milliarden Dollar erlitten haben.
Der US-Konzern wandte sich an seine Versicherung: Datenverlust oder -zerstörung durch Cyber-Angriffe war eingeschlossen. Doch der Versicherer wandte ein, dass es sich bei der ‚notPetya‘-Attacke um einen kriegerischen Akt handelte. Und solche sind laut Versicherungsbedingungen nicht vom Versicherungsschutz erfasst.
2019 strengte der Pharmariese daraufhin eine Deckungsklage gegen den Versicherer ACE American an, über deren Ergebnis mehrere Medien übereinstimmend berichten. So urteile ein Gericht in New Jersey, dass Merck zu Recht davon ausgehen konnte, dass die Ausschlüsse nur für traditionelle Formen der Kriegsführung gelten würden.
Cyber-Versicherer sollen Ausschlüsse klar formulieren
Die Richter begründeten ihre Entscheidung damit, dass beiden Parteien die unterschiedlichen Formen von Cyber-Angriffen bekannt gewesen seien. Dennoch hätte der Versicherer nichts unternommen, die Formulierung seiner Versicherungsbedingungen anzupassen. Zudem hätten der Versicherer seine Kunden nicht darauf aufmerksam gemacht, dass Cyberattacken, die Teil einer kriegerischen Auseinandersetzung sind, vom Versicherungsschutz ausgeschlossen sind. Die Möglichkeit dazu hätte der Versicherer gehabt.
Aus Sicht der US-Richter mangelte es also an einer klaren Formulierung, wann eine Cyber-Attacke als ‚kriegerischer Akt‘ zu verstehen ist und dass dann nicht geleistet wird.
Mehr als ein Teilerfolg für das Pharmaunternehmen ist das Urteil allerdings nicht. Wie das Nachrichtenmagazin ‚Der Spiegel‘ in seiner Online-Ausgabe berichtet, handelt es sich um ein Zwischenurteil, das den Versicherer noch nicht zur Zahlung der Versicherungssumme verpflichtet.
‚notPetya‘ legte auch Mondelez (Hersteller u.a. von Toblerone) wochenlang lahm. Das Unternehmen prozessiert gegen seinen Cyber-Versicherer, den Zurich-Konzern. Die Schweizer argumentieren ebenfalls damit, dass es sich bei ‚notPetya‘ um einen kriegerischen Akt gehandelt habe, für den kein Versicherungsschutz besteht.
Für Jörg Wälder, CEO der auf Absicherung von Cyber-Risiken spezialisierten Cogitanda Group, stehen sowohl ‚notPetya‘ als auch ‚WannaCry‘ beispielhaft dafür, wie stark das Schadenpotenzial von Ransomware unterschätzt wurde. Versicherer hätten sich bei der Kalkulation von Tarifen nur nach historischen Daten von vor 2016 ausgerichtet. Dementsprechend seien die Policen nicht adäquat bepreist gewesen, so der Experte im Interview mit Versicherungsbote.
Dieser ‚Fehlentwicklung‘ versuchen Cyber-Versicherer gerade entgegenzuwirken und haben dafür u.a. ihre Annahmepolitik im Cyber-Bereich verschärft.
„Kriegsausschluss ist der falsche Weg“
Versicherungsbote bat auch Ole Sieverding, Geschäftsführer von CyberDirekt, um eine Einordnung des Urteils. Er begrüßte die Entscheidung des Union County Superior Courts von New Jersey für Merck. „Der Richter folgt einer engen Auslegung des Kriegsausschlusses auf physische Kriegsakte. Kompromittierungen von IT-System durch Schadprogramme, die ohne Zugriff auf staatliche (militärische) Ressourcen so auch von einer Privatperson durchgeführt werden können, wie es bei NotPetya der Fall war, sollten meines Erachtens nie als Krieg ausgelegt werden können“, so der IT-Experte gegenüber Versicherungsbote. „Dass Versicherer solche Silent-Cyber Risiken eigentlich nicht in einer Sachdeckung versichern wollen, ist nicht wirklich überraschend. Der Weg über die Ablehnung auf Grundlage des Kriegsausschlusses ist jedoch der Falsche. Das ginge nur über die sorgsame Prüfung aller aktuell vereinbarten Versicherungsbedingungen und Aufnahme eines transparenten und klar formulierten Cyberausschlusses. Gerichtlich nicht haltbare Ablehnungen von Schadenfällen schaden enorm der Vertrauenswürdigkeit der Versicherer und schaden damit der Glaubwürdigkeit der gesamten Versicherungsbranche.“