„Ich sehe das Risiko, dass Cyberangriffe drohen“, warnt Bundesverkehrsminister Volker Wissing angesichts des Krieges in der Ukraine. Das weckt Erinnerungen an ‚notPetya‘ und eine schwelende Frage, die Cyberversicherer umtreibt.
Der Bundesminister für Verkehr und digitale Infrastruktur Volker Wissing (FDP) warnte im Interview mit ‚Welt am Sonntag‘ vor drohenden Cyberangriffen. „Deswegen sind wir mit allen relevanten Stellen in Deutschland in Kontakt, um insbesondere die Betreiber kritischer Infrastruktur zu begleiten und vorzubereiten, falls es zu entsprechenden Cyberangriffen kommt“, so Wissing. Hinweise auf bevorstehende Cyberangriffe würde es zwar nicht geben - aber mit Cyberangriffen sei mit „hoher Wahrscheinlichkeit zu rechnen“, so der Minister.
Das weckt Erinnerungen an 2017. Damals sorgte die Schadsoftware ‚notPetya‘ für massive Schäden. Vor allem ukrainische Unternehmen sollten davon getroffen werden. Doch die Attacken richteten sich auch gegen Unternehmen, die Zahlungen mit dem ukrainischen Staat oder Unternehmen abwickelten. So zum Beispiel Beiersdorf oder der US-amerikanische Pharma-Riese Merck & Co.
Der US-Pharma-Riese erlitt durch Betriebsunterbrechung und Neubeschaffung der IT-Infrastruktur einen Schaden von etwa 1,4 Milliarden Dollar. Doch der Versicherer verweigerte die Kostenübernahme und berief sich darauf, dass es sich bei der ‚notPetya‘-Attacke um einen kriegerischen Akt gehandelt habe. Die darauffolgende Deckungsklage wurde erst zu Beginn diesen Jahres gerichtlich entschieden (Versicherungsbote berichtete). Aus Sicht der US-Richter hätte der Versicherer den Ausschluss kriegerischer Akte genauer formulieren und von anderen Formen eines Cyber-Angriffs deutlich abgrenzen müssen.
Gegenüber Versicherungsbote begrüßte Ole Sieverding, Geschäftsführer von CyberDirekt, das Urteil: „Der Richter folgt einer engen Auslegung des Kriegsausschlusses auf physische Kriegsakte. Kompromittierungen von IT-System durch Schadprogramme, die ohne Zugriff auf staatliche (militärische) Ressourcen so auch von einer Privatperson durchgeführt werden können, wie es bei notPetya der Fall war, sollten meines Erachtens nie als Krieg ausgelegt werden können.“
Die Ablehnung von Versicherungsschutz auf Grundlage des Kriegsausschlusses sei der falsche Weg, so Sieverding. „Das ginge nur über die sorgsame Prüfung aller aktuell vereinbarten Versicherungsbedingungen und Aufnahme eines transparenten und klar formulierten Cyberausschlusses. Gerichtlich nicht haltbare Ablehnungen von Schadenfällen schaden enorm der Vertrauenswürdigkeit der Versicherer und schaden damit der Glaubwürdigkeit der gesamten Versicherungsbranche.“
Tatsächlich hat die Versicherungsbranche das Problem erkannt und in internationalen Arbeitsgruppen wie der Geneva Association oder der London Market Association werden spezifische Cyber-Kriegsausschlüsse formuliert. Daran beteiligt sich Munich Re und hoffte, bis 2021 einen entsprechenden Marktstandard etablieren zu können.
Das ist zumindest für den deutschen Markt ausgeblieben. Laut Cyber-Musterbedingungen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) bedeutet Krieg: „Krieg, Invasion, Bürgerkrieg, Aufstand, Revolution, Aufruhr, militärische oder andere Form der Machtergreifung.“
Wesentlich weiter in Sachen Cyber-Kriegs-Ausschlüsse sind die Briten. Die Lloyd's Market Association veröffentlichte im November 2021 vier Muster-Klauseln, die „alle durch Krieg verursachten Kosten“ ausschließen.