Der Krieg zwischen Russland und der Ukraine wird auch im Cyberspace ausgetragen. Werden sich Cyberversicherer verstärkt auf Kriegsausschluss-Klauseln berufen, um eine Leistungspflicht zu verneinen? Das könnte aus Sicht von Dr. Marcel Straub (Finlex) schwierig werden.
Der Angriff Russlands auf die Ukraine hat – neben der humanitären Katastrophe – auch Auswirkungen auf die Versicherungsbranche. Die Kämpfe finden nicht nur in den Städten der Ukraine statt, sondern Russland führt gleichzeitig einen Cyberkrieg, in welchem Hacker kritische Infrastruktur, Informationstechnologien, Regierungsinstitutionen oder Ministeriumswebseiten der Ukraine gezielt angreifen und lahmlegen wollen. Auch westliche Einrichtungen und Unternehmen wurden im Rahmen des Konflikts bereits Opfer von russischen Cyberangriffen. Konnten sich die angegriffenen Unternehmen in der Vergangenheit bei der Bewältigung des Schadens durch den Cyberangriff noch auf ihre Cyber-Versicherung verlassen, ist zukünftig damit zu rechnen, dass sich Cyberversicherer auf den sog. Kriegsausschluss berufen werden und eine Leistungspflicht verneinen. Dies mag auf den ersten Blick zwar nachvollziehbar sein, kann auf den zweiten Blick aber nicht überzeugen.
Kriegsausschlussklausel
Ukrainekrieg
Im Ukrainekrieg ist die Ausgangslage jedoch eine andere und es ist zu erwarten, dass sich Cyberversicherer vermehrt auf eine Leistungsfreiheit aufgrund des Kriegsausschlusses berufen werden. Es handelt sich vorliegend um einen hybriden Krieg, in dem der Cyberkrieg den physischen Kriegshandlungen beigemischt wird. „Vereinzelte Versicherer haben bereits angekündigt, dass sie die Kriegsausschlussklausel im Zusammenhang mit dem Ukrainekrieg grundsätzlich für anwendbar halten. Ein Angriff russischer Hacker auf deutsche Unternehmen wäre bei einer solchen Auslegung nicht versichert“, so Dennis Wrana, Product Manager Cyber bei Finlex.
Versicherungsvertragliche Einschätzung
Die Ansicht der Versicherer kann jedoch nicht überzeugen. Zum einen fehlt es bei den Angriffen an dem Merkmal der Zwischenstaatlichkeit, welches für die Bejahung eines Kriegs im Sinne der Kriegsausschlussklausel grundsätzlich notwendig ist. Insbesondere wenn der Cyberangriff von nicht-staatlichen Hackergruppen ausgeht, liegt keine zielgerichtete Handlung eines angreifenden Staates vor, und somit kein Krieg im Sinne der Definition. Zum anderen befindet sich Russland „lediglich“ mit der Ukraine im Krieg und nicht mit anderen Ländern. Selbst wenn ein Cyberangriff auf ein deutsches Unternehmen staatlich gelenkt sein sollte, so fehlt es weiterhin an einer offiziellen Kriegshandlung. Dr. Marcel Straub kommt daher zu dem Schluss: „Solange sich Deutschland nicht im Krieg mit Russland befindet, ist die klassische Kriegsausschlussklausel daher nicht einschlägig. Darüber hinaus muss der Versicherer den Nachweis führen, dass es sich bei dem Cyberangriff um einen staatlich gelenkten Angriff handelt, wenn er sich auf den Leistungsausschluss berufen möchte. Der Nachweis wird dem Versicherer aber nur schwerlich gelingen, denn Hacker geben in der Regel nicht Preis, dass sie für eine Regierung handeln.“
Lösegeldzahlungen bei Ransomware-Angriffen
„Darüber hinaus ist es zumeist unmöglich, den tatsächlichen Ursprung des Angriffs zu lokalisieren. Die Möglichkeiten der technischen Verschleierung der Hacker wurden perfektioniert und in der Regel laufen diesbezügliche forensischen Untersuchungen ins Leere“, ergänzt Dennis Wrana.
Lösegeldzahlungen bei Ransomware-Angriffen
Handelt es sich bei den Erpressern um russische Hackergruppen ist jedoch zu erwarten, dass Versicherer keine Zahlungen leisten werden. Vor der Zahlung eines Lösegeldes führen die Versicherer einen Sanktions- und Compliance-Check durch. Dieser hat unter anderem zum Inhalt, dass geprüft wird, ob die Angreifer auf einer Sanktionsliste stehen und somit keine Zahlungen an diese geleistet werden dürfen. Denn anderenfalls droht dem Versicherer und dem Unternehmen die Gefahr, selbst auf eine Sanktionsliste gesetzt zu werden. Aufgrund der umfassenden Sanktionen gegen Russland sind Lösegeldzahlungen an russische Hackergruppen in der Regel sanktionsbewährt und werden von Versicherern daher ggf. nicht mehr übernommen.
Fazit
Das Fazit von Dr. Straub und Dennis Wrana: „Cyberattacken russischer Hacker gegen deutsche Unternehmen sind nach unserer Einschätzung weiterhin versichert. Die klassische Kriegsausschlussklausel ist nicht einschlägig, da es an dem Merkmal der Zwischenstaatlichkeit fehlt und sich Russland nicht im Krieg mit Deutschland befindet. Zudem ist der Versicherer dafür beweisbelastet, dass es sich bei dem Cyberangriff um einen staatlich gelenkten Angriff handelt. Die angegriffenen Unternehmen können sich bei der Bewältigung des Schadens durch den Cyberangriff daher weiterhin auf ihre Cyber-Versicherung verlassen.
Erwähnenswert ist jedoch, dass es am Markt eine Vielzahl verschiedener Kriegsausschlussklauseln gibt. Es ist daher nicht auszuschließen, dass einzelne Kriegsausschlussklauseln anwendbar sind und sich der Versicherer zu Recht auf seine Leistungsfreiheit beruft. Zu Leistungsausschlüssen kann es zudem in Fällen von Ransomware-Lösegeldzahlungen kommen. Fallen die Hacker unter Sanktionen, dürfen keine Zahlungen geleistet werden.“