Wann sind Cyber-Angriffe ein ‚kriegerischer Akt‘?

Cyber-Versicherer sollen Ausschlüsse klar formulieren

Die Richter begründeten ihre Entscheidung damit, dass beiden Parteien die unterschiedlichen Formen von Cyber-Angriffen bekannt gewesen seien. Dennoch hätte der Versicherer nichts unternommen, die Formulierung seiner Versicherungsbedingungen anzupassen. Zudem hätten der Versicherer seine Kunden nicht darauf aufmerksam gemacht, dass Cyberattacken, die Teil einer kriegerischen Auseinandersetzung sind, vom Versicherungsschutz ausgeschlossen sind. Die Möglichkeit dazu hätte der Versicherer gehabt.

Aus Sicht der US-Richter mangelte es also an einer klaren Formulierung, wann eine Cyber-Attacke als ‚kriegerischer Akt‘ zu verstehen ist und dass dann nicht geleistet wird.

Mehr als ein Teilerfolg für das Pharmaunternehmen ist das Urteil allerdings nicht. Wie das Nachrichtenmagazin ‚Der Spiegel‘ in seiner Online-Ausgabe berichtet, handelt es sich um ein Zwischenurteil, das den Versicherer noch nicht zur Zahlung der Versicherungssumme verpflichtet.

‚notPetya‘ legte auch Mondelez (Hersteller u.a. von Toblerone) wochenlang lahm. Das Unternehmen prozessiert gegen seinen Cyber-Versicherer, den Zurich-Konzern. Die Schweizer argumentieren ebenfalls damit, dass es sich bei ‚notPetya‘ um einen kriegerischen Akt gehandelt habe, für den kein Versicherungsschutz besteht.

Für Jörg Wälder, CEO der auf Absicherung von Cyber-Risiken spezialisierten Cogitanda Group, stehen sowohl ‚notPetya‘ als auch ‚WannaCry‘ beispielhaft dafür, wie stark das Schadenpotenzial von Ransomware unterschätzt wurde. Versicherer hätten sich bei der Kalkulation von Tarifen nur nach historischen Daten von vor 2016 ausgerichtet. Dementsprechend seien die Policen nicht adäquat bepreist gewesen, so der Experte im Interview mit Versicherungsbote.

Dieser ‚Fehlentwicklung‘ versuchen Cyber-Versicherer gerade entgegenzuwirken und haben dafür u.a. ihre Annahmepolitik im Cyber-Bereich verschärft.

„Kriegsausschluss ist der falsche Weg“

Versicherungsbote bat auch Ole Sieverding, Geschäftsführer von CyberDirekt, um eine Einordnung des Urteils. Er begrüßte die Entscheidung des Union County Superior Courts von New Jersey für Merck. „Der Richter folgt einer engen Auslegung des Kriegsausschlusses auf physische Kriegsakte. Kompromittierungen von IT-System durch Schadprogramme, die ohne Zugriff auf staatliche (militärische) Ressourcen so auch von einer Privatperson durchgeführt werden können, wie es bei NotPetya der Fall war, sollten meines Erachtens nie als Krieg ausgelegt werden können“, so der IT-Experte gegenüber Versicherungsbote. „Dass Versicherer solche Silent-Cyber Risiken eigentlich nicht in einer Sachdeckung versichern wollen, ist nicht wirklich überraschend. Der Weg über die Ablehnung auf Grundlage des Kriegsausschlusses ist jedoch der Falsche. Das ginge nur über die sorgsame Prüfung aller aktuell vereinbarten Versicherungsbedingungen und Aufnahme eines transparenten und klar formulierten Cyberausschlusses. Gerichtlich nicht haltbare Ablehnungen von Schadenfällen schaden enorm der Vertrauenswürdigkeit der Versicherer und schaden damit der Glaubwürdigkeit der gesamten Versicherungsbranche.“