Der Angriff Russlands auf die Ukraine hat – neben der humanitären Katastrophe – auch Auswirkungen auf die Versicherungsbranche. Die Kämpfe finden nicht nur in den Städten der Ukraine statt, sondern Russland führt gleichzeitig einen Cyberkrieg, in welchem Hacker kritische Infrastruktur, Informationstechnologien, Regierungsinstitutionen oder Ministeriumswebseiten der Ukraine gezielt angreifen und lahmlegen wollen.
Cyberversicherer berufen sich auf Kriegsausschluss und verneinen Leistungspflicht
Auch westliche Einrichtungen und Unternehmen wurden im Rahmen des Konflikts bereits Opfer von russischen Cyberangriffen. Konnten sich die angegriffenen Unternehmen in der Vergangenheit bei der Bewältigung des Schadens durch den Cyberangriff noch auf ihre Cyberversicherung verlassen, ist zukünftig damit zu rechnen, dass sich Cyberversicherer auf den so genannten Kriegsausschluss berufen werden und eine Leistungspflicht verneinen.
Üblicherweise finden sich in den Bedingungen von Cyberversicherungen Kriegsausschlussklauseln, wonach Schäden durch Krieg oder kriegsähnliche Ereignisse nicht versichert sind. Bereits vor dem Angriff Russlands auf die Ukraine versuchten Versicherer Cyberangriffe als Ereignisse einzustufen, die unter die Ausschlussklausel fallen und führten an, es handele sich um einen Cyberkrieg.
Marcel Straub, Head of Legal und Schadenexperte bei Finlex sieht dies anders: „Verfangen hat diese Argumentation nicht, denn regelmäßig fehlte es bei den Angriffen an der zielgerichteten Handlung eines angreifenden Staates. Zudem ist herrschende Meinung, dass sich der Kriegsausschluss vornehmlich auf physische Kriegsakte bezieht.“
Einzelne Versicherer halten Kriegsausschlussklausel grundsätzlich für anwendbar
Im Ukrainekrieg ist die Ausgangslage jedoch eine andere, schätzt Finlex, und es sei zu erwarten, dass sich Cyberversicherer vermehrt auf eine Leistungsfreiheit aufgrund des Kriegsausschlusses berufen werden. Es handele sich um einen hybriden Krieg, in dem der Cyberkrieg den physischen Kriegshandlungen beigemischt werde. „Vereinzelte Versicherer haben bereits angekündigt, dass sie die Kriegsausschlussklausel im Zusammenhang mit dem Ukrainekrieg grundsätzlich für anwendbar halten. Ein Angriff russischer Hacker auf deutsche Unternehmen wäre bei einer solchen Auslegung nicht versichert“, so Dennis Wrana, Product Manager Cyber bei Finlex.
Von dieser Position ist die Versicherungsplattform aber nicht überzeugt. Zum einen fehle es bei den Angriffen an dem Merkmal der Zwischenstaatlichkeit, welches für die Bejahung eines Kriegs im Sinne der Kriegsausschlussklausel grundsätzlich notwendig sei. Insbesondere wenn der Cyberangriff von nicht-staatlichen Hackergruppen ausgehe, liege keine zielgerichtete Handlung eines angreifenden Staates vor, und somit kein Krieg im Sinne der Definition. Zum anderen befinde sich Russland „lediglich“ mit der Ukraine im Krieg und nicht mit anderen Ländern. Selbst wenn ein Cyberangriff auf ein deutsches Unternehmen staatlich gelenkt sein sollte, so fehle es weiterhin an einer offiziellen Kriegshandlung.
Marcel Straub kommentiert dies so: „Solange sich Deutschland nicht im Krieg mit Russland befindet, ist die klassische Kriegsausschlussklausel daher nicht einschlägig. Darüber hinaus muss der Versicherer den Nachweis führen, dass es sich bei dem Cyberangriff um einen staatlich gelenkten Angriff handelt, wenn er sich auf den Leistungsausschluss berufen möchte. Der Nachweis wird dem Versicherer aber nur schwerlich gelingen, denn Hacker geben in der Regel nicht Preis, dass sie für eine Regierung handeln.“
Eine Lösegeldzahlung ist grundsätzlich versicherbar
Auswirkung auf die Cyber-Versicherung könnte der Ukrainekrieg jedoch auf die Zahlung von Lösegeld in Ransomware-Fällen haben, vermutet die Online-Plattform. Hierbei greifen Hacker-Gruppen gezielt Unternehmen an und verschlüsseln deren Daten oder Systeme. Dennis Wrana: „Durch den Stillstand der Systeme droht den Unternehmen ein erheblicher finanzieller Schaden und ein eklatanter Reputationsverlust. Dies machen sich die Hacker zunutze und fordern von den angegriffenen Unternehmen Lösegelder in Millionenhöhe. Die Lösegeldzahlung ist grundsätzlich versicherbar und Policen, die einen solchen Baustein zur Zahlung von Lösegeldern enthalten, sind am Markt weit verbreitet und durchaus üblich.“
Führen zuerst einen Sanktions- und Compliance-Check durch
Handele es sich bei den Erpressern um russische Hackergruppen sei jedoch zu erwarten, dass Versicherer keine Zahlungen leisten werden. Vor der Zahlung eines Lösegeldes würden die Versicherer einen Sanktions- und Compliance-Check durchführen. Dieser habe unter anderem zum Inhalt, dass geprüft werde, ob die Angreifer auf einer Sanktionsliste stünden und somit keine Zahlungen an diese geleistet werden dürften. Denn anderenfalls sei der Versicherer und das Unternehmen in Gefahr, selbst auf eine Sanktionsliste gesetzt zu werden. Aufgrund der umfassenden Sanktionen gegen Russland seien Lösegeldzahlungen an russische Hackergruppen in der Regel sanktionsbewährt und würden von Versicherern daher gegebenenfalls nicht mehr übernommen.
Ein Fazit
Cyberattacken russischer Hacker gegen deutsche Unternehmen sind nach Einschätzung der Online-Versicherungsplattform weiterhin versichert. Die klassische Kriegsausschlussklausel sei nicht einschlägig, da es an dem Merkmal der Zwischenstaatlichkeit fehle und sich Russland nicht im Krieg mit Deutschland befinde. Zudem sei der Versicherer dafür beweisbelastet, dass es sich bei dem Cyberangriff um einen staatlich gelenkten Angriff handele.
Die angegriffenen Unternehmen können sich bei der Bewältigung des Schadens durch den Cyberangriff daher weiterhin auf ihre Cyberversicherung verlassen. Wichtig sei jedoch zu erwähnen, dass es eine Vielzahl verschiedener Kriegsausschlussklauseln gebe. Es sei daher nicht auszuschließen, dass einzelne Kriegsausschlussklauseln anwendbar seien und sich der Versicherer zu Recht auf seine Leistungsfreiheit berufe. Zu Leistungsausschlüssen könne es zudem in Fällen von Ransomware-Lösegeldzahlungen kommen. Fielen die Hacker unter Sanktionen, dürften keine Zahlungen geleistet werden.
Quelle: Finlex
Autor(en): versicherungsmagazin.de