Cyberversicherung:Streit über Schutz bei Hackerangriffen im Krieg

Lesezeit: 3 min

Cyberversicherung: Schon in Friedenszeiten werden die Gefahren von Cyberangriffen immer noch unterschätzt. Im Krieg, wie jetzt in der Ukraine, wächst die Gefahr solcher Attacken noch einmal.

Schon in Friedenszeiten werden die Gefahren von Cyberangriffen immer noch unterschätzt. Im Krieg, wie jetzt in der Ukraine, wächst die Gefahr solcher Attacken noch einmal.

(Foto: Felix Kästle/picture alliance/dpa)

Große Unternehmen und Dienstleister versichern sich gegen Cyberangriffe. Aber die Versicherer wollen nicht zahlen, wenn russische oder ukrainische Hacker beteiligt sind. Kriegsrisiken sind in den Policen ausgeschlossen.

Von Herbert Fromme und Friederike Krieger, Köln

Als Folge des Ukraine-Krieges bahnt sich ein massiver Krach an zwischen Versicherungskonzernen und einer wichtigen Kundengruppe. Die meisten Gesellschaften wollen bei Cyberangriffen von russischen oder ukrainischen Hackern auf Industrie- und Dienstleistungsunternehmen die Zahlung verweigern - weil das Kriegshandlungen seien, die laut Versicherungsbedingungen vom Schutz ausgeschlossen sind.

Bei der Industrie und ihren Großmaklern stößt das auf Unverständnis. "Wenn Hacker aus diesen beiden Ländern Unternehmen erpressen und Daten erst wieder freigeben wollen, wenn Lösegeld gezahlt wurde, ist das per se keine Kriegshandlung, der Kriegsausschluss greift nicht", sagt der Essener Versicherungsmakler Sven Erichsen, der auf Cyberversicherungen spezialisiert ist. "Es könnte allenfalls sein, dass ein betroffenes Unternehmen, das Lösegeld zahlen will, Probleme damit hätte, wegen der Sanktionen das Geld auch zu übermitteln."

Erichsen erwartet größere Streitigkeiten. "Bei jedem Ausschluss trägt der Versicherer die Beweislast, das heißt, er muss nachweisen, dass es sich um einen Teil einer kriegerischen Auseinandersetzung handelt." Dies wäre aber nicht gerade einfach.

Vorreiter auf Seiten der Versicherer ist Lloyd's of London. Der Versicherungsmarkt hatte schon vor dem Krieg entschieden, grundsätzlich alle staatlich gelenkten Cyberangriffe aus der Deckung auszuschließen, nicht nur im Kriegsfall. Deutsche Gesellschaften und die in anderen EU-Ländern folgen den Briten in solchen Fragen meistens. Schon bisher sind Kriegshandlungen in ihren Policen grundsätzlich nicht gedeckt.

Für die Industrie führt das zu einer schwierigen Situation. Denn Industrieversicherer wie die Allianz Global Corporate & Specialty (AGCS), AIG, HDI oder Zurich haben in jüngster Zeit alle Cyberschäden aus ihren üblichen Feuer- und Haftpflichtdeckungen ausgeschlossen. Der Kunde soll bitte schön eine separate Cyberdeckung abschließen. Aber diese Deckung ist inzwischen schwer zu kriegen und sehr teuer geworden. Jetzt kommt auch noch der mögliche Kriegsausschluss dazu.

Die Behörden sprechen von einer "abstrakt erhöhten Bedrohungslage" für Deutschland

Die Folgen sind gravierend. Ein Cyberangriff kann ein Feuer auslösen, weil Alarmprogramme nicht funktionieren, kann für eine Betriebsunterbrechung sorgen oder sogar zu Produktverunreinigungen führen - für die der Hersteller Schadenersatz leisten muss. Es geht um Milliarden. Wenn die Versicherer damit durchkämen, dass es sich um einen kriegerischen Angriff handelt, erhielte das geschädigte Unternehmen keinen Cent Schadenersatz.

Bislang ist die erwartete große Welle von Cyberangriffen in Folge des Krieges ausgeblieben. Die Behörden sprechen von einer "abstrakt erhöhten Bedrohungslage" für Deutschland. "Aktuell ist jedoch keine akute unmittelbare Gefährdung der Informationssicherheit für Unternehmen in Deutschland im Zusammenhang mit der Situation in der Ukraine ersichtlich", teilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn mit. "Seit Beginn des russischen Angriffs auf die Ukraine ist es in Deutschland zu wenigen unzusammenhängenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten."

Neu ist der Versuch der Versicherer nicht, bei Cyberangriffen das Kriegsrisiko ins Feld zu führen. So musste der US-Pharmahersteller Merck jüngst ein Konsortium unter Führung der US-Gesellschaft Chubb verklagen. Die Gesellschaften wollten den mehr als 1,4 Milliarden Dollar hohen Schaden, den Merck durch eine Attacke mit der Schadsoftware Notpetya im Sommer 2017 erlitten hatte, mit Verweis auf den Kriegsausschluss nicht zahlen.

Auch hier ging es um die Ukraine und Russland. US-Behörden waren nach einer Untersuchung der Notpetya-Attacke zu dem Schluss gekommen, dass es sich um einen vom russischen Militär gegen die Ukraine in Auftrag gegebenen Angriff handelte, der außer Kontrolle geraten war.

Doch in diesem Fall setzte sich der Versicherungskunde Merck durch. Die US-Richter befanden in einem vorläufigen Teil-Urteil, dass sich der Kriegsausschluss nur auf physische Kriegsakte und nicht auf Malware-Angriffe bezieht.

Auch jetzt, nach Ausbruch des aktuellen Krieges, wird die Berufung auf Kriegsausschlüsse für Versicherer kein Selbstläufer sein. "Ein Versicherungskunde aus dem Westen könnte möglicherweise argumentieren, dass es zwar einen Krieg gegeben hat, aber nicht in der Gebietskörperschaft, in der er ansässig ist", erklärte Paul Malek, Cyberexperte bei der Kanzlei Anwaltskanzlei Clyde & Co.

Ein zufällig betroffener westlicher Betrieb wäre ein Kollateralschaden

Der Kriegsausschluss soll die Versicherer primär davor schützen, dass es in den am Krieg beteiligten Ländern zu massenhaften Cyberschäden kommt. Ein zufällig betroffener westlicher Betrieb wäre demnach kein Teil dieser Großschadengefahr, es handele sich um einen Kollateralschaden.

"Eine weitere Herausforderung bei der Berufung auf den Kriegsausschluss besteht darin, dass der Versicherer den Nachweis erbringen muss, dass es sich bei der zum Einsatz gekommenen Schadsoftware um einen staatlich gelenkten Angriff handelt", sagte Malek. Das nachzuweisen dürfte für die Versicherer aber schwer werden - zumal viele halbstaatliche und auch private Akteure wie Anonymous im Cyberkrieg mitmischen.

Makler Erichsen sieht das genauso. Er kann sich nur einen Fall vorstellen, in dem der Kriegsausschluss greift: "Wenn Putin oder ein Mitglied der russischen Regierung öffentlich erklären würde, wir haben diesen Angriff auf die Stadtwerke oder die Telekom veranlasst, um Euch zu zeigen, was alles geht, dann wäre das wahrscheinlich ein Fall für den Kriegsausschluss."

Allerdings: Dass es kompliziert wird, den Ausschluss durchzusetzen, wird die Versicherer nicht daran hindern, es zu versuchen. Das wird die Gerichte lange beschäftigen, sehr wahrscheinlich weit über das Ende des Krieges hinaus.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Abo kündigen
  • Kontakt und Impressum
  • AGB