Stunden- oder sogar tagelanges Chaos durch die nicht funktionierende IT, verärgerte Kunden und genervtes Personal. Das fehlerhafte Update des Software-Unternehmens Crowdstrike, das in der vergangenen Woche mindestens ein Prozent der Windows-Rechner weltweit lahmgelegt hat, kostet die betroffenen Unternehmen eine hohe Milliardensumme. Es handelt sich um die bislang größte IT-Panne in der Geschichte des Internets. Einige Branchen haben besonders gelitten, darunter Krankenhäuser, Flughäfen und Fluggesellschaften.
Globale IT-Probleme:Der „blaue Schirm des Todes“ erfasst die Welt
Flüge werden gestrichen, Kliniken fahren den Betrieb runter, bei einigen Banken geht nichts mehr: Ein Fehler der Firma Crowdstrike hat eine weltweite IT-Störung verursacht. Warum sind die Auswirkungen so massiv und wie lässt sich das Problem lösen?
Da erinnert sich mancher Vorstand und Geschäftsführer gerne daran, dass sein Unternehmen doch vor Kurzem für viel Geld diese Cyberversicherung abgeschlossen hat. Die müsste doch helfen, oder?
Eher nicht. Denn nur ein kleiner Teil der Schäden ist versichert, glaubt jedenfalls die Ratingagentur Fitch. Sie erwartet, dass der versicherte weltweite Gesamtschaden weniger als zehn Milliarden Dollar (neun Milliarden Euro) betragen wird. Die Zahlungen lägen nach vorläufigen Schätzungen „im mittleren bis hohen einstelligen Milliardenbereich“, schreibt die Ratingagentur.
Zum Vergleich: Für Schäden aus Naturkatastrophen zahlten Versicherer allein im ersten Halbjahr dieses Jahres 58 Milliarden Dollar. Fitch rechnet nicht damit, dass das Crowdstrike-Chaos wesentliche Auswirkungen auf die Gewinne der Versicherer und Rückversicherer der Welt haben wird. Der britische Versicherer Beazley, einer der größeren Cyberversicherer, teilte prompt mit, seine Gewinnerwartung werde nicht beeinträchtigt.
Betroffen sind hauptsächlich Versicherer, die Unternehmen gegen Betriebsunterbrechung und gegen Cyberschäden versichern, meint Fitch. Die Agentur begründet ihre moderate Schadenschätzung so: Viele Unternehmen haben keinen Versicherungsschutz gegen die Betriebsunterbrechung oder gegen Cyberschäden. Ist ein Unternehmen versichert, sehen die Verträge meist hohe Selbstbehalte vor.
Dazu kommen sogenannte Zeitklauseln. „Die meisten Betriebsunterbrechungsansprüche aufgrund von Cyber-Ereignissen haben Zeitklauseln, die zwischen acht und zwölf Stunden liegen“, erläutert die Ratingagentur. Das heißt, wenn der Schaden innerhalb dieser Zeit behoben werden kann, zahlt der Versicherer nicht. Hinzu kommen regionale Unterschiede. Unternehmen in Asien und Europa waren am 19. Juli 2024 stärker von dem Problem betroffen als die in Nord- und Südamerika. Denn als dort der Arbeitstag begann, hatte Crowdstrike bereits die Lösung für das Problem veröffentlicht, die Verantwortlichen in den Unternehmen konnten früh reagieren. Deshalb blieben die Schäden in den USA geringer als in anderen Regionen.
Geschädigte Unternehmen und Versicherer werden versuchen, Crowdstrike für den Schaden haftbar zu machen
Allerdings: Was wie versichert ist, steht noch lange nicht fest. Schon jetzt zeigen sich erhebliche Differenzen zwischen Versicherern und ihren Kunden, ob ein Schaden bezahlt wird oder nicht. Der Gesamtverband der Versicherer (GDV) argumentiert, grundsätzlich seien Schäden, die durch einen Ausfall oder eine Störung von IT-Dienstleistern entstehen, nach den Musterbedingungen des Verbandes von der Cyberversicherung nicht gedeckt. „Dieser Ausschluss dient dazu, die wirtschaftliche Leistungsfähigkeit der Cyberversicherer im Fall eines Cyber-GAUs nicht zu gefährden“, teilte GDV-Hauptgeschäftsführer Jörg Asmussen mit.
Ole Sieverding, Geschäftsführer des Spezialmaklers Cyber Direkt, schätzt die Situation ganz anders ein. „Solche Schäden können in der Cyberversicherung abgedeckt sein“, sagte er. In den GDV-Musterbedingungen zur Cyberversicherung seien sie zwar nicht abgesichert. „Aber ich kenne keinen einzigen Vertrag, der die Musterbedingungen eins zu eins abbildet.“ In vielen Policen gebe es Bausteine, die sehr wohl zu einer Zahlung der Versicherer führen könnten. Allerdings stellt sich die Frage, ob die Betriebsunterbrechung mehr als zwölf Stunden gedauert hat. Wenn nicht, greift die Zeitklausel, und der Versicherer zahlt nicht.
Geschädigte Unternehmen und Versicherer werden versuchen, Crowdstrike für den Schaden haftbar zu machen. Allerdings begrenzen Software-Hersteller in ihren Geschäftsbedingungen die Haftung deutlich oder schließen sie ganz aus. Sicher ist, dass es jahrelange juristische Auseinandersetzungen um Zahlung oder Nichtzahlung geben wird.