Zu den Schattenseiten der steigenden Digitalisierung und umfassenden Vernetzung zählt leider der massive Anstieg der Cyberkriminalität. In den letzten Jahren ist er zu einem eigenen „Wirtschaftszweig" herangewachsen. Besonders integriert und digital aufgestellte Unternehmen müssen sich verstärkt vor Cyberattacken schützen. Sogenannte Cyberversicherungen sollen die Folgen eines Angriffs abmildern – doch wie sinnvoll sind die Versicherungen für Unternehmen wirklich?

Der Streitfall: Schadsoftware NotPetya

Am 27. Juni 2017 wurden innerhalb von weniger als zwei Stunden mehr als 2.000 Unternehmen weltweit mit der Schadsoftware NotPetya infiziert. Der Angriff erfolgte über ein manipuliertes Update der ukrainischen Buchhaltungssoftware „M.E.Doc". Der Einsatz dieser Software war für in der Ukraine tätige Unternehmen zur Entrichtung von Steuern quasi verpflichtend. Es entstanden Schäden in einer Gesamthöhe von über 10 Milliarden Dollar – damit war NotPetya die bis dato verheerendste Cyberattacke der Geschichte.

Allein der US-Pharmakonzern Merck & Co. gab eine Schadenshöhe von 1,4 Milliarden Dollar durch NotPetya an – eine Summe, von der man annahm, dass diese durch die Cyberversicherung bei Ace American deckt sei. Der Pharmariese hatte sich dort auch gegen Schäden durch Datenverlust oder -zerstörung versichert. Doch die Versicherung stellte sich quer.

Cyberattacke als „kriegerischer Akt"

Ace American argumentierte, dass es sich bei dem Cyberangriff mit NotPetya um einen kriegerischen Akt Russlands gegen die Ukraine und die dort tätigen Unternehmen gehandelt hätte, und solche „kriegerischen Aktionen" nicht von der Cyberversicherung gedeckt wären. Unvermeidlich folgte im Jahre 2019 ein Rechtstreit, welcher insbesondere von der Versicherungswirtschaft aufmerksam verfolgt wurde. Im Januar dieses Jahres gab der Supreme Court of New Jersey nun dem Pharmaunternehmen recht. Er argumentierte, dass Merck davon ausgehen musste, dass die „Ausschlüsse nur für traditionelle Formen der Kriegsführung gelten". Noch ist der Fall damit nicht abgeschlossen, denn Ace American ist noch nicht zur Zahlung verpflichtet, und es besteht auch die Möglichkeit weiterer Instanzen.

Zukunft der Cyberversicherungen unklar

Sollte sich Ace American doch noch mit seiner Argumentation durchsetzen, gibt es Stimmen, die dieses als das Ende der Cyberversicherung ansehen. Doch auch wenn das aktuelle Urteil bestätigt wird, werden Cyberversicherungen wahrscheinlich mit unzähligen Ausschlusskriterien belegt, die den Abschluss für potenzielle Kunden zunehmend unattraktiv machen.

Die Lage ist damit also sowohl für die Versicherungswirtschaft als auch für Kunden von Cyberversicherungen undurchsichtig.

Was ist eine Cyberversicherung?

Ein Cyberangriff oder Informationsdiebstahl durch Hacker oder Innentäter kann erheblichen oder gar existenz-gefährdenden Schaden im Unternehmen anrichten und zu Folgenkosten durch Schadenersatzansprüche von betroffenen Dritten führen.

Eine Cyberversicherung kann einen Angriff oder dessen Schäden nicht verhindern. Sie mildert die finanziellen Schäden infolge des Angriffs jedoch ab. Weiterhin hilft sie häufig mit weiteren Serviceleistungen, um im Notfall schnellstmöglich zum Normalbetrieb zurückzukehren.

Häufig gibt es ein Zusammenspiel von erforderlichen (Mindest-)Schutzmaßnahmen um eine Cyberversicherung abschließen zu können und der Höhe der Versicherungsprämie. Die aktive Reduzierung des Risikos kann dazu beitragen, die Versicherungsprämie zu optimieren.

Kriegsausschluss in den Versicherungsbedingungen?

In der Versicherungswirtschaft stellt sich insbesondere durch den russischen Angriffskrieg auf die Ukraine die Frage, ob Cyberangriffe mit staatlicher Beteilung mit dem sogenannten Kriegsausschluss in den allgemeinen Versicherungsbedingungen ausgeschlossen werden können. Ein derartiger Kriegsausschluss ist marktüblich und findet sich auch in den Musterbedingungen des Gesamtverbandes der Deutschen Versicherungswirtschaft e. V. (GDV) wieder. Auch wenn dieser Ausschluss hinreichend präzise formuliert ist und eine ausreichende Transparenz über den Versicherungsschutz bietet, stellt sich für Unternehmen die Frage, ob die Cyberversicherung noch einen ausreichenden Mehrwert bietet. In der Praxis ist es oft schwierig, den Ursprung eines Cyberangriffs zu ermitteln, insbesondere je professioneller die Angriffe erfolgen. Auch besteht das Risiko, dass andere die unsichere Situation ausnutzen und diese Angriffe imitieren.

In diesem Bereich gibt es bisher kaum Rechtsprechung, so dass kritische Einzelfälle durch die Gerichte entschieden werden dürften.

Der Versicherungsmarktplatz Lloyd's of London geht einen Schritt weiter und hat neue Klauseln veröffentlicht, die Leistungen bei staatlich beauftragen Cyberangriffen im Kriegsfall ausschließen. Es bleibt abzuwarten, in welchem Umfang sich deutsche Versicherungen hieran orientieren werden. Gemäß aktueller Studien steht derzeit noch die Kriegsklausel entsprechend der GDV-Empfehlung nach Krieg", „politische Gefahren" und „Terrorakte" im Vordergrund.

Cyber-Bedrohungslage in Deutschland

Microsoft hat jüngst veröffentlicht, dass russische Cyberattacken auf Firmen und Organisationen der westlichen Welt seit Kriegsausbruch zunehmen. Das macht den Abschluss von Cyberversicherungen, die solche Szenarien ausschließen, für viele Unternehmen obsolet.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt laut Pressemitteilungen eine erhöhte Bedrohungslage für Deutschland fest. Es ruft Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen. Die befürchtete Welle an Sicherheitsvorfällen in Deutschland hat das BSI glücklicherweise bisher nicht registriert, dennoch gab es einzelne zusätzliche Sicherheitsvorfälle.

Unternehmen müssen in Cybersicherheit investieren

Aus einer Risikomanagement-Perspektive kann eine Cyberversicherung nur ein ergänzender, nachgelagerter Baustein der Informationssicherheit und des Informationssicherheitsmanagementsystems (ISMS) sein. Es ist für Unternehmen notwendig, ihre Informationssicherheit aktiv mit einem ISMS zu managen und gezielt an neuralgischen Punkten zu investieren. Neben der Investition in zeitgemäße, angemessene Schutzmaßnahmen und moderne Cybersecurity-Konzepte ist es ebenso wichtig, die Systeme in Bezug auf Sicherheitslücken aktuell zu halten, die Security Awareness der Mitarbeitenden systematisch zu schärfen und sich auf den Ernstfall mit einer Notfallplanung (Cyber Incident Response Plan) vorzubereiten.