Krieg im Cyberland

Der Krieg in der Ukraine betrifft auch Bereiche, die nicht auf den ersten Blick im Fokus stehen. Die Möglichkeit von staatlichen Angriffen auf die Cyber-Infrastruktur eines anderen Landes ist real.

Eigentlich funktioniert die Cyberversicherung wie jede andere Versicherung auch. Es gibt eine Definition der versicherten Schäden. Im Wesentlichen geht es dabei um Haftpflichtschäden, wie z.B. die Verteidigung gegen den Vorwurf von Datenschutzverstößen infolge des Verlusts von sensiblen Kundendaten, oder Eigenschäden (z.B. Erpressung (Ransomware-Attacken) oder Betriebsunterbrechung und Assistance-Dienstleistungen (z.B. Krisenmanagement nach einer Attacke, auch Kundenansprache durch Callcenter nach Verlust von Kundendaten).

Bei den Ausschlüssen vom Versicherungsschutz geht es zwar um im Prinzip versicherbare Schäden, die jedoch entweder ein einzelner Versicherer aufgrund seiner individuellen Geschäftspolitik oder alle Versicherer aufgrund fehlender Versicherbarkeit nicht versichern wollen. Einer der ältesten Versicherungsausschlüsse ist der Ausschluss für Krieg an Land.

Der Cyberkrieg kommt nach Deutschland

Der klassische Kriegsausschluss ging von feindlichen Truppen aus, die eine Ländergrenze überschreiten. Dies ist bei der Ukraine gegeben. Alle Schäden dort sind nicht versichert. Auch bedurfte es früher einer offiziellen Kriegserklärung, damit man sich im Krieg befand. Das wird bei der „Spezialoperation“ der russischen Streitkräfte schon von russischer Seite bestritten. Krieg liegt im Auge des Betrachters könnte man sagen. Im weltumspannenden Cyberland gelten diese Kriterien nicht mehr. Auch können auf einmal nichtstaatliche Organisationen wie „Anonymous“ einen „Krieg“ gegen ein Land erklären. So geschehen am 24.02.2022: „The Anonymous collective is officially in cyber war against the Russian government.“. Muss es sich Deutschland als Land zurechnen lassen, wenn ein Mitglied von „Anonymous“ Deutscher ist oder in Deutschland lebt?

Hinzu kommt, dass eine Zahlung von Lösegeld nach einer Ransomware-Attacke (Verschlüsselung von Programmen zur Erzielung eines „Lösegelds“ zu Freischaltung) bei staatlichen russischen Tätern schwierig werden dürfte. Grundsätzlich sind Zahlungen dieser Art in den meisten Cyberversicherungen abgedeckt. Steht irgendein Beteiligter auf der Sanktionsliste, kann dies eine Zahlung verhindern. Das Ergebnis ist, dass der Code für das Entsperren der verschlüsselten Software nicht erlangt werden kann und damit von einer dauerhaften Verschlüsselung und Unbrauchbarmachung auszugehen ist. Dies ändert die Gefährdungssituation jedes Unternehmens erheblich. Ein Treffer genügt, um versenkt zu werden, um in dem Bild des Krieges zu bleiben.

Wann ist Deutschland im „Cyberwar“?

Was müsste passieren, damit deutsche Cyberversicherer den in den Bedingungen vorhandenen Kriegsausschluss ziehen und dadurch leistungsfrei sein können? Der Cyberausschluss wird in dem Moment greifen, in dem Russland als Staat eine offizielle Kriegserklärung abgibt, dann liegt die sogenannte „Zwischenstaatlichkeit“ vor. Dies ist extrem unwahrscheinlich. Wenn aber in allen anderen Fällen plötzlich kritische Infrastrukturen angegriffen werden und wenn Sicherheitsdienstleister ihr Personal nicht mehr disponieren können, weil ihre IT nicht mehr funktioniert und wenn dies von russischen Cyberkriminellen verursacht wurde, ist dies schon Cyberkrieg? Und woher wissen wir, dass es sich um russische Täter handelt, wo doch die manipulierbaren Spuren auch absichtlich in diese Richtung deuten können? Und ist es eine Frage, ob 10, 1.000 oder 100.000 Unternehmen betroffen sind? Geht es um Quantität oder Qualität? Ist die neue Schadsoftware Hermetic Wiper, die alle Daten eines Computers unwiderruflich löscht und damit ganz klar nicht im Hinblick auf die Erzielung von Lösegeld entwickelt wurde, eine Kriegswaffe? Ist ein massiver Angriff auf das IT-System des Deutschen Bundestages eine Kriegserklärung an Deutschland? Und wenn ja, von wem? Das eröffnet viel Raum für Interpretationen.

Konsequenzen für Cyber-Versicherungen

Es ist jedoch festzuhalten, dass ein Versicherer, der sich auf den Kriegsausschluss beruft, das Vorliegen der in den Bedingungen definierten Kriterien auch beweisen muss. Und daran wird er regelmäßig scheitern, solange es keine Kriegserklärung von Russland gibt. Da es sich aber aus Sicht eines Versicherers möglicherweise um ein existenzgefährdendes Risiko (Kumulrisiko) handelt, wird er es häufig versuchen, versuchen müssen. Weiterhin wird sich die Anzahl der Versicherungsverträge verkleinern. Zum einen, weil der Beitrag für die Cyber-Versicherungen steigen wird und weniger Unternehmen diese Deckung kaufen. Zum anderen aber auch, weil sich Versicherer aus diesem Geschäftsfeld zurückziehen werden, woraus wieder steigende Beiträge bei den verbliebenen Versicherern resultieren.

Skurrile Konsequenzen: „Kauft nicht beim Russen“

Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat am 15.03.2022 die Empfehlung ausgesprochen, die Virenschutzsoftware des Herstellers „Kaspersky“ nicht mehr zu nutzen. Begründet wird dies mit dem Zweifel an der Zuverlässigkeit des russischen Herstellers, der allerdings nicht näher ausgeführt wird. Kaspersky verteidigt sich: „Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung.“ Weiter wird ausgeführt, dass die Server in der Schweiz stünden und den höchsten Sicherheitsstandard erfüllen würden. Kein neutraler Betrachter kann auf Basis belastbarer Fakten entscheiden, was die richtige Entscheidung ist. Es geht hierbei um die Existenz eines großen Unternehmens versus die Sicherheit der Nutzer der angebotenen Produkte in Zeiten eines Krieges. Der Krieg ist angekommen im Cyberland. Und der Wechsel der Virenschutzware bedeutet für Unternehmen zusätzliche Aufwendungen für neue Lizenzen und das Implementieren der neuen Lösung. Noch haben die deutschen Cyberversicherer davor zurückgescheut, dies ihren Versicherungsnehmern als deckungsrelevante Auflage (Obliegenheit) aufzuerlegen, wenngleich es Äußerungen gibt, wonach ein Festhalten an der Kaspersky-Software zu Problemen im Schadenfall führen kann. Aber es erscheint zum Zeitpunkt des Verfassens dieses Artikels nur eine Frage der Zeit zu sein, bis dies der Fall ist. Denn die Aufwendungen für die Umrüstung tragen die Unternehmen, die Schadenaufwendungen die Versicherer. Und die werden eher die Aufwendungen externalisieren als sehenden Auges ein durch eine solche Maßnahme vermeidbares Risiko einzugehen.

Cyberversicherung ist unverzichtbar

Aus dem Vorgenannten könnte man zu dem Schluss kommen, dass eine Cyberversicherung unnötig sei, weil sich der Versicherer im Schadenfall einfach aus dem Staub machen könnte. Das wäre ein falscher Schluss. Zum einen werden in dem vorliegenden Artikel vor allem die möglichen Auswirkungen des in der Cyberversicherung üblichen Kriegsausschlusses betrachtet. Die „normalen“ Kriminellen gehen ihrem kriminellen Gewerbe nach wie vor nach und verursachen „normale“ Schäden, so dass hierfür immer auch ein entsprechender Schutz erforderlich ist. Notwendig ist hingegen noch mehr als bisher die sofortige Unterstützung in der Krise eines Angriffs auf das firmeneigene IT-System durch die Assistance-Dienstleister der Versicherer. Alles andere kann von Juristen später verhandelt werden. Besser ist es, man streitet sich über eine Deckung, als wenn gar kein Vertrag vorhanden ist. Sinnvoll ist es weiterhin, eine Firmenrechtsschutzversicherung einzudecken, die auch Deckungsklagen gegen einen Versicherer abdeckt, wodurch Waffengleichheit hergestellt wird. Bei Klagen bis zum BGH ist dies eine sinnvolle Vorsichtsmaßnahme. Aber auch beim Firmenrechtsschutz gibt es einen Kriegsausschluss.