In Zeiten stark zunehmender Angriffe auf die Unternehmens IT aus dem Internet lautet die Empfehlung vieler Experten an die Unternehmen rechtzeitig für einen ausreichenden Versicherungsschutz gegen Cyberbedrohungen zu sorgen.
Deren Umsetzung ist jedoch gar nicht so einfach, da der Risikohunger der Versicherungen, d. h. die Bereitschaft neue Kunden in den Versicherungsschutz aufzunehmen, zuletzt erheblich gesunken ist. Die Kombination aus einigen Jahren, in denen die Versicherungen ihre Policen quasi ohne jegliche vorgeschaltete Risikoanalyse verkauft haben, mit einer drastisch gestiegenen Anzahl von Angriffen und Bedrohungsszenarien führt dazu, dass die Versicherungsbranche Alarm schlägt und sich im Segment der Cyberversicherungen existenzgefährdenden Risiken ausgesetzt sieht.
Wie reagieren die Versicherungen auf aktuelle Cyberwar- und staatlich gesponserte Hackingattacken?
Die Versicherungsindustrie reagiert auf diese Situation mit neuen Musterklauseln, die den Umfang der versicherten Risiken erheblich einschränken sollen.
Ende 2021 hat Lloyds of London vier neue Musterklauseln vorgestellt, die den Versicherern zur Aufnahme in ihre Cyberversicherungspolicen empfohlen werden, um insbesondere Schäden aus Cyberwar-Aktivitäten aus dem Haftungsrisiko auszuschließen (LMA21-042-PD (lmalloyds.com). Viele der bis dahin verwendeten „Kriegsklauseln“ stammten noch aus der Zeit vor dem Zweiten Weltkrieg und waren insbesondere auf kriegerische Situationen unter Einsatz physischer Gewalt ausgerichtet.
In den USA hat der New Jersey Superior Court gerade erst im Dezember 2021 festgestellt, dass die bis dahin üblichen Kriegsausnahmen nicht auf digitale Angriffe anwendbar sein sollen (Cyber Risks and Business Interruption Insurance - Merck and International Indemnity v ACE (et al.) - The 36 Group). Das Beispiel Ukraine zeigt jedoch aktuell, dass in unserer heutigen Cyberwirklichkeit Angreifer einen ganzen Staatsapparat zumindest digital lahmlegen können, ohne dass ein einziger Soldat fremdes Staatsgebiet betreten muss. Microsoft hat bei den dort zum Einsatz kommenden Viren festgestellt, dass diese zwar wie klassische Ransomware die angegriffenen Festplatten verschlüsseln, ihnen aber der Mechanismus zum Freikaufen durch Lösegeld gänzlich fehlt, was wiederum für Sabotage- und gegen kommerzielle Angriffe spricht (Malware attacks targeting Ukraine government - Microsoft On the Issues).
Das Argument der Versicherungsbranche für einen Haftungsausschluss im Fall kriegerischer oder staatlicher Aggressionen besteht darin, dass solche Kumulativschäden, bei denen sich einzelne Schadensereignisse durch ihre Häufung zu enormen Summen aufaddieren können, für die private Versicherungswirtschaft nicht tragbar sind (vgl. Risiko durch Cyberangriffe: »Schäden, die ein privater Versicherer nicht tragen kann« - DER SPIEGEL).
Was beinhalten die neuen Musterklauseln für Cyberversicherungen?
Die vier neuen Musterklauseln für Cyberversicherungen sind dafür gedacht, die modernen Cyberwar-Aktivitäten in den Haftungsausschluss für kriegerische Aktivitäten zu integrieren.
Die vier Musterklauseln unterscheiden sich abgestuft in der Strenge, mit der sie den Haftungsausschluss des Versicherers formulieren. Allen Klauseln gemeinsam ist die Annahme, dass nicht nur kriegerische Aktivitäten, sondern jeder staatlich geförderte oder geschützte Angriff auf IT-Infrastrukturen als sogenannte Cyberoperation dazu führen, dass die Haftung der Versicherung ausgeschlossen ist.
Abgesehen von den Fällen wie zurzeit in der Ukraine, in denen der angegriffene Staat offiziell bestätigt das Ziel fremder staatlicher Cyberoperations geworden zu sein, soll es nach den Musterklauseln den Versicherern zustehen festzustellen, dass objektive Anhaltspunkte für einen staatlichen Angriff bestehen. Die Versicherungen sollen sogar das Recht erhalten, so lange die Schadensersatzzahlungen auszusetzen, solange der angeblich angegriffene Staat den Angriffsakt zwar noch nicht als kriegerischen Akt bezeichnet hat, die Versicherung aber objektive Anhaltspunkte für einen staatlichen Hintergrund des Angriffs hat. Je nach Strenge der Klausel muss der entsprechende Angriff auch nicht auf die kritische Infrastruktur im Zielland abzielen, um dennoch als kriegerische Cyberoperations dafür zu sorgen, dass die Versicherung nicht zahlen muss.
Wie sind die Musterklauselvarianten in der Praxis zu bewerten?
Bei den eher kundenfreundlich ausgestalteten Musterklauselvarianten wird es allerdings in der Praxis vermutlich dem Versicherer schwerfallen, die dort formulierten Ausschlusskriterien zu erreichen, nach denen entweder eine staatliche Beteiligung oder erhebliche Auswirkungen auf die kritische Infrastruktur im Zielland bewiesen sein müssen. Selbst bei den größten bekannt gewordenen Angriffen der letzten Jahre wie z.B. „Solarwinds“ oder „wannacry“ wären diese Kriterien vermutlich nicht erfüllt gewesen.
Was kann aus der Haftung der Cyberversicherungen ausgeschlossen werden?
Nicht nur der Haftungsausschluss für staatliche oder kriegerische Cyberaktivitäten macht es den Unternehmen schwer eine beruhigende Versicherungsabsicherung zu erhalten, sondern auch der Umstand, dass immer mehr Versicherungen dazu übergehen, den Ersatz gezahlter Lösegeldforderungen aus dem Versicherungsschutz auszuschließen (z.B Axa und Generali France, vgl. https://www.inside-it.ch/kriminelle-verkaufen-kundenlisten-von-cyberversicherungen). Auch wenn alle Experten den Unternehmen von der Zahlung von Lösegeldsummen abraten, um sich nicht weiter erpressbar zu machen und gewichtige Stimmen in der Literatur sogar von einer strafbaren Unterstützung krimineller Aktivitäten durch Zahlung von Lösegeld ausgehen, wollen sich viele Unternehmen diese Option dennoch offenhalten, ohne auf einen entsprechenden Versicherungsschutz verzichten zu wollen.
Aber auch die zum Teil erheblichen Schäden, wenn das angegriffene Unternehmen mit seiner notwendigen Zulieferung zur Lieferkette seines Kunden ausfällt, werden zum Teil aus der Haftung der Cyberversicherung ausgeschlossen; insbesondere wenn die Attacke offensichtlich einem bestimmten Staat oder staatlicher Institution galt, andere Staaten und Softwareanwender aber quasi kollateral mitbetroffen sind. Ohnehin schließen viele Versicherungen in ihren Policen die sogenannten Wiederherstellungskosten, die nicht nur der bloßen Abwehr des Angriffs gelten wie z.B. säubern und wieder einspielen von Backups Daten, aus dem Umfang ihrer Ersatzpflicht aus.
Worauf sollten Unternehmen beim Abschluss einer Cyberversicherung achten?
Gut beratene Unternehmen achten beim Abschluss einer Cyberversicherung nicht nur darauf, möglichst wenige der oben genannten Ausschlussklauseln zu akzeptieren, sondern versuchen durch aktive Maßnahmen zur Risikosenkung die Bereitschaft der Versicherer zu erhöhen, ihnen überhaupt eine Cyberversicherung und noch dazu zu attraktiven Konditionen anzubieten.
Zum Teil machen die Versicherungen auch die Beantwortung umfangreicher Fragenkataloge zur Feststellung des jeweils vorhandenen Risikopotenzials zur Bedingung für einen Versicherungsvertragsabschluss. Diese Fragebögen sind derart umfangreich und auf die Verhinderung jedweden erkennbaren Risikos ausgerichtet, dass insbesondere mittelständische Unternehmen bei deren Beantwortung ohne externe technische und juristischen Sachverstand an ihre Grenzen geraten. Die von den Versicherungen zum Teil verlangten technischen Zertifizierungen wie z.B. ISO 27001 sind zwar geeignet den aktuellen Stand der Sicherheitstechnik bei den Unternehmen zu bestätigen, sind aber ebenfalls nur mit erheblichem finanziellen und zeitlichen Ressourcenaufwand erreichbar.
Unser Praxis Tipp
Unternehmen, die trotz sinkender Abschlussbereitschaft der Versicherungen einen Cyberversicherungsschutz anstreben, sollten daher unbedingt ihre Hausaufgaben im Bereich der Daten- und IT-Sicherheit machen und ihre Infrastruktur bereits im Vorfeld des Versicherungsvertragsabschlusses auf den aktuellen Stand der Technik bringen.
Mit weiteren dokumentierten präventiven Maßnahmen zum verbesserten Krisenmanagement wie z.B. dem Aufstellen eines Krisenhandbuchs oder der regelmäßigen Durchführung von Notfallübungen, lassen sich zudem Versicherungsprämien oft deutlich reduzieren.
Kommt es zu einem Versicherungsvertragsabschluss ist es aus Sicht des Unternehmens wichtig, auf faire Klauseln in den Policen zur Absicherung von Schäden in der Lieferkette oder Ersatz der Wiederherstellungskosten sowie vollen Ersatz der Wiederherstellungskosten und von Lösegeldzahlungen zu achten und gegebenenfalls Haftungsausschlüsse in den Versicherungsbedingungen zu vermeiden (vgl. auch Alarmstufe Rot bei Microsoft Exchange Servern – Akuter Handlungsbedarf - SKW Schwarz).