"Kriegsausschluss in Cyber-Policen aktuell nicht einschlägig"

 

Berlin, den 11. März 2022. Die Verunsicherung im Versicherungsmarkt wegen der besorgniserregenden Ereignisse im Zusammenhang mit der Invasion Putins in die Ukraine hat CyberDirekt, die Spezialisten für Cyber-Versicherungen, zum Anlass genommen, häufig aufkommende Fragen rund um den Versicherungsschutz aufzuarbeiten. 

 

Das Bundesamtes für Sicherheit in der Informationstechnik spricht aktuell von in einer „erhöhten Bedrohungslage”, was die Cyber-Sicherheit von deutschen Unternehmen angeht. Insbesondere kritische Infrastrukturen müssen einer erhöhten Gefahr begegnen, gezielt angegriffen zu werden. Aber auch unkoordinierte Angriffe können durch ihre selbstreplizierende Eigenschaft schnell außer Kontrolle geraten und stellen eine latente Gefahr dar. 

 

„Keine ausreichenden Anknüpfungspunkte für Kriegsausschluss“ 

 

 

Inwieweit diese Bedrohungen für deutsche Unternehmen mit Blick auf deren Cyber-Versicherungen Bedeutung haben, erläutert Ole Sieverding (32), Geschäftsführer von CyberDirekt: „In den Cyber-Risiko-Policen der in Deutschland tätigen Versicherer ist aktuell zumeist ein recht generischer Kriegsausschluss vereinbart. Dieser zielt in der Regel auf Schäden durch einen physischen Krieg oder eine gewaltsame Machtübernahme zwischen Staaten ab. Da Deutschland derzeit keine aktive Kriegspartei ist, fehlt dem Kriegsausschluss zum jetzigen Zeitpunkt bei reinen Cyber-Angriffen der Anknüpfungspunkt sowie das Kriterium der Zwischenstaatlichkeit. Hinzukommt, dass die Beweislast von Ausschlusstatbeständen beim Versicherer liegt. Bei Cyber-Attacken ist die Beweisbarkeit insbesondere schwer, da die Angreifenden im Verborgenen agieren und regelmäßig weder ihre Identität noch ihre Intention, geschweige denn Auftraggebende offenlegen. Daher fehlte es bei bei professionellen Angriffen eigentlich immer an der Nachweisbarkeit, dass es sich eindeutig um einen staatlich initiierten Vorfall im kriegerischen Kontext handelt.“ 

 

Rechtssprüche zugunsten der Unternehmen

 

Nach Einschätzung der Berliner Cyber-Maklerplattform sind die Versicherer somit weiterhin für deutsche Versicherte vollumfänglich in der Leistungspflicht. Bei mitversicherten ukrainischen Tochtergesellschaft käme es allerdings auf den Einzelfall an, so Sieverding. Mit Blick auf die bisher ebenfalls nicht direkt in den Konflikt involvierte USA sagt der Cyber-Experte: „Zwei Präzedenzfälle in den USA - Ace gegen Merck und Zurich gegen Mondelez - haben gezeigt, dass die Richterinnen und Richter bisher zugunsten der Versicherungsnehmerinnen entscheiden. Konkret ging es um Sachschäden durch den vermutlich russisch initiierten NotPetya Schadcode im Jahr 2017, der sich wurmartig über eine ukrainischen Steuersoftware unkontrolliert ausgebreitet und viele Kollateralschäden gefordert hat. Eine vergleichbare Auslegung erwarten wir auch in Deutschland, sollte es überhaupt zu ähnlichen Streitigkeiten bezüglich des Kriegsausschlusses kommen.” 

Darüber hinaus ist zu erwarten, dass Versicherer in der Schadenregulierung von Ransomware-Fällen insbesondere bei der Zahlung von Lösegeld genau prüfen werden, ob es Hinweise auf russische Verbindungen gibt. Es ist anzunehmen, dass Lösegeldzahlungen an russische Organisationen unter das aktuelle Sanktionsregime fallen und damit nicht vom Versicherer geleistet werden dürfen. Das gleiche Risiko besteht auch für die Unternehmen selbst. Daher ist es umso ratsamer sich gewissenhaft auf den Fall der Fälle vorzubereiten um eine Lösegeldzahlung gar nicht erst in Erwägung ziehen zu müssen. Derzeit sehen die Expertinnen und Experten von CyberDirekt für deutsche Unternehmen keinen weiteren akuten Handlungsbedarf, sofern sie bereits über eine gute Cyber-Versicherung verfügen. Gerade im klassischen Mittelstand haben sich laut einer aktuellen repräsentativen Umfrage knapp 42 Prozent der Entscheiderinnen und Entscheider noch nicht ausreichend mit einer Risikoübertragung durch eine Cyber-Versicherung beschäftigt. 

 

Über CyberDirekt
 

CyberDirekt wurde im Mai 2017 als erste digitale Plattform für den Abschluss von Cyber-Versicherungen für KMU gegründet. Das Unternehmen hat sich auf den digitalen Vertrieb von Cyber-Versicherungen für kleine und mittelständische Unternehmen spezialisiert und stellt den Versicherungsnehmern umfangreiche Leistungen zur Prävention von Cyber-Attacken zur Verfügung. CyberDirekt bietet derzeit Produkte von 15 Versicherungsgesellschaften an. Alle über CyberDirekt angebotenen Cyberversicherungen beinhalten eine 24h-Notfall-Hotline, die es dem Kunden ermöglicht, im Falle eines Cyber-Angriffs schnell und unkompliziert Unterstützung zu erhalten. Innovative Präventionsleistungen wie der Websecurity-Check und der Phishing-Simulationstest runden das Angebot ab. 

Pressekontakt: Wir freuen uns, wenn Sie sich bei Interviewanfragen zu Spezialthemen wie „Cybersicherheit für KMUs“ oder der aktuellen Konfliktlage in Bezug auf Cyber-Sicherheit direkt an uns wenden. Gerne organisieren wir ein persönliches Gespräch mit den Geschäftsführern Hanno Pingsmann und Ole Sieverding und bereiten weitere Informationen für Sie auf. 

Miriam Graf ✉ miriam@monocerospr.com I ✆ 0159 I 02904502