Sind Cyberattacken russischer Hacker versichert?

Das Thema „Krieg und Versicherungen“ ist ein mitunter recht heikles. Jüngst gerieten die Äußerungen von GDV-Hauptgeschäftsführer Jörg Asmussen über die Auswirkungen bzw. Nicht-Auswirkungen von Putins Krieg gegen die Ukraine zum medialen Desaster. Asmussen hatte sich in seinem Twitter-Tweet im Ton vergriffen, so der einheitliche Tenor. Der Kern seiner unsensiblen Aussage (der Krieg tangiert unser Business kaum) wurde hingegen nicht hinterfragt. Doch bleibt die Branche wirklich verschont? Eine aktuelle Gefahrenanalyse der Finlex GmbH aus Frankfurt, die sich auf die Beratung und Vermittlung von Vermögensschadenversicherungen spezialisiert hat, lässt daran zweifeln. Zumindest was das Segment Cyberversicherungen angeht.

Deutsche Unternehmen in Gefahr

Konkret geht es um die reale Gefahr von Cyberangriffen auf deutsche Unternehmen und staatliche Einrichtungen. Schließlich führt Russland einen hybriden Krieg und setzt neben militärischer Gewalt auch auf „begleitende“ Cyberangriffe. Dabei greifen Hacker die kritische Infrastruktur, Informationstechnologien, Regierungsinstitutionen oder Ministeriumswebseiten der Ukraine gezielt an oder legen sie sogar komplett lahm. Auch westliche Einrichtungen und Unternehmen wurden im Rahmen des Konflikts bereits Opfer von russischen Cyberangriffen – Deutschland inklusive. Erst kürzlich warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass eine Attacke gegen „Hochwertziele“ hierzulande schon bald bevorstehen könnte.

Krieg als Ausschlusskriterium?

Bislang konnten sich Unternehmen, die über eine entsprechende Cyberpolice verfügen, bei der Bewältigung von Schäden durch Cyberangriffe noch auf ihre Versicherung verlassen. Künftig sei laut Finlex jedoch damit zu rechnen, dass sich Cyberversicherer auf den sog. Kriegsausschluss berufen und eine Leistungspflicht verneinen. Dieser sieht vor, dass Schäden durch „Krieg“ oder „kriegsähnliche Ereignisse“ nicht versichert sind. Bereits vor dem Angriff Russlands auf die Ukraine hätten Versicherer Cyberangriffe als Ereignisse eingestuft, die unter die Ausschlussklausel fallen und führten an, es handele sich um einen Cyberkrieg. „Verfangen hat diese Argumentation jedoch nicht", so Dr. Marcel Straub, Head of Legal und Schadenexperte bei Finlex. Schließlich fehle es bei den Angriffen an „der zielgerichteten Handlung eines angreifenden Staates“. Zudem sei die herrschende Meinung, dass sich der Kriegsausschluss vornehmlich auf „physische Kriegsakte“ bezieht.

Urheber schwer nachzuweisen

Im Ukrainekrieg ist die Ausgangslage jedoch eine andere. Vereinzelte Versicherer hätten bereits angekündigt, dass sie die Kriegsausschlussklausel im Zusammenhang mit dem Ukrainekrieg grundsätzlich für anwendbar hielten. „Ein Angriff russischer Hacker auf deutsche Unternehmen wäre bei einer solchen Auslegung nicht versichert“, so Dennis Wrana, Product Manager Cyber bei Finlex. Allerdings äußert der Experte hier seine rechtlichen Zweifel. Zum einen fehle es bei den Angriffen an dem Merkmal der Zwischenstaatlichkeit, welches für die Annahme eines Kriegs im Sinne der Kriegsausschlussklausel grundsätzlich notwendig sei. Dies sei insbesondere bei IT-Angriffen von nicht-staatlichen Hackergruppen der Fall. Da in so einem Fall keine zielgerichtete Handlung eines angreifenden Staates vorläge, begründe dies auch keine kriegerische Handlung im Sinne der Definition.

Deutschland keine Kriegspartei

Zum anderen befindet sich Russland „lediglich“ mit der Ukraine im Krieg und nicht mit anderen Ländern. Selbst wenn ein Cyberangriff auf ein deutsches Unternehmen staatlich gelenkt sein sollte, so fehle es weiterhin an einer offiziellen Kriegshandlung. Dr. Marcel Straub kommt daher zu dem Schluss: „Solange sich Deutschland nicht im Krieg mit Russland befindet, ist die klassische Kriegsausschlussklausel nicht einschlägig. Darüber hinaus muss der Versicherer den Nachweis führen, dass es sich bei dem Cyberangriff um einen staatlich gelenkten Angriff handelt, wenn er sich auf den Leistungsausschluss berufen möchte. Der Nachweis wird dem Versicherer aber nur schwerlich gelingen, denn Hacker geben in der Regel nicht Preis, dass sie für eine Regierung handeln.“ Überdies sei es IT-Forensikern hinterher meist unmöglich, den tatsächlichen Ursprung des Angriffs zu lokalisieren, da Hacker ihre Spuren immer besser zu verschleiern wüssten.

Sonderfall Ransomware-Angriff

Etwas anders könne sich die Situation bei der Zahlung von Lösegeld in Ransomware-Fällen darstellen, die in vielen Policen mitversichert ist. Denn stammen solche Angriffe nachweislich aus Russland, drohen Leistungsausschlüsse der Versicherer. Grund: Vor der Zahlung eines Lösegelds führen die Versicherer einen Sanktions- und Compliance-Check durch. „Dabei wird auch geprüft, ob die Angreifer auf einer Sanktionsliste stehen und somit keine Zahlungen an diese geleistet werden dürfen. Denn anderenfalls droht dem Versicherer und dem Unternehmen die Gefahr, selbst auf eine Sanktionsliste gesetzt zu werden“, so Wrana. „Aufgrund der umfassenden Sanktionen gegen Russland sind Lösegeldzahlungen an russische Hackergruppen in der Regel sanktionsbewährt und werden von Versicherern daher ggf. nicht mehr übernommen.“