Krieg in der Ukraine kein Ausschluss­grund für Cyberpolicen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert im Zusammenhang mit der Situation in der Ukraine weiterhin eine abstrakt erhöhte Bedrohungslage für die Informationssicherheit in Deutschland. Für das BSI ist aber aktuell keine akute unmittelbare Gefährdung ersichtlich. Diese Bewertung könne sich aber jederzeit ändern. Das BSI ruft Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu erhöhen.

Krieg wird für Phishing-Attacken benutzt

Seit Beginn des russischen Angriffs auf die Ukraine sei es in Deutschland zu wenigen unzusammenhängenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen gehabt hätten. Es gebe zudem Medienberichte über erhöhte Aktivitäten von sogenannten Trollen. Erste Phishing-Mails mit Bezug zum Ukraine-Krieg seien nun auch auf Deutsch im Umlauf. „Dabei treten Vorschussbetrügereien auf, bei denen die Mail-Empfänger z.B. gebeten werden, vermeintlichen Opfern des Krieges Geld für die Flucht zu überweisen. Daneben gibt es auch klassisches Phishing, das mit reißerischer Berichterstattung die Mail-Empfänger zum Klicken zum Beispiel auf einen Weiterlesen-Button verleiten soll. Auch Scam-Mails, die betrügerische Spendenaufrufe verbreiten, sind in Umlauf“, schreibt das BSI auf seiner Internetseite. Bei den aktuellen Phishing-Mails werde demnach der Krieg gegen die Ukraine zu kriminellen Zwecken genutzt. Nach Einschätzung des BSI dürfte das Aufkommen an Phishing-Mails auch im deutschsprachigen Raum weiter zunehmen.

Keine Anknüpfungspunkte für Kriegsausschluss

Zur Frage, inwieweit diese Bedrohungen für deutsche Unternehmen mit Blick auf deren Cyberversicherungen Bedeutung haben, hat nun auch die Cyberdirekt GmbH Stellung genommen. Das Berliner Insurtech tritt u.a. als Makler von Cyberpolicen für kleine und mittelständische Unternehmen auf. Geschäftsführer Ole Sieverding erklärt: „In den Cyber-Risiko-Policen der in Deutschland tätigen Versicherer ist aktuell zumeist ein recht generischer Kriegsausschluss vereinbart. Dieser zielt in der Regel auf Schäden durch einen physischen Krieg oder eine gewaltsame Machtübernahme zwischen Staaten ab. Da Deutschland derzeit keine aktive Kriegspartei ist, fehlt dem Kriegsausschluss zum jetzigen Zeitpunkt bei reinen Cyberangriffen der Anknüpfungspunkt sowie das Kriterium der Zwischenstaatlichkeit." Hinzukomme, dass die Beweislast von Ausschlusstatbeständen beim Versicherer liegt. Bei Cyberattacken sei die Beweisbarkeit besonders schwer, da die Angreifenden im Verborgenen agieren und regelmäßig weder ihre Identität noch ihre Intention, geschweige denn Auftraggebende offenlegen, so Sieverding. „Daher fehlte es bei bei professionellen Angriffen eigentlich immer an der Nachweisbarkeit, dass es sich eindeutig um einen staatlich initiierten Vorfall im kriegerischen Kontext handelt.“

Richtersprüche zugunsten der Unternehmen

Nach Einschätzung von Cyberdirekt sind die Versicherer somit für deutsche Versicherungskunden weiterhin vollumfänglich in der Leistungspflicht. Bei mitversicherten ukrainischen Tochtergesellschaften komme es allerdings auf den Einzelfall an. Mit Blick auf die bisher ebenfalls nicht direkt in den Konflikt involvierte USA sagt Sieverding: „Zwei Präzedenzfälle in den USA – Ace gegen Merck und Zurich gegen Mondelez – haben gezeigt, dass die Richter bisher zugunsten der Versicherungsnehmer entscheiden. Konkret ging es um Sachschäden durch den vermutlich russisch initiierten „NotPetya“-Schadcode im Jahr 2017, der sich wurmartig über eine ukrainischen Steuersoftware unkontrolliert ausgebreitet und viele Kollateralschäden gefordert hat. Eine vergleichbare Auslegung erwarten wir auch in Deutschland, sollte es überhaupt zu ähnlichen Streitigkeiten bezüglich des Kriegsausschlusses kommen.”

Sanktion: keine Lösegeldzahlungen an russische Organisationen

Darüber hinaus ist laut Cyberdirekt zu erwarten, dass Versicherer in der Schadenregulierung von Ransomware-Fällen insbesondere bei der Zahlung von Lösegeld genau prüfen werden, ob es Hinweise auf Verbindungen zu Russland gibt. Es sei anzunehmen, dass Lösegeldzahlungen an russische Organisationen unter das aktuelle Sanktionsregime fallen und damit nicht vom Versicherer geleistet werden dürfen. Das gleiche Risiko bestehe auch für die Unternehmen selbst. Daher sei es umso ratsamer, sich gewissenhaft auf den Fall der Fälle vorzubereiten, um eine Lösegeldzahlung gar nicht erst in Erwägung ziehen zu müssen.

Im Ergebnis sehen die Berliner Cyberexperten derzeit für deutsche Unternehmen keinen weiteren akuten Handlungsbedarf, sofern sie bereits über eine gute Cyberversicherung verfügen. Gerade im klassischen Mittelstand hätten sich laut einer aktuellen repräsentativen Umfrage knapp 42 Prozent der Entscheider aber nicht ausreichend mit einer Risikoübertragung durch eine Cyberversicherung beschäftigt.