Greift die Cyberversicherung bei staatlich geförderten Hackergruppen? Die Cyberversicherung ist ein elementarer Baustein in der Absicherung des Betriebes in der a posteriori Bewältigung von Hackerangriffen. Dabei stellt sich zunehmend ein besonderes Szenario: Wir erleben in der Cybercrime-Landschaft seit Jahren eine erstarkte Hacker-Szene, die recht offenkundig staatlich unterstützt wenn nicht gar gefördert wird.
Nun findet sich in den üblichen Versicherungsbedingungen – auch der Cyberversicherung – der wohlbekannte Ausschluss, mit dem durch „Krieg“ verursachte Schäden nicht vom Versicherungsschutz umfasst sind. Diese aus vielen Versicherungen bekannte Formulierung wird in Cyberversicherungen nicht selten auch noch erweitert um die Wortwahl, dass der Kriegsbegriff anzunehmen ist, wenn es nicht zur Anwendung physischer Gewalt gekommen ist. Das kann bei staatlichen Hackergruppen zu Problemen führen, die bereits in Erscheinung treten.
Zum Thema Hacking bei uns:
- Hackangriff bzw. Cyberangriff – Was tun?
- Wie schütze ich mich vor einem Hackangriff?
- Phishing-Seiten-Installation am Beispiel ZPhisher
- Bin ich von einem Hackangriff betroffen?
- Online-Betrug & Fake-Shops: Was tun?
- Glossar zum Cybercrime mit klassischen Angriffsszenarien
- Intime Fotos veröffentlicht – was kann ich tun?
- Übersicht: IT-Sicherheit
- Strafbarkeit der Suche nach Sicherheitslücken
Aktuelle Fälle des gezogenen Kriegsausschlusses
Auslöser für die Thematik ist die (Not)Petya-Kryptotrojaner-Familie, die 2017 breitflächig Einsatz gefunden hat und dabei insbesondere in der Ukraine, aber insgesamt auch global, massive Auswirkungen hatte. Die Schäden waren damals immens, zahlreiche Unternehmen haben erhebliche Kosten dadurch zu verbuchen. Das NCUK kam zu dem Ergebnis, dass Russland hinter dem Angriff stehen soll.
In zwei Fällen wurde bekannt, dass im Rahmen der abgeschlossenen Cyberversicherung dann die „Kriegskarte“ von dem Versicherer gezogen wurde: Bei einem Pharmakonzern und bei einem Lebensmittelkonzern.
Ist ein Kriegsausschluss bei staatlichen Hackergruppen möglich?
Tatsächlich gibt es Diskussionen dazu, ob ein „Cyberwar“ überhaupt ein Krieg ist und wie der – selbstständig auszulegende – Kriegsbegriff des Versicherungsrechts zu verstehen ist. Inzwischen scheint eine gewisse Einigkeit zu bestehen, dass das frühere schlichte Abstellen auf physische Gewalt zu kurz greift; auch noch eingängig ist, dass man das zwischen zwei Staaten stattfindende aggressive Verhalten vom Terrorismus abgrenzen muss (wobei dieser wohl auch immer häufiger ausgenommen ist).
Ansonsten gibt es dann Streit: Kommt es maßgeblich auf die Akteure, die Interessen oder die eingesetzten Mittel an? Dieser Auslegungs- und Meinungsstreit kann und soll hier nicht vertieft werden (dazu nur Günther in r+s 2019, 188 oder Dietz in DÖV 2011, 465). Wichtig ist nur, zu erkennen: Die Diskussion ist längst auch in der deutschen Rechtswissenschaft angekommen und die inhaltliche Tendenz zum Umgang mit dem Thema ist keineswegs eindeutig. Das sind ideale Voraussetzungen für lange und (für alle Beteiligte) risikoreiche Gerichtsverfahren ohne Freude – wenn man von den beteiligten Anwälten absieht.
Ausgang in den bekannten Fällen
Für die oben genannten Konzerne verlief es ganz brauchbar: Der Pharmakonzern hat vor Gericht obsiegt, es lag für das zuständige Gericht kein Kriegsfall vor. Der Lebensmittelhersteller dagegen hat sich nach Presseberichten mit dem Versicherer verglichen, die Bedingungen des Vergleichs wurden nicht publiziert.
Es steht zu befürchten, dass ohne klare Regulierung vor allem kleine KMU „hintenüber fallen“, wenn sie sich langwierige Gerichtsverfahren nicht leisten können. Auf der anderen Seite wäre zu befürchten, dass Versicherer den Leistungsbereich aus der Sorge vor faktischen „Cyberwar-Angriffswellen“ über Gebühr einschränken, damit sprichwörtlich nur noch Einzelfälle erfasst sind.
Man muss sich vor Augen halten, dass gerade herausragend wichtige und besonders viel Schaden verursachende Hacker-Gruppen regelmäßig durch staatliches nicht-eingreifen überhaupt so bedeutsam werden konnten – während der aus dem Fernsehen bekannte zielgerichtet gegen ein Unternehmen vorgehende Hacker eher der Einzelfall ist.
Fazit: Cyberversicherung und staatliche Hacker
Die Thematik wird zukünftig brenzliger werden, da sich gerade in der aktuellen weltpolitischen Lage aufdrängt, dass staatlich motiviertes Hacken nicht weniger wird. Es ist dabei durchaus zu sehen, dass in diesem Umfeld Kriegsausschlüsse, wie bisher gedacht, wenig Hilfen bieten – für beide Seiten:
- Versicherer werden auf die Durchsetzung von Kriegsausschlüssen in ihrer Cyberversicherung pochen wollen; die Beweislast dafür wird allerdings bei der Versicherung liegen, die sich fragen muss, wie sie zivilprozessual handfest nachzuweisen möchte, dass es sich bei Angriffen tatsächlich um „Kriegshandlungen“, also Aktionen eines Staates, handelt;
- Die Versicherungsnehmer dagegen werden – zu Recht – darauf pochen, dass Terrorismus von Kriegsakten abzugrenzen ist. Und gerade im Cybercrime ist die Grenze zwischen staatlich geduldetem Finanz-Terrorismus und staatlich-kriegerischer Agitation geradezu fließend;
Die nächsten Jahre werden zeigen, ob sich Anbieter und Versicherungsnehmer hier annähern, um die erhebliche Herausforderung des Umgangs mit dieser Problematik in den Griff zu bekommen. Dabei drängt die Thematik, denn zum einen entwickelt sich die Bedrohungslage dynamisch weiter – auf der anderen Seite haben beide Seiten kein Interesse an langwierigen und im Zweifelsfall auch nicht abschließend hilfreichen Zivilverfahren. Gerade Versicherungsnehmer aus dem Bereich der KMU könnten es sich dabei gar nicht leisten, erst einmal viele Jahre zu klagen, bis es dann vielleicht irgendwann mal Geld gibt.
Auf der anderen Seite muss sich die Versicherungswirtschaft in Erinnerung rufen, dass die Versicherung von massenhaft auftretenden Schäden bei „Wellen“ durchaus nichts Neues ist – gleich ob Hochwasser oder Erdbeben. Man mag überlegen, ob man das analoge Produkt einer Elementarschadenversicherung für Cyber-Angriffswellen bedeutsamer Akteure – ergänzend zu dem bisherigen klassischen Modell einer Cyberversicherung – nicht ein sinnvolles Produkt ist.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.