Der Angriffskrieg Russlands auf die Ukraine hat – neben der humanitären Katastrophe – auch Auswirkungen auf die Cyber-Sicherheit von Bauplanungsbüros in Deutschland und Österreich. Denn Russland führt gleichzeitig einen Cyber-Krieg – und dies nicht nur in der Ukraine! Auch deutsche und österreichische Unternehmen wurden im Rahmen des Ukraine-Krieges bereits Opfer russischer Cyber-Angriffe. Konnten sich die betroffenen Unternehmen in der Vergangenheit bei der (finanziellen) Bewältigung des Schadens durch den Cyber-Angriff noch auf ihre Cyber-Versicherung verlassen, ist zukünftig damit zu rechnen, dass sich Cyber-Versicherer auf den sogenannten „Kriegsausschluss“ berufen werden und eine Leistungspflicht verneinen.
.jpg)
Üblicherweise finden sich in den Bedingungen von Cyber-Versicherungen sogenannte „Kriegsausschlussklauseln“, wonach Schäden durch Krieg oder kriegsähnliche Ereignisse nicht versichert sind. Bereits vor dem Angriff Russlands auf die Ukraine versuchten manche Versicherer, Cyber-Angriffe als Ereignisse einzustufen, die unter die Ausschlussklausel fallen und führten an, es handele sich um einen Cyber-Krieg. Die Finlex GmbH, im Bereich „Cyber-Versicherungen“ ein Partner der pisa Versicherungsmakler GmbH, sieht dies laut Pressemitteilung anders: Verfangen habe diese Argumentation nicht, denn regelmäßig habe es bei den Angriffen an der zielgerichteten Handlung eines angreifenden Staates gefehlt. Zudem sei herrschende Meinung, dass sich der Kriegsausschluss vornehmlich auf physische Kriegsakte beziehe. Im Krieg Russlands gegen die Ukraine sei die Ausgangslage jedoch eine andere und es sei zu erwarten, dass sich Cyber-Versicherer vermehrt auf eine Leistungsfreiheit aufgrund des Kriegsausschlusses berufen werden. Denn es handele sich um einen hybriden Krieg, in dem der Cyber-Krieg den physischen Kriegshandlungen beigemischt wird. Vereinzelte Versicherer haben bereits angekündigt, dass sie die Kriegsausschlussklausel im Zusammenhang mit dem Ukrainekrieg grundsätzlich für anwendbar halten. Ein Angriff russischer Hacker auf deutsche Unternehmen wäre bei einer solchen Auslegung nicht versichert.
Die Ansicht der Versicherer kann jedoch laut Finlex nicht überzeugen. Zum einen fehle es bei den Angriffen an dem Merkmal der Zwischenstaatlichkeit, welches für die Bejahung eines Kriegs im Sinne der Kriegsausschlussklausel grundsätzlich notwendig sei. Insbesondere, wenn der Cyber-Angriff von nichtstaatlichen Hacker-Gruppen ausgeht, liege keine zielgerichtete Handlung eines angreifenden Staates vor, und somit kein Krieg im Sinne der Definition. Zum anderen befinde sich Russland „lediglich“ mit der Ukraine im Krieg und nicht mit anderen Ländern. Selbst wenn ein russischer Cyber-Angriff auf ein deutsches Unternehmen staatlich gelenkt sein sollte, so fehle es weiterhin an einer offiziellen Kriegshandlung. Fazit: Solange sich Deutschland nicht im Krieg mit Russland befinde, sei die klassische Kriegsausschlussklausel daher nicht einschlägig. Darüber hinaus müsse der Versicherer den Nachweis führen, dass es sich bei dem Cyber-Angriff um einen staatlich gelenkten Angriff handle, wenn er sich auf den Leistungsausschluss berufen möchte. Dieser Nachweis werde dem Versicherer aber nur schwerlich gelingen, denn Hacker würden in der Regel nicht preisgeben, dass sie für eine Regierung handeln. Darüber hinaus ist sei zumeist unmöglich, den tatsächlichen Ursprung des Angriffs zu lokalisieren. Die Möglichkeiten der technischen Verschleierung der Hacker seien perfektioniert und in der Regel würde diesbezügliche forensischen Untersuchungen ins Leere laufen.
Auswirkung auf die Cyber-Versicherung könnte der Ukrainekrieg jedoch auf die Zahlung von Lösegeld in Ransomware-Fällen haben. Hierbei greifen Hacker-Gruppen gezielt Unternehmen an und verschlüsseln deren Daten oder Systeme. Durch den Stillstand der Systeme droht den Unternehmen ein erheblicher finanzieller Schaden und ein eklatanter Reputationsverlust. Dies machen sich die Hacker zunutze und fordern von den angegriffenen Unternehmen Lösegelder in Millionenhöhe. Die Lösegeldzahlung ist grundsätzlich versicherbar und Policen, die einen solchen Baustein zur Zahlung von Lösegeldern enthalten, sind am Markt weit verbreitet und durchaus üblich. Handelt es sich bei den Erpressern um russische Hacker-Gruppen, dann ist jedoch laut Finlex zu erwarten, dass Versicherer keine Zahlungen leisten werden. Vor der Zahlung eines Lösegeldes prüfen die Versicherer, ob die Angreifer auf einer Sanktionsliste stehen und somit keine Zahlungen an diese geleistet werden dürfen. Denn anderenfalls droht dem Versicherer und dem vom Cyber-Angriff betroffenen Unternehmen die Gefahr, selbst auf eine Sanktionsliste gesetzt zu werden. Aufgrund der umfassenden Sanktionen gegen Russland sind Lösegeldzahlungen an russische Hacker-Gruppen in der Regel sanktionsbewährt und werden von Versicherern daher gegebenenfalls nicht mehr übernommen.
Cyber-Attacken russischer Hacker gegen deutsche Unternehmen sind nach Einschätzung von Finlex weiterhin versichert. Die klassische Kriegsausschlussklausel sei nicht einschlägig, da es an dem Merkmal der Zwischenstaatlichkeit fehle und sich Russland nicht im Krieg mit Deutschland befinde. Zudem liege die Beweislast beim Versicherer, dass es sich bei dem Cyber-Angriff um einen staatlich gelenkten Angriff handle. Die angegriffenen Unternehmen können sich bei der Bewältigung des Schadens durch den Cyber-Angriff daher laut Finlex weiterhin auf ihre Cyber-Versicherung verlassen. Erwähnenswert sei jedoch, dass es am Markt eine Vielzahl verschiedener Kriegsausschlussklauseln gebe. Es sei daher nicht auszuschließen, dass einzelne Kriegsausschlussklauseln anwendbar sind und sich der Versicherer zu Recht auf seine Leistungsfreiheit berufe. Zu Leistungsausschlüssen könne es zudem in Fällen von Ransomware-Lösegeld-Zahlungen kommen. Falls die Hacker unter Sanktionen fallen, dürften keine Zahlungen geleistet werden.
