Kriegsausschlüsse in Cyber-Policen

Seit Ende Februar ist ein Versicherungs-Thema in Europa aus aktuellem traurigen Anlass wieder sehr aktuell: Kriegsausschlüsse in Versicherungspolicen – insbesondere wird das Thema auch im Zusammenhang mit Cyber-Versicherungsschutz ins Spiel gebracht.

Kriegsausschlüsse

Während sich bei Sachversicherungen Kriegshandlungen meist noch recht gut einem Schadensereignis zuordnen lassen, ist dies in der Cyber-Versicherung nicht mehr so einfach – was gilt als Kriegshandlung und wie sind die Ausschlussklauseln auszulegen – Fakt ist, dass zu diesem Thema aktuell viele Meinungen im Umlauf befinden – welche Meinungen sich durchsetzen werden, wird wahrscheinlich wie so oft von Gerichten entschieden werden.

Auch in der Vergangenheit wurde bereits versucht, isolierte Schadenereignisse in die Ausschlussklausel zu subsummieren. Herrschende Meinung bisher ist allerdings, dass sich der Kriegsausschluss nur auf Kriegsakte im physischen Sinn beziehen kann – und genau diese Voraussetzung ist nun erfüllt.

Grundsätzlich sind für einen Cyber-Schadensfall mehrere Szenarien vorstellbar, wo die Anwendung eines Kriegsausschlusses (unabhängig davon, wie die Klausel im Detail formuliert ist) denkbar ist:

• Cyber-Angriffe zwischen Konfliktregionen: Unabhängig davon, ob in diesem Fall öffentliche Einrichtungen oder Unternehmen angegriffen werden, ist in diesen Fällen wohl anzunehmen, dass es sich hier meist um tatsächliche Kriegshandlungen handeln wird. Im Falle eines Cyber-Angriffs kann oft die Region, aus der die Angriffe kommen, zugeordnet werden, die Identität der Hacker, wenn diese staatlich gedeckt werden, bleibt bis auf wenige Ausnahmen oft im Dunkeln.
• Cyber-Angriffe aus Konfliktregionen auf Unterstützter von Konfliktparteien in Drittländern: Es ist durchaus vorstellbar, dass sich eine Konfliktpartei versucht, einen Vorteil zu verschaffen, indem es Unterstützer aus Drittländern durch Cyberangriffe drangsaliert, um Informationen zu erlangen oder Lieferungen zu verzögern. Wenn man bedenkt, wie öffentlich von der Politik über Hilfslieferungen von Waffen und anderem militärischem Gerät gesprochen wird, sind auch die möglichen Ziele für entsprechende virtuelle Angriffe nicht schwer auszumachen. Ein Zusammenhang ist in so einem Fall dann wohl auch schnell hergestellt.
• Cyber-Angriffe aus Konfliktregionen auf unbeteiligte Akteure in Drittländern: In diesem Fall ist grundsätzlich denkbar, dass die Cyberangriffe ein Mittel zur Kriegsfinanzierung darstellen. Doch auch vor den aktuellen Konflikten wurden bereits Zusammenhänge mit staatlich geförderten Akteuren vermutet – während sich im Nachhinein herausstellte, dass viele der Angriffe zwar staatlich geduldet (d.h. die Handlungen wurden im betroffenen Land nicht verfolgt) wurden, jedoch darüber hinaus nicht staatlich gelenkt waren.

Auch wenn sich in manchen Fällen ein Zusammenhang aufdrängen wird, wird sich wie so oft auch die Frage der Beweisbarkeit stellen. Es ist anzunehmen, dass es schwierig sein wird, die Angreifer ohne weiteres einzelnen Konfliktparteien zuzuordnen, da es von offizieller Seite kaum zu Bestätigungen der Cyberangriffe kommen wird.

Auch die Versicherungswirtschaft lässt sich zu dem Thema keine definitiven Stellungnahme entlocken, was angesichts der aktuellen Brisanz des Themas nicht überraschend ist. Die Vielzahl an verschiedenen Ausschlussklauseln macht es jedenfalls notwendig, jeden einzelnen Versicherungsfall entsprechend zu prüfen.

Sanktionen bei Lösegeldzahlungen

Ein weiteres Thema, das im Zusammenhang mit Erpressungsforderungen nicht vergessen werden darf, ist das Thema Sanktionen. Hier kann es aufgrund der aktuell geltenden Sanktionen gegen Russland zu Situationen kommen, dass die Lösegeldzahlungen zwar möglicherweise grundsätzlich versichert wären, aufgrund der geltenden Sanktionen die Zahlung allerdings an die Hackgruppe nicht vorgenommen werden darf. Die weitreichenden Sanktionen legen nahe, dass die meisten Zahlungen an russische Hackgruppen sanktionsbewährt sein werden.

Fazit

Wir sind davon überzeugt, dass uns dieses Thema über die nächsten Jahre begleiten wird und abschließend einige Punkte letztendlich von Gerichten geklärt werden müssen. Zu begrüßen wäre es natürlich, wenn die Versicherungswirtschaft mit konkreten Aussagen über die Handhabung von entsprechenden Claims aufwarten könnte – was angesichts der aktuellen Situation wohl eher in die Kategorie Wunschdenken einzuordnen sein wird.