Versicherer rechnen mit höherem Risiko durch Cyberangriffe
Vor dem Hintergrund des Kriegs in der Ukraine warnen Experten vor Hackerangriffen auf westliche Unternehmen. Wie verhält sich der Versicherungssektor? Die wichtigsten Fragen und Antworten.
Verzeichnen die Cyberversicherer bereits steigende Schäden?
Vermehrte Schäden sehen die Unternehmen noch nicht, aber Versicherer gehen davon aus, dass sich das Risiko erhöht hat. Die westliche Welt reagiert auf Russlands Krieg zurecht mit harten wirtschaftlichen Sanktionen. Es ist nicht ausgeschlossen, dass es im Zuge einer solchen Auseinandersetzung auch zu Cyberattacken aus Russland heraus auf deutsche Unternehmen kommt.
Wären solche Angriffe von einer Cyberversicherung gedeckt?
Grundsätzlich ja. Bei Cyberattacken kann in den allermeisten Fällen die Identität des Angreifers ohnehin nicht festgestellt werden. Darauf kann es also im Schadenfall auch nicht ankommen. Etwas anderes gilt nur bei offiziellen Kriegshandlungen: Dann greift der in der Regel in den Cyberpolicen vereinbarte Kriegsausschluss.
Gibt es dafür bereits Beispiele in Deutschland?
Nein, uns als Verband ist kein Fall bekannt, in dem sich ein Cyberversicherer auf den Kriegsausschluss berufen hat.
Trotzdem haben Versicherer bereits mit Hinweis auf den Kriegsausschluss Leistungen an den US-Pharmakonzern Merck und an den US-Lebensmittelhersteller Mondelez abgelehnt.
Diese Fälle lassen sich aus zwei Gründen nicht mit der aktuellen Situation in Deutschland vergleichen: Zum einen betrafen die Streitigkeiten den US-Markt und entsprechende amerikanische Versicherungsbedingungen, die nicht 1:1 auf den deutschen Markt übertragbar sind. Zum anderen ging es unseres Wissens dabei nicht um den Deckungsschutz einer Cyberversicherung.
In welchen Fällen könnte ein Versicherer sich auf den Kriegsausschluss berufen?
Nach den GDV-Musterbedingungen müsste der Versicherer nachweisen, dass eine Kriegshandlung vorlag. Kann er den Nachweis erbringen, etwa mittels eines Bekenntnisses des angreifenden Staates, greift der Ausschluss. Aktuell ist uns kein solcher Fall bekannt.
Lloyd’s of London hat erst kürzlich deutlich weichere Klauseln vorgestellt, nach denen der Ausschluss auch bei „staatlich gelenkten“ Cyberangriffen gelten soll. Zudem soll die Deckung ausgeschlossen sein, wenn betroffene Staaten einen anderen Staat für den Angriff verantwortlich macht. Wie steht der GDV dazu?
Die Lloyds-Klauseln sind bisher nicht am deutschen Markt etabliert. Uns als Verband ist bislang kein Fall bekannt, in dem sich ein Cyberversicherer auf den Kriegsausschluss berufen hat.