Cyber-Attacken aus Russland: GDV macht Mut in puncto Deckung

Florian Burghardt Digital Berater Versicherungen

In Folge von Russlands Krieg gegen die Ukraine rechnen Experten mit mehr Cyber-Angriffen auf westliche Staaten. Zuletzt wurde viel darüber diskutiert, ob Cyber-Policen solche Schäden abdecken. Offenbar ist die Rolle der Versicherer aber ziemlich eindeutig.

Bild: Adobe Stock/Jacob Lund

Erleichterung bei deutschen Firmen: Sofern sich Putin nicht hinstellt und dem Westen offiziell den Cyber-Krieg erklärt, dürfte die Leistungspflicht der Cyberversicherer fortbestehen. Bild: Adobe Stock/Jacob Lund

In diesem Punkt sind sich Versicherer, IT-Experten und Politiker gerade alle einig: Im Zuge des Ukraine-Kriegs rechnen sie mit einer Zunahme von gezielten Cyber-Angriffen russischer Hacker auf Unternehmen und Einrichtungen westlicher Staaten, darunter explizit auch Deutschland. Die zurecht harten wirtschaftlichen Sanktionen als Reaktion auf Russlands Krieg würden das Risiko von Cyber-Attacken erhöhen, schlussfolgerte gestern auch der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in einem Statement.

Allerdings geht man beim GDV davon aus, dass auch bei einer Zunahme von Cyber-Attacken in Folge des Kriegs die überwiegende Summe der Schäden von Cyber-Versicherungen gedeckt sein werden. Das liege einfach daran, dass die Identität des Angreifers in den allermeisten Fällen nicht festgestellt werden könne. Grundsätzlich würde es auch nicht darauf ankommen, aus welchem Land die Attacken herrühren, heißt es im GDV-Statement. Aber: Sofern sich die Angriffe als offizielle Kriegshandlungen herausstellten, würde der in den Cyber-Policen vereinbarte Kriegsausschluss greifen.

Kriegshandlung: Beweislast liegt beim Versicherer

Wie schmal dabei der Grat zwischen Versicherungsschutz und Ausschluss verläuft, hatte kürzlich auch die auf Cyber-Versicherungen spezialisierte Maklerin Adelheid Bochmann aufgezeigt. Grundsätzlich liege es aber an den Versicherern, den Nachweis zu erbringen, dass bei einem Cyber-Schaden eine Kriegshandlung vorliegt und somit der Ausschluss greife, schreibt der GDV.

Dass diese schwer zu erbringende Beweislast beim Versicherer liegt, betont man auch bei der spezialisierten Cyber-Maklerplattform CyberDirekt aus Berlin. Die Produktgeber für deutsche versicherte Firmen seien weiterhin vollumfänglich in der Leistungspflicht. Bei mitversicherten ukrainischen Tochtergesellschaften käme es allerdings auf den Einzelfall an, sagt CyberDirekt-Geschäftsführer Ole Sieverding.

Er verweist auf zwei Präzedenzfälle aus den USA, Ace gegen Merck und Zurich gegen Mondelez. In beiden Fällen sei es durch den „vermutlich russisch initiierten“ Schadcode NotPetya zu Sachschäden gekommen, weil dieser angeschlossene Hardware beschädigt hatte. Die Versicherer hatten sich jeweils auf den Kriegsausschluss berufen, die Richter hätten aber zugunsten der Versicherungsnehmer entschieden, berichtet Sieverding.

Noch keine vermehrten Schäden festgestellt

Aus Sicht des GDV seien diese beiden Fälle aber ohnehin nicht auf die zu erwartenden Cyber-Szenarien in Deutschland anzuwenden. Zunächst, weil es sich dabei um US-amerikanische Versicherungsbedingungen handelte, die nicht 1:1 auf den deutschen Markt übertragbar seien. Aber auch, weil es dabei nicht konkret um den Deckungsschutz aus Cyber-Versicherungen ging.

In dem GDV-Statement heißt es außerdem, dass Lloyd’s of London kürzlich weichere Klauseln vorgestellt habe, die es den Cyber-Versicherern erleichtern würden, die Leistung abzulehnen. Laut dem Gesamtverband seien diese aber bislang nicht auf dem deutschen Markt etabliert. Trotz des erhöhten Risikos betont man beim GDV, dass die Versicherer seit Kriegsausbruch noch keine vermehrten Cyber-Schäden festgestellt haben.

Wenn Ihnen dieser Artikel gefällt, abonnieren Sie unseren täglichen kostenlosen Newsletter für weitere relevante Meldungen aus der Versicherungs- und Finanzbranche!