London, 01. Apr (Reuters) – Kriegsbedingte Schäden haben Versicherer eigentlich in ihren Verträgen standardmäßig ausgeschlossen – das gilt auch für Cyber-Policen, die angesichts der Attacken auf Firmensysteme über das Internet immer beliebter werden. Doch sollte sich der russische Angriffskrieg gegen die Ukraine tatsächlich auf die Systeme von Firmen und staatlichen Einrichtungen ausweiten, drohen den Versicherern Branchenkreisen zufolge trotz aller Klauseln Milliardenzahlungen. Für eine große Cyber-Attacke könnten rasch 20 Milliarden Dollar oder mehr fällig werden – das ist so viel wie nach einem schweren Hurrikan in den USA.
Denn wer wirklich hinter einem Cyber-Angriff steckt, lässt sich oft schwer nachweisen. In den Verträgen ist abstrakt von „staatlich geförderten Akteuren“ die Rede. Was davon erfasst ist, sei schwer zu definieren und müsse für jeden Schadenfall neu bewertet werden, sagte der Chef des Londoner Versicherungsmarktes Lloyd’s, Bruce Carnegie-Brown, der Nachrichtenagentur Reuters.
Noch sind zumindest im Westen seit dem russischen Einmarsch in der Ukraine keine Cyber-Attacken registriert worden. Die US-Regierung hat nach eigenen Angaben aber „Vorbereitungen“ von russischen Hackern für Angriffe auf amerikanische Unternehmen ausgemacht. Ob sie irgendwann ernst machten, sei aber unklar. Doch sogar wenn es einem Versicherer nachzuweisen gelingt, dass ein Cyber-Angriff auf einen seiner Kunden auf den Ukraine-Krieg zurückzuführen wäre, reicht das möglicherweise nicht aus, um Kriegsausschlüsse geltend zu machen. Denn die Formulierungen in den Verträgen seien uneinheitlich und ließen Spielraum für Interpretationen, sagt Versicherungsexperte Marcos Alvarez von der Ratingagentur DBRS Morningstar.
Da ist Streit vorprogrammiert. Ein Graubereich seien etwa „Cyber-Terrorangriffe“, die laut den Verträgen grundsätzlich gedeckt sind. Der Begriff sei so weit gefasst, dass sich die Kunden sehr weitreichend darauf berufen könnten, sagt Yosha DeLong, Cyber-Chefin beim Versicherer Mosaic. „Immer wenn es mehrdeutige Formulierungen in einem Vertrag gibt, ist das zum Vorteil des Kunden und nicht zu dem des Versicherers.“ Erst im Januar hatte ein Gericht im US-Bundesstaat New Jersey dem US-Pharmariesen MerckMRK.N Recht gegeben, der 1,4 Milliarden Dollar von seinem Versicherer eingeklagt hatte. Merck war 2017 Opfer des „NotPetya“-Cyberangriffs geworden, für den die Regierung in Washington Russland verantwortlich gemacht hatte.
Der Krieg in der Ukraine findet längst auch im Netz statt. Nach einem Bericht der Analysefirma CyberCube gab es Attacken auf die kritische Infrastruktur, staatliche Dienstleistungen, auf Banken und die Telekommunikation in der Ukraine. Aber auch staatliche Stellen in Russland seien Zielscheibe von Cyber-Attacken, die sogar auf Nachbarstaaten wie Belarus, Polen, Litauen und Lettland überschwappten. Einige Cyber-Versicherer dächten bereits daran, Russland und die Ukraine umfassend aus der Deckung auszunehmen, sagt Meredith Schnur, die beim Versicherungsmakler Marsh für das Thema in den USA und Kanada zuständig ist.
Die Prämien in der Cyber-Versicherung sind schon lange vor dem Ukraine-Krieg nach oben geschnellt. Grund dafür sind vor allem die Lösegelder, die die Internet-Erpresser verlangen. Sie fordern längst keine pauschalen Summen mehr, sondern eruieren genau, wie viel sich ihr Opfer leisten kann – oder muss.
Nach Angaben von Marsh haben sich die Prämien im vierten Quartal in den USA mehr als verdoppelt, in Großbritannien annähernd verdoppelt. In Branchenkreisen heißt es, das werde in diesem Jahr in ähnlichen Größenordnungen weitergehen. Zahlreiche Unternehmen trauen sich inzwischen gar nicht mehr oder nur in Konsortien, Großkonzerne gegen Angriffe aus dem Netz zu versichern, und konzentrieren sich lieber auf den Mittelstand. „Die Ukraine und Russland vergrößern nur den Druck auf die Prämien und die Verfügbarkeit“, sagt ein Berater.
Russischer Cyber-Krieg könnte Versicherer Milliarden kosten
Copyright: (c) Copyright Thomson Reuters 2022
Titelfoto: Symbolfoto
Wichtige Entwicklungen zur Ukraine.