Der Lebensmittelhersteller Mondelez – in Deutschland zum Beispiel für die Milka-Schokolade bekannt - hat Klage gegen die Zürich-Versicherungsgruppe eingereicht, um eine Auszahlung der Ansprüche aus einer Cyberversicherung geltend zu machen. Im Rahmen des NotPetya-Angriffs hatte Mondelez nach eigenen Angaben einen Schaden von rund 100 Millionen US-Dollar erlitten und diesen bei der Versicherung zwecks Erstattung gemeldet. Die Zürich-Gruppe bestreitet die Forderung allerdings – die Versicherung beruft sich auf eine Klausel, nach der Schäden durch kriegerische Handlungen von der Haftung ausgeschlossen seien.
Es geht hier aber nicht nur um 100 Millionen Dollar. Im Grunde geht es darum, einen Präzendenzfall zu schaffen und um eine Neudefinition des Kriegsbegriffes im Sinne der Versicherung. Diese Definition wäre dann eine weitere in einer langen Liste anderer Definitionen. Hätte die aktuelle Entscheidung bestand, könnte das zu Problemen für viele Unternehmen führen.
Die Lage wird dadurch verkompliziert, dass viele Konzepte und Begrifflichkeiten im Versicherungswesen dem Seerecht des 18. und 19. Jahrhunderts entlehnt und deshalb - wenn überhaupt - nur begrenzt auf moderne Konzepte wie das Internet anwendbar sind.
Zürich steht mit seiner Meinung aktuell allein da
Zu beachten ist: Zürichs Definition des aktuellen Vorgangs ist nicht unumstritten. Das Consulting-Unternehmen Marsh zum Beispiel, das sich unter anderem mit Risikomanagement befasst, hat eine ganz andere Meinung zum Thema. Das Unternehmen beantwortet die Frage, ob NotPetya eine kriegerische Handlung darstelle mit einem „klaren und eindeutigen Nein“. Auch die Zürich-Versicherungsgruppe hatte zunächst einer Auszahlung der Versicherungssumme zugestimmt, bevor sie sich auf die vordem erwähnte Klausel berief und die Auszahlung dann doch ablehnte. Daraufhin reichte der Lebensmittelkonzern im Oktober eine Klage beim zuständigen Bezirksgericht ein.
Der Begriff „Cyber-Krieg“ ist nicht ohne Grund problematisch und wird kontrovers diskutiert. Der US-Amerikaner Richard Clarke zum Beispiel definiert Cyberwar als gezielte Angriffen eines Nationalstaates auf die Rechnernetze oder Computer eines anderen Staates, mit dem Ziel Ausfälle und Schäden zu verursachen.
Andere Stimmen lehnen den Begriff ab und verweisen stattdessen auf die Motivation eines Angriffs, wenn es um die Einordnung geht. Findet ein Angriff aus religiösen oder ideologischen Gründen statt, müsse man eher von Cyberterrorismus sprechen. Ein Angriff aus wirtschaftlichen Gründen wäre nichts weiter als „normale“ Cyberkriminalität. Terrorismus besitzt allerdings wiederum eigene Definitionen, die teilweise weit auseinandergehen – einige Definitionen sprechen hier ausdrücklich von gewaltsamen Aktionen als Definitionskriterium, andere – wie zum Beispiel das DCINT-Handbuch „Cyber Operations & Cyber Terrorism“ wiederum nicht. Das vordem erwähnte Handbuch räumt jedoch auch ein (siehe S. 17), dass das Konzept nicht klar umrissen und die Trennlinie zwischen den Motivationen nicht immer scharf ist.
Die Diskussion wird im Zuge der Aufbereitung der NotPetya-Welle neu belebt, die 2017 zahlreiche Unternehmen in Mitleidenschaft gezogen und weltweit Schäden in Milliardenhöhe verursacht hat. Es gibt durchaus Indizien, die im Fall von NotPetya für eine unmittelbare Urheberschaft Russlands sprechen, allerdings sind derlei Beweise auch fälschbar. Die Attribution, also die Zuordnung eines Angriffs zu einem Urheber, ist seit jeher ein schwieriges, teilweise unmögliches Unterfangen.
Eigentlich sind die Definitionen eindeutig
Fakt ist jedoch, dass „kriegerische Handlungen“ rechtlich genau umrissen sind. Von „Krieg“ sprechen die Vereinten Nationen unter anderem dann, wenn Streitkräfte mehrerer Länder in direktem gewaltsamen und bewaffneten Konflikt miteinander stehen und wenn der Kriegszustand seitens der Staatsoberhäupter der beteiligten Länder offiziell anerkannt wurde. Sind die Merkmale für einen Krieg nicht erfüllt, sprechen Juristen von einem „Bewaffneten Konflikt“. Für den vorliegenden Fall wäre demnach streng genommen der Verweis auf die Ausschlussklausel für den Kriegsfall nicht gerechtfertigt.
Die Frage ist also, ab wann von einer kriegerischen Handlung gesprochen werden kann und woran sich diese festmacht. Kommt es auf den Auftraggeber an? Ist die Zahl befallener Rechner hier das entscheidende Kriterium? Sind die Auswirkungen auf ein Unternehmen oder eine Behörde auschlaggebend?
Drastisch formuliert wäre es theoretisch sogar denkbar, dass ein Schadsoftware-Befall, der auf einen alleinstehenden Amateur zurückgeht, aber dennoch Millionenschäden und Ausfälle verursacht hat, zumindest versicherungsrechtlich als kriegerischer Akt gewertet wird und somit einen Haftungsausschluss bedingt – obwohl hier keine der NATO- oder UN-Definitionen greift. Damit wären Versicherer in der Lage, für Zwischenfälle dieser Art im Einzelfall einen generellen Haftungsausschluss durchzusetzen. Für Unternehmen, die auf Planungssicherheit angewiesen sind, sind diese Fragen von existenzieller Bedeutung. Daher ist der aktuelle Prozess nicht nur im Einzelfall interessant, sondern von grundlegender Bedeutung.
Das Gerichtsverfahren ist anhängig – mit einem schnellen Urteil ist nicht zu rechnen. Der nächste Termin ist für den 17. Dezember angesetzt.
Eine Cyberversicherung allein macht nicht glücklich
Auch ohne den Rekurs auf einen vermeintlichen oder realen Kriegszustand sollten Unternehmen beim Abschluss einer Cyberversicherung einige Punkte beachten. Denn die Versicherer haben sehr konkrete Anforderungen festgelegt, die Unternehmen erfüllen müssen um Leistungen zu erhalten. Diese sind festgelegt in der VdS-Richtlinie 3473 und umfassen unter anderem:
1) IT-Sicherheit ist Sache des Top-Managements
2) Ein Sicherheitsverantwortlicher muss für seine Tätigkeiten freigestellt werden
3) Klare Definition von Zuständigkeiten
4) Eindeutige Bestandsaufnahme schützenswerter Daten