Katastrophale Risiken wie Naturkatastrophen und auch Cyberangriffe erfordern eine Versicherung. Die Versicherer können sich hohe Auszahlungen leisten, wenn ein Versicherter betroffen ist - indem sie die Risiken bündeln und die Versicherungsprämien der versicherten Unternehmen heranziehen, die nicht betroffen waren. 

Aber damit eine Versicherung funktioniert, muss es einen Sinn für Fairness geben - die Versicherer müssen dafür sorgen, dass Versicherungspolicen nicht missbraucht werden. So sollte zum Beispiel vermieden werden, dass ein Unternehmen eine Police beantragt, weil es bereits im Voraus weiß, dass es die Police schnell in Anspruch nehmen wird.

Diese Sicherheitsvorkehrungen sind in den Bedingungen einer Police verankert. Bei der Cybersicherheitsversicherung werden diese Bedingungen - auch als Kleingedrucktes bekannt - jedoch zunehmend zu einem umstrittenen Thema, und zwar so sehr, dass es nun berechtigte Fragen zum Wert der Cybersicherheitsversicherung gibt.

In diesem Artikel befassen wir uns mit den Problemen im Zusammenhang mit den so genannten Kriegsausschlussklauseln - und erklären, warum die Tatsache, dass die Versicherer diese Klauseln in das Kleingedruckte der Policen schreiben, den Wert der Cyberversicherung deutlich verringert.

Verständnis der Cybersicherheitsversicherung

Ein erfolgreicher Cyberangriff kann wahrhaft katastrophale Auswirkungen haben und Millionen an Geschäftseinbußen, erheblichen Imageschaden und schlimmstenfalls die Schließung eines ganzen Unternehmens zur Folge haben. Diese Art von Katastrophe ist ein typisches Beispiel für ein Risiko, das ein Versicherungssystem erfordert. Gegen eine Prämie sollten Unternehmen, die eine Cybersicherheitsversicherung abschließen, theoretisch für ihre Verluste abgesichert sein.

Die Zunahme erfolgreicher, schädlicher Cyberangriffe hat zu einem Ansturm auf Versicherungsprodukte geführt. Ein weit verbreiteter Ransomware-Angriff - NotPetya - verursachte zum Beispiel Kosten, die auf in Höhe von 10 Milliarden Dollar.

Die Nachfrage nach Cybersicherheitsversicherungen wird nicht nur durch die Tatsache angetrieben, dass die Verluste potenziell katastrophal sind. Die Schwierigkeit, Unternehmen vor Angriffen wie Ransomware zu schützen, ist ein ebenso wichtiger Faktor. Im Grunde ist es fast unmöglich, sich gegen Angriffe abzusichern, da es immer wieder neue Schwachstellen und Exploits gibt, mit denen man nur schwer Schritt halten kann. Mit anderen Worten: Ein Cyberangriff ist eine Katastrophe, die jedes Unternehmen treffen kann - es ist also sinnvoll, sich dagegen zu versichern.

Je nach Police sind Sie für die meisten schädlichen Auswirkungen eines Cyberangriffs versichert - vom Verlust wertvoller Daten bis hin zu Einkommensverlusten, die durch die Unterbrechung eines Angriffs entstehen. Auch Erpressung kann in Ihrem Versicherungsschutz enthalten sein. In diesem Fall erhalten Sie Ihr Geld zurück, wenn Sie am Ende ein Lösegeld zahlen müssen.

Die Versicherungssumme und die Bedingungen, unter denen die Police ausgezahlt wird, sind im "Versicherungsschein", auch Kleingedrucktes genannt, dokumentiert. Das Kleingedruckte enthält auch einen weiteren wichtigen Aspekt einer Police - die Umstände, unter denen die Police nicht ausgezahlt wird, selbst wenn Sie einen Schaden erlitten haben.

Warum das Kleingedruckte Anlass zur Sorge gibt

Wenn man darüber nachdenkt, ist es völlig vernünftig, dass eine Versicherungsgesellschaft die Bedingungen, unter denen eine Police ausgezahlt wird, einschränkt. Der Versicherer muss sicherstellen, dass er gegen betrügerische Ansprüche - und gegen opportunistische Ansprüche - geschützt ist.

Das Kleingedruckte ist also nicht immer etwas, worüber man sich Sorgen machen muss - es stellt lediglich sicher, dass beide Vertragsparteien fair behandelt werden. Das Kleingedruckte stellt sicher, dass beide Parteien wissen, was von ihnen erwartet wird, einschließlich der Ansprüche, die der Versicherungsnehmer aus dem Vertrag hat.

So ist es beispielsweise üblich, dass Cyber-Versicherungspolicen von Unternehmen verlangen, dass sie zumindest einige Anstrengungen zum Schutz ihrer Arbeitslasten unternehmen. Und warum? Nun, unbewachte Arbeitslasten sind ein offenes Ziel für Angreifer, und es ist nicht fair zu erwarten, dass die Versicherung zahlt, wenn einfache Vorsichtsmaßnahmen nicht getroffen werden.

Dies bringt uns zu einem immer häufigeren Punkt im Kleingedruckten, der Anlass zur Sorge gibt. Heutzutage enthalten Cyber-Versicherungspolicen eine Klausel, die besagt, dass die Versicherung nicht zahlt, wenn der Angriff und der daraus resultierende Schaden das Ergebnis von Kriegsführung oder kriegsbezogenen Handlungen war. Wir werden uns jetzt ansehen, warum das wichtig ist.

Kriegsausschlüsse erhöhen die Komplexität

Cyberangriffe sind mittlerweile ein fester Bestandteil der internationalen Kriegsführung - Staatliche Akteure greifen ihre Feinde nicht nur im physischen Bereich an, sondern auch durch elektronische Kriegsführung. In der Vergangenheit wurden in der Vergangenheit im Kleingedruckten von Versicherungspolicen häufig Kriegsausschlüsse aufgenommen mit der Begründung, dass ein Krieg ein so katastrophales Ereignis ist, dass ein Versicherer nicht überleben kann, wenn alle seine Versicherungsnehmer gleichzeitig für kriegsbedingte Schäden aufkommen.

Genau wie die normale Kriegsführung ist auch die Cyber-Kriegsführung wahllos - alles und jedes kann zerstört werden, weit über die ursprünglichen Ziele hinaus. Die Versicherer haben also einen triftigen Grund für die Aufnahme einer Ausschlussklausel, aber insbesondere im derzeitigen geopolitischen Klima führen Kriegsausschlussklauseln zu einigen Problemen.

Die Definition des Begriffs "Krieg" ist nur das erste Problem. Aber es gibt noch ein schwierigeres Problem. Wem ist der durch einen Cyberangriff verursachte Schaden zuzuschreiben? Cyber-Kriminelle sind nicht gerade gesprächig - ein Angriff erfolgt, und die Täter verschwinden im Dunkeln. Es ist schwierig herauszufinden, wer die wahren Akteure hinter einem Ransomware-Angriff waren.

Mit anderen Worten: Es ist nicht einfach zu entscheiden, ob es sich bei dem Angriff um eine Kriegshandlung handelte oder ob er auf etwas anderes zurückzuführen ist. War es eine staatliche Gruppe? Möglicherweise - aber es ist schwer zu sagen. Wenn es sich um eine staatliche Gruppe handelte, die Kriegsziele verfolgte, wird der Versicherer den Schaden aufgrund der Kriegsausschlussklausel natürlich nicht auszahlen.

In Anbetracht des potenziellen Schadensumfangs einer Cybersicherheitsversicherung ist es nicht verwunderlich, dass die Versicherer versuchen, sich vor der Zahlung des Schadens zu drücken, indem sie angeben, dass es Grund zu der Annahme gibt, dass der Schaden das Ergebnis kriegsähnlicher Aktivitäten ist.

Ihr Vertrag kann vor Gericht überprüft werden

Ein Versicherer kann die Zahlung eines Schadens einseitig verweigern, wenn er glaubt, dass es dafür Gründe gibt. Angesichts der "Chance", dass ein staatlicher Akteur in einen Angriff verwickelt ist, besteht nun das Risiko, dass ein Versicherer die Zahlung des Schadens einfach verweigert - Ende der Geschichte. Zumindest nach Ansicht des Versicherers.

Als Versicherungsnehmer könnten Sie versuchen, mit dem Versicherer zu streiten, aber bei Schäden in Millionenhöhe stehen die Chancen gut, dass der Versicherer auf seinem Standpunkt beharrt. Ihr Ausweg: die Gerichte. Und genau das ist in letzter Zeit bei einer Reihe von Ransomware-Ansprüchen geschehen.

Ein Beispiel, das kürzlich für Schlagzeilen sorgte, ist Merck gegen Ace American. Merck, ein großes Pharmaunternehmen, wurde Opfer der NotPetya-Angriffe, die mit dem russischen Militär in Verbindung gebracht wurden. Der Versicherer Ace America lehnte eine Forderung von Merck in Höhe von 1,75 Mrd. USD mit der Begründung ab, dass der Versicherungsschutz ausgeschlossen sei, weil die Akteure hinter NotPetya in einer Kriegshandlung auf militärische Vorteile aus seien.

Merck akzeptierte das Argument des Versicherers nicht und verklagte Ace American vor Gericht. Nach mehr als drei Jahren entschied das Gericht zu Gunsten von Merck und sprach ihm den Schadenersatz zu. In diesem Fall entschied das Gericht, dass das Kleingedruckte von Ace American die Verbindung zwischen Ransomware-Angriffen und einer Kriegshandlung nicht deutlich genug darstellte. Es hätte so oder so ausgehen können.

Gute Cybersicherheit ist die beste Versicherung

Während Merck seinen Fall gewonnen hat, hat auch die Versicherungsbranche ihre Lektion gelernt, weshalb die Lloyd's Market Association ein Dokument veröffentlicht veröffentlicht, das mehrere Klauseln enthält, die ihre Mitglieder zur Verschärfung der kriegsbedingten Bedingungen für die Auszahlung von Ansprüchen verwenden können.

Es kann durchaus sein, dass künftige Fälle zu Gunsten des Versicherers entschieden werden und das versicherte Unternehmen keinen Regress für Ransomware-Schäden geltend machen kann. Mit anderen Worten: Es besteht ein reales Risiko, dass die Versicherung, die Sie abgeschlossen haben, nicht auszahlt.

Es lohnt sich zwar, über eine Ransomware-Versicherung nachzudenken, und die Zahlung der Prämien kann durchaus zu einer hohen Auszahlung führen, doch muss man sich darüber im Klaren sein, dass eine Police für Cyber-Risiken nur bis zu einem bestimmten Punkt reicht. Der Schutz Ihres Unternehmens vor einem Angriff ist bei weitem das Wichtigste, was Sie tun können - eine Versicherung ist nur der allerletzte Ausweg.

Sie müssen weit über die minimalen Cybersicherheitsanforderungen von Richtlinien hinausgehen. Unsere Live-Patching-Lösung - KernelCare Enterprise - ist eines der vielen Tools, die in Ihrem Arsenal vorhanden sein sollten. Luftdichte Cybersicherheit ist nicht realistisch, aber Sie wollen ihr so nahe wie möglich kommen, und KernelCare ist ein wichtiger Schritt.

Kurz gesagt: Ja, schließen Sie eine Versicherung gegen Cyberrisiken ab, wenn die Prämien angemessen sind. Aber achten Sie darauf, dass Ihre Police Kleingedrucktes enthält, das Sie später überraschen könnte.