Nützlichkeit von Cybersecurity-Versicherungen erneut in Frage gestellt
Cybersicherheitsversicherungen werden von vielen als letztes Sicherheitsnetz betrachtet, das, wenn etwas auf schreckliche Weise schief geht, zumindest ein bisschen Hoffnung auf irgendeine Form der Entschädigung bietet.
Wie auch immer, wie wir, und anderein der Vergangenheit erörtert haben, zeigen reale Szenarien eine andere Seite des erwarteten Schutzes, den solche Versicherungspolicen bieten.
Abgesehen von der schwer zu widerlegenden "Acts of War"-Klausel, die in solchen Policen enthalten ist, wurde über die Feiertage ein weiterer Nagel in den sprichwörtlichen Sarg der Cybersicherheitsversicherung eingeschlagen, und zwar mit freundlicher Genehmigung des Obersten Gerichtshofs von Ohio - mit dem Potenzial, alle bestehenden Cybersecurity-Versicherungspolicen im Grunde zu wertlosen Blättern Papier zu machen.
Die Geschichte neu erzählen
Im Jahr 2019 wurde ein in Ohio ansässiges Unternehmen leider von einem Ransomware-Angriff betroffen. Das war nichts Außergewöhnliches, denn Ransomware war und ist ein sehr lukratives Geschäft, und es gibt viele potenzielle Opfer auf der ganzen Welt. Das geforderte Lösegeld betrug 3 Bitcoins, was damals einem Wert von etwa 35.000 Dollar entsprach. Aus Gründen, die für diese Geschichte nicht relevant sind, hat das Unternehmen den (unklugen) Schritt unternommen, das Lösegeld zu zahlen, um den Zugriff auf seine eigenen Dateien wiederherzustellen. Bislang ist diese Geschichte nichts Ungewöhnliches und ähnelt Hunderten von Fällen auf der ganzen Welt.
Da das Unternehmen über eine Cybersecurity-Versicherung verfügte, stellte es am nächsten Tag bei seiner Versicherung einen Antrag auf Erstattung des für die Lösegeldzahlung aufgewendeten Betrags sowie auf Erstattung der zusätzlichen Schäden (Umsatzeinbußen).
Jetzt wird es interessant. Noch am selben Tag, an dem die Forderung eingereicht wurde, antwortete die Versicherungsgesellschaft und weigerte sich, den Forderungen nachzukommen, mit der Begründung, dass es keine "direkten physischen Schäden" durch die Ransomware gegeben habe und sie daher keine Entschädigung zahlen würde.
Offensichtlich war das Unternehmen aus Ohio mit dieser Antwort nicht zufrieden und verklagte die Versicherungsgesellschaft vor Gericht, wo es - zur großen Überraschung - den Fall verlor, da das ursprüngliche Urteil die Behauptung der Versicherungsgesellschaft bestätigte, dass "kein physischer Schaden vorlag" .... auf einen Cybersecurity-Versicherungsanspruch.
Wiederum unzufrieden mit dem Ergebnis, folgten Berufung, Klage und Gegenklage, bis die Entscheidung den Obersten Gerichtshof von Ohio erreichte, der Ende Dezember 2022 ein Urteil fällte. Und in einer offenbar kurzsichtigen Entscheidung bestätigte der Oberste Gerichtshof von Ohio die ursprüngliche Entscheidung und fügte hinzu, dass (frei zitiert) "es keinen physischen Schaden geben kann, da Software ein Satz von Computeranweisungen ist" (...) "ein Satz von Einsen und Nullen". Auch hier gilt es zu bedenken, dass es sich um eine Cybersicherheit Versicherungspolice bezieht.
Wie diese Entscheidung das Spielfeld verändert
Um ehrlich zu sein, sind in der Vergangenheit bereits physische Schäden durch Ransomware-Infektionen entstanden. Sogar Todesfälle wurden in direktem Zusammenhang mit Ransomware-Infektionen Infektionen aber das wurde später widerlegt. Es bedarf einer ganz besonderen Art von Umgebung, um physische Schäden infolge einer Ransomware-Infektion zu verursachen - zum Beispiel Fehlfunktionen von Geräten im Gesundheitswesen oder automatisierte Fabrikanlagen, die nicht mehr funktionieren - aber es müssten sein extreme Fehlfunktionen. Allerdings handelt es sich dabei um die absolute Minderheit der Fälle, eine prozentuale Panne unter Tausenden von Vorfällen dieser Art.
Wie der Oberste Gerichtshof zu Recht feststellt, betreffen Ransomware-Infektionen Software - und Daten, was nicht ausdrücklich erwähnt wurde - und diese sind in der Tat eine Reihe von Einsen und Nullen. Es ist nur eine sehr wertvolle und furchtbar wichtige Menge von Einsen und Nullen. Sogar so wertvoll, dass Unternehmen eine Versicherung als Teil ihrer Cybersicherheitsvorkehrungen versichern.
Es stellt sich also die Frage, wovor genau die Versicherungsgesellschaften die Versicherer schützen? A Diskette, die zu schnell ausgeworfen wird und jemanden verletzt? Jemand, der sich die Finger verbrüht, wenn er einen überhitzten Server berührt, der seine eigenen Dateien verschlüsselt?
Diese Entscheidung des Obersten Gerichtshofs stellt einen Präzedenzfall dar. Künftig können alle derartigen Policen in der Praxis für nichtig erklärt werden, da sich die Versicherungsgesellschaften jederzeit auf diese Entscheidung berufen und die Zahlung von Schadenersatz vermeiden können (bekannt als Stare Decisis in Juristensprache).
Cybersecurity ohne Sicherheitsnetz
Wenn Sie in einem Unternehmen arbeiten, das eine solche Versicherung abgeschlossen hat, oder für den Abschluss einer solchen Police verantwortlich sind, sollten Sie sich von Ihrem Versicherer unbedingt darüber informieren lassen, welche Situationen tatsächlich abgedeckt sind - am besten schriftlich -, damit Sie Ihre Erwartungen anpassen können, falls Probleme auftreten. Wie bei Backups scheint es, als ob der Zustand dieser Art von Versicherung nur bekannt ist, wenn sie getestet wird, und - wieder wie bei Backups - scheint sie immer dann kaputt zu sein, wenn man sie am meisten braucht.
Erwägen Sie eine Verlagerung der Prioritäten bei den Ausgaben für Cybersicherheit. Investitionen in bessere Sicherheitslösungen und verbesserte betriebliche Verfahren ist wahrscheinlich eine bessere Investition, da die Löcher im Sicherheitsnetz mit der Zeit immer größer werden. Es wird immer schwieriger, eine solche Methode als nützliche Sicherheitsmaßnahme zu akzeptieren.
Abschließend möchte ich anmerken, dass es auch interessant sein wird, diese Entscheidung in einem verwandten Bereich zu verfolgen, in dem jedoch das gleiche Argument mit der gleichen unglücklichen Begründung gelten dürfte - Urheberrechte. Es sind immer noch nur Einsen und Nullen, oder? Da fragt man sich doch, wie lange es dauert, bis ein fleißiger Anwalt in einem solchen Fall das gleiche Argument vorbringt.
Aber das ist eine Geschichte für einen anderen Tag.
Frohes neues Jahr.