Können Versicherer bei Cyberangriffen mit staatlicher Beteiligung Versicherungsleistungen aus einer Cyber-Versicherung unter Berufung auf den sogenannten Kriegsausschluß ablehnen? Hintergrund dieser Frage sind Ausschlußklauseln in Allgemeinen Versicherungsbedingungen für Cyber-Versicherungen und andere Versicherungsarten, welche Versicherungsschutz für Versicherungsfälle oder Schäden aufgrund von Krieg ausschließen. Ein derartiger Kriegsausschluß ist marktüblich und findet sich beispielsweise in den Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber - Musterbedingungen des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV)). Der Krieg in der Ukraine vermehrt die Sorgen vor Cyberangriffen und dem Risiko von hohen Cyberschäden für Versicherer. Im Falle einer ausländischen Cyberattacke von staatlicher Seite auf Ziele in Deutschland ist die Anwendbarkeit des Kriegsausschlusses jedoch zweifelhaft, da es in Deutschland keinen Krieg gibt und es einem reinen Cyberangriff in Deutschland an der für Kriegshandlungen typischen physischen Gewalt fehlt. Es wird daher berichtet, dass Versicherer die Kriegsausschlüsse prüfen bzw. an einer Überarbeitung ihrer Bedingungen arbeiten.
Weiter im Detail:
Der Versicherungsmarkt Lloyd’s of London hat Ende 2021 neue Klauseln veröffentlicht, welche einen Deckungsausschluß bei staatlich gesteuerten Cyberangriffen regeln. Diese neuen Klauseln erweitern den bei Krieg geltenden Leistungsausschluss zugunsten des Versicherers auch auf sog. Cyber Operations. Der Deckungsausschluss erhält so einen erheblich erweiterten Anwendungsbereich. Möglicherweise werden sich deutsche Versicherer hieran orientieren und ihre Bedingungswerke entsprechend anpassen, um das wachsende Risiko von Cyberschäden zu minimieren, das aus staatlich gesteuerten Cyberangriffen resultiert. Unproblematisch sind die neuen Klauseln und ihre Übertragung in deutsche Versicherungsbedingungen nicht. Der Versicherer trägt die Beweislast für das Vorliegen eines Deckungsausschlusses. In der Praxis wird es dem Versicherer schwerfallen, den Nachweis dafür zu erbringen, dass eine Cyberattacke von einem Staat ausgeführt wurde.
Ein Beispielsfall möge die Problematik veranschaulichen: Im Juni 2017 verursachte die Schadsoftware NotPetya große Schäden, indem sie Dateien unwiederbringlich überschrieb. Betroffen war unter anderem der US-Pharmakonzern Merck & Co. Das Unternehmen erlitt unter anderem infolge von Produktionsausfällen und der Beschädigung von tausenden von Computern einen Schaden, für den es Ersatz von seinen Versicherern verlangte. Die nach US-amerikanischem Recht abgeschlossene „All risk“-Sachversicherungspolice gewährte auch Versicherungsschutz für Schäden, die aus der Zerstörung von Computerdaten und Software resultieren. Die Versicherer beriefen sich jedoch aufgrund eines Kriegsausschlusses in den Versicherungsbedingungen auf Leistungsfreiheit und argumentierten, die Schadsoftware sei ein Instrument der Russischen Föderation und Teil der Feindseligkeiten gegen die Ukraine gewesen. Hiergegen klagte Merck & Co im Jahr 2019. Am 6. Dezember 2021 entschied der Superior Court von New Jersey in einem jüngst veröffentlichten Urteil, dass der Kriegsausschluss nicht anwendbar sei und gab Merck & Co Recht. Die Entscheidung ist noch nicht rechtskräftig, der Rechtsstreit noch nicht beendet.
Der Beispielsfall einer Versicherung „gegen alle Risiken“ illustriert zugleich ein anderes seit Jahren bekanntes Thema im Zusammenhang mit Cyber-Versicherungen, nämlich die sog. Silent-Cyber-Risiken: Dieser Begriff bezieht sich auf die Deckung von Cyberrisiken in anderen traditionellen Versicherungssparten (z.B. Sachversicherungen, Haftpflichtversicherungen), in denen sie nicht ausdrücklich vorgesehen und in der Kalkulation der Prämien nicht berücksichtigt, aber auch nicht ausdrücklich ausgeschlossen wurden. Solche Cyber-Risiken, die auf der Deckungsseite im sonstigen Versicherungsbestand „schlummern“, sind Versicherern und der BaFin schon länger bekannt und wurden in den letzten Jahren bei den Vertragserneuerungen durch entsprechende Ausschlüsse in den Versicherungsbedingungen reduziert. Auch bei Silent-Cyber-Risiken haben deutsche Versicherer britische Ausschlussklauseln als Vorbild genommen, um ihre Risiken durch Anpassung der Versicherungsbedingungen zu minimieren.
Cyber-Versicherungen bieten einen kombinierten Schutz für Eigen- und Drittschäden. Die Eigenschadendeckung umfaßt typischerweise Versicherungsschutz für Betriebsunterbrechungsschäden. Die Deckungsbausteine für Drittschäden beinhalten häufig, dass bei Cyber-Angriffen grundsätzlich auch Lösegeldzahlungen an Cyber-Erpresser mitversichert sind. Angesichts der Sanktionen gegen Rußland ist jedoch davon auszugehen, dass Versicherer bei Hackerangriffen keine Lösegeldzahlungen mehr erbringen werden, wenn die Cyber-Attacke von russischen Hackern ausgeht. Bevor Versicherer Lösegeldzahlungen leisten, prüft deren Compliance-Stelle, ob die Hacker auf EU-Sanktionslisten stehen (Sanktionslistenprüfung). Wenn das der Fall ist, so können weder Versicherer noch angegriffene Unternehmen Lösegeld zahlen. Denn bei Verstößen gegen Sanktionslisten drohen Strafen und wirtschaftliche Folgen.
Welchen Mehrwert kann Taylor Wessing hierbei bieten?
Wir verfügen über die rechtliche Expertise und Erfahrung in Bezug auf die Gestaltung und Prüfung von Allgemeinen Versicherungsbedingungen (Cyber-Versicherungen und andere Versicherungsarten) sowie die Durchsetzung oder Abwehr von versicherungsrechtlichen Ansprüchen (einschließlich Prozessführung und Durchführung von Schiedsverfahren). Dabei beraten wir Versicherer und Versicherungsunternehmen.
