Laut GDV sind deutsche Versicherungsnehmer wahrscheinlich gegen russische Cyberangriffe abgesichert
Deutsche Cyberversicherungsnehmer werden nach Angaben des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) wahrscheinlich für alle Cyberschäden, die durch den russischen Einmarsch in der Ukraine und die daraus resultierende Cyberkriegsführung entstehen, versichert sein.
Der Gesamtverband veröffentlichte eine Mitteilung, in der er die Auswirkungen der zunehmenden Cyberrisiken aufgrund des Konflikts in der Ukraine, der daraufhin gegen Russland verhängten Sanktionen und der wahrscheinlichen Reaktionen erläutert.
Nach Angaben des GDV haben die deutschen Versicherer noch keine vermehrten Cyber-Schäden im Zusammenhang mit dem Konflikt zu verzeichnen. Aber das Risiko eines Angriffs auf deutsche Unternehmen sei gestiegen.
„Die westliche Welt reagiert auf Russlands Krieg zurecht mit harten wirtschaftlichen Sanktionen. Es ist nicht ausgeschlossen, dass es im Zuge einer solchen Auseinandersetzung auch zu Cyberattacken aus Russland heraus auf deutsche Unternehmen kommt“, meinte der GDV.
Die große Frage für deutsche Risiko- und Versicherungsmanager ist, ob solche Angriffe von einer Cyberversicherung abgedeckt wären. Die Antwort des GDV ist positiv.
„Grundsätzlich ja. Bei Cyberattacken kann in den allermeisten Fällen die Identität des Angreifers ohnehin nicht festgestellt werden. Darauf kann es also im Schadenfall auch nicht ankommen. Etwas anderes gilt nur bei offiziellen Kriegshandlungen: Dann greift der in der Regel in den Cyberpolicen vereinbarte Kriegsausschluss“, erklärte der Gesamtverband.
Dem GDV ist kein Fall bekannt, in dem sich ein Cyberversicherer nach einer Cyberattacke auf den Kriegsausschluss berufen hat.
Er wies jedoch darauf hin, dass Sachversicherer bereits versucht haben, Leistungen an den US-Pharmakonzern Merck und den US-Lebensmittelhersteller Mondelez nach der NotPetya-Cyberattacke im Jahr 2017 abzulehnen.
Der GDV wies jedoch darauf hin, dass dies in angesichts der aktuellen Versicherungsbedingungen nicht zwangsläufig auf Deutschland übertragbar sei.
„Diese Fälle lassen sich aus zwei Gründen nicht mit der aktuellen Situation in Deutschland vergleichen: Zum einen betrafen die Streitigkeiten den US-Markt und entsprechende amerikanische Versicherungsbedingungen, die nicht 1:1 auf den deutschen Markt übertragbar sind. Zum anderen ging es unseres Wissens dabei nicht um den Deckungsschutz einer Cyberversicherung“, führte der GDV weiter aus.
Die andere wichtige Frage für einen deutschen Versicherungsnehmer ist: Unter welchen Umständen könnte sich ein Versicherer nach einem Angriff auf einen Kriegsausschluss für seine Cyberdeckung berufen?
„Nach den GDV-Musterbedingungen müsste der Versicherer nachweisen, dass eine Kriegshandlung vorlag. Kann er den Nachweis erbringen, etwa mittels eines Bekenntnisses des angreifenden Staates, greift der Ausschluss. Aktuell ist uns kein solcher Fall bekannt“, teilte der GDV mit.
Der Gesamtverband stellte fest, dass Lloyd’s of London erst kürzlich deutlich weichere Klauseln vorgestellt hat, nach denen der Ausschluss auch bei „staatlich gelenkten“ Cyberangriffen gelten soll. Unter diesen Bedingungen soll die Deckung ausgeschlossen sein, wenn betroffene Staaten einen anderen Staat für den Angriff verantwortlich macht. Der GDV wies jedoch darauf hin, dass dies für den deutschen Markt derzeit nicht relevant ist.
„Die Lloyds-Klauseln sind bisher nicht am deutschen Markt etabliert. Uns als Verband ist bislang kein Fall bekannt, in dem sich ein Cyberversicherer auf den Kriegsausschluss berufen hat“, teilte der Gesamtverband abschließend mit.
