Ob Wohngebäude, Inhaltsversicherung oder die Cyber Versicherung: Schäden durch Krieg und innere Unruhe sind in den Policen nicht versichert. Für die meisten Betriebe dürfte dies kein Problem sein, da sie nicht mit diesen Gefahren konfrontiert sind. Doch stimmt das tatsächlich? Nicht zuletzt entstand dem Lebensmittelkonzern Mondelez ein Schaden von rund 180 Millionen Dollar, als durch die Malware „Notpetya“ die Systeme lahmgelegt wurden. Der Versicherer lehnte die Zahlung ab, da es sich dabei um eine direkte Attacke eines Staates handelt, die als kriegerische Handlung zu bewerten ist.
Das ist die Kriegsausschlussklausel der Cyber Versicherung
Eine Cyber Versicherung schützt Unternehmen vor Gefahren aus dem Internet. Sie leistet, wenn Hacker die Systeme beschädigen oder Daten verschlüsseln und Lösegeld fordern. Auch Schäden durch Fehlbedienung sowie der Diebstahl von Kunden-, Patienten– und Kreditkartendaten können mitversichert sein. Doch wie jede Versicherung sehen auch Cyber-Policen Leistungsausschlüsse vor. Und diese beziehen sich insbesondere auf kriegerische Handlungen.
Die Kriegsausschlussklausel der Cyber Versicherung bezeichnet nicht nur den Ausschluss von Personen- und Sachschäden durch die Lieferung und Leistung von Waffensystemen. Auch wenn der eigene Betrieb durch Kriegshandlungen geschädigt wird, besteht kein Leistungsanspruch. Problematisch dabei ist, dass Kriegsschäden in den Policen nicht detailliert spezifiziert sind. Angesichts der Zunahme von initiierten Angriffen durch Nationalstaaten kann dies zu erheblichen Deckungslücken führen. Wie das Beispiel der Malware „Notpetya“ verdeutlicht, ist der Grad zu kriegerischen Handlungen häufig schmal. Und für betroffene Unternehmen können die daraus resultierenden Schäden in die Millionenhöhe gehen.
Kriegsausschlussklausel am Beispiel der Malware „Notpetya“
2017 legte ein weltweiter Angriff mit der Windows-Malware „Notpetya“ die Systeme vieler großer Unternehmen lahm. So standen mitunter in dem deutschen Milka-Werk des Lebensmittelkonzerns Mondelez die Bänder still. Allein für die forensische Analyse und die Wiederherstellung der IT-Netzwerke musste das Unternehmen 84 Millionen Dollar bezahlen. Hinzu kamen die Umsatzausfälle. Insgesamt belief sich der Schaden auf rund 180 Millionen Dollar.
Der US-Konzern war vermeintlich gegen diese Art von Schäden bei der Zurich-Versicherung abgesichert. Immerhin 100 Millionen Euro sind durch die Cyber Versicherung gedeckt. Die Zurich allerdings berief sich auf die Kriegsausschlussklausel. Bei der Malware „Notpetya“ handelt es sich um eine kriegerische Handlung durch Truppen oder Akteure eines Staates. Die Schäden bei Mondelez und anderen betroffenen Kunden sind damit Kollateralschäden eines Angriffs mit einer Kriegswaffe. Somit besteht nach Aussage des Versicherers kein Versicherungsschutz.
Der Lebensmittelkonzern reichte gegen diese Entscheidung Klage ein. Der Prozess ist noch immer nicht entschieden und könnte Jahre andauern, in denen immense Anwaltskosten entstehen.
Cyber-Policen detailliert prüfen
Die Entscheidung im Falle der Malware „Notpetya“ wird sich zum Präzedenzfall entwickeln und einige Veränderungen auf dem Markt der Cyber Versicherung bewirken. Doch wie dieses Beispiel zeigt, müssen Unternehmen sehr genau prüfen, welchen Risiken sie ausgesetzt sind und ob diese in ihrer Police versichert sind. Ausschlüsse und Bedingungen, wann der Schutz greift, dürfen dabei nicht außer Acht gelassen werden.
Dafür ist im ersten Schritt festzustellen, welche Gefahren abgesichert werden sollen. Dabei ist eine genaue Risikoabwägung vorzunehmen:
- Welche Geschäftsprozesse können bei einem Hacker-Angriff betroffen sein?
- Welche Schäden können dabei entstehen?
- Besteht die Möglichkeit, den Betrieb auch bei einem Ausfall der IT weiterzuführen?
- Müssen Arbeiten im Schadensfall ausgelagert werden?
- Gibt es eine interne IT-Abteilung, die bei einem Hackerangriff schnelle Abhilfe schaffen kann oder ist Hilfe von außen nötig?
- Welche Optionen bestehen, um das Risiko für Cyber-Attacken und IT-Ausfälle zu minimieren?
Entscheidend dafür ist mitunter die IT-Abteilung. Ihr fällt die Aufgabe zu, genau zu analysieren, welche Systeme betroffen sein können, und wie lange es dauert, um diese wiederherzustellen. Ihre Aufgabe ist es zudem, das Risiko für Cyber-Attacken zu minimieren. Betrieben wird daher auch empfohlen, ihre Mitarbeiter in einem sicheren Umgang mit der EDV und dem Internet zu schulen. Viele Cyber Versicherer beteiligen sich an den Kosten für diese Schulungen.
Beratung zur Cyber Versicherung ist unerlässlich
Die Kriegsausschlussklausel der Cyber Versicherung kann für Unternehmen zu erheblichen Versorgungslücken führen. Doch gibt es weitere Ausschlüsse in Policen, die berücksichtigt werden müssen. Entscheidend ist zudem die Wahl einer ausreichend hohen Deckungssumme. Denn auch zu niedrige Versicherungssummen können im Schadensfall die finanzielle Existenz bedrohen.
albfinanz ist Ihnen gerne dabei behilflich, die richtige Cyber Versicherung für Ihr Unternehmen zu wählen. Gemeinsam besprechen wir, welchen Risiken Ihr Betrieb ausgesetzt ist. Und analysieren Ihren Bedarf sowie mögliche Ausschlüsse.