01.04.2022
Cyberangriffe in Zeiten des Ukraine-Krieges – bietet die
Cyber-Versicherung Schutz?
I. Sind Schäden als Folge eines „kriegsbezogenen“ Cyberangriffs in der Cyber-Versicherung ausgeschlossen? – Der Präzedenzfall Merck & Co., Inc. in den USA
Mit Hilfe der Schad-Software „Notpetya“ ist in 2017 einer großen Anzahl von Unternehmen (u.a. der Reederei Maersk) erheblicher Schaden (u.a. durch wochenlangen Ausfall des gesamten IT-Systems) zugefügt worden. Die Angriffe wurden einer russischen Gruppe zugeschrieben. Eine Beteiligung oder auch nur wohlwollende Begleitung seitens der russischen Führung konnte nicht nachgewiesen werden.
Der US-amerikanische Pharmahersteller Merck & Co., Inc. hat als Geschädigter eines solchen Angriffs Ansprüche unter seiner Cyber-Versicherung geltend gemacht. Der Versicherer hat sich auf folgende Ausschlussklausel berufen:
Hostile/Warlike Action Exclusion Language
Loss or damage caused by hostile or warlike action in time of peace or war, including action in hindering, combating, or defending against an actual, impending, or expected attack:
a) by any government or sovereign power (de jure or de facto) or by any authority maintaining or using military, naval or air forces;
b) or by military, naval or air forces;
c) or by an agent of such government, power, authority or forces;
This policy does not insure against loss or damage caused by or resulting from Exclusions A., B., or C., regardless of any other cause or event contributing concurrently or in any other sequence to the loss.
Die Ablehnung des Versicherers hat zu der bisher einzigen veröffentlichten gerichtlichen Entscheidung über die Deckung von Hackerangriffen unter einer Cyber-Versicherung geführt (Merck & Co., Inc. / ACE American Insurance Co., Superior Court of New Jersey; Docket No.: UNN-L-2682-18).
Der Richter des US-amerikanischen Superior Court of New Jersey hat es dem Versicherer in einer bemerkenswert kurzen Entscheidung verwehrt, sich auf die Kriegsklausel zu berufen, und zwar mit folgenden Kernargumenten: Es handele sich um eine all risks Deckung, unter der auch fernliegende Risiken versichert seien. Ausschlussklauseln seien eng und im Zweifel stets gegen den Versicherer auszulegen. Der Begriff des Krieges sei anhand des gewöhnlichen Sprachgebrauchs auszulegen. Darunter sei der Einsatz bewaffneter Kräfte zu verstehen. Cyberangriffe habe es bereits wiederholt gegeben. Die Versicherer hätten also ausreichend Gelegenheit gehabt, ihre Bedingungen entsprechend zu ändern, um dem Wunsch, Cyberangriffe als Ausprägung kriegerischer Auseinandersetzung auszuschließen, in unmissverständlicher Weise Ausdruck zu verleihen. Dies sei nicht geschehen. Der unveränderte Text der Kriegsklausel erfasse Cyberangriffe nicht.
II. Aktuelle Bedeutung für deutsche Marktteilnehmer – zur Rechtslage in Deutschland
Die Frage des Versicherungsschutzes für Cyberangriffe hat vor dem Hintergrund des russischen Überfalls auf die Ukraine und die wirtschaftlichen Gegenmaßnahmen einer Vielzahl von westlichen Staaten im Hinblick auf befürchtete Vergeltungsmaßnahmen verstärkte Aktualität erhalten.
Die Kriegsklausel der Musterbedingungen des GDV für die Cyber-Versicherung (AVB Cyber), Stand: April 2017, lautet:
A1-17.2 Krieg
Vom Versicherungsschutz ausgeschlossen sind ohne Rücksicht auf mitwirkende Ursachen Versicherungsfälle oder Schäden aufgrund von Krieg.
Krieg bedeutet: Krieg, Invasion, Bürgerkrieg, Aufstand, Revolution, Aufruhr, militärische oder andere Form der Machtergreifung.
Deutsche Rechtsprechung zu dieser Fragestellung existiert nicht. In der deutschen versicherungsrechtlichen Literatur werden im Zusammenhang mit der Kriegsklausel unterschiedliche Auffassungen vertreten.
Die Definition des Begriffes „Krieg“ in A1-17.2 sei weitestgehend anderen Bedingungswerken der Sach- oder Haftpflichtversicherung entnommen (z. B. A § 2 Ziffer 1 AFB). Der Begriff „Cyberkrieg“ werde in dem Bedingungswerk nicht ausdrücklich erwähnt (Fortmann r+s 2019, 429 ff.). Fortmann folgert daraus, dass der durchschnittliche Versicherungsnehmer den Begriff des Krieges im Sinne eines klassischen Verständnisses auffassen werde. Im Sachversicherungsbereich werde unter einem Krieg eine bewaffnete Auseinandersetzung zwischen zwei oder mehreren Staaten verstanden, bei der Waffen durch eine der Kriegsparteien gebraucht werden und/oder Streitkräfte auf fremdes Territorium vorstoßen. A1-17.2 sei ein Risikoausschluss, der eng auszulegen sei. Es sei kein Grund ersichtlich, warum ein durchschnittlicher Versicherungsnehmer den Kriegsausschluss bei Cyber-Versicherungen anders verstehen sollte als bei Sachversicherungen (zustimmend Prölss/Martin-Klimke AVB Cyber A1-17 Rz. 7f.; in diesem Sinne wohl auch Veith/Gräfe/Gebert Der Versicherungsprozess § 24 Cyberversicherung Rz. 109f.; a.A. Günther „Cyberwar“ und Kriegsausschluss, r+s 2019, 188 ff. und unklar Salm in Rüffer/Halbach/Schimikowski VVG, AVB Cyber, A1-17.2, Rz. 2). Vom Risikoausschluss nicht erfasst werde deshalb insbesondere der Fall, dass ein Staat ein Schadprogramm gezielt zur Schädigung der Wirtschaft eines anderen Staates einsetze, weil es nicht zu einer Verwendung von Waffen im Sinne der Klausel komme (Fortmann a.a.O. S. 433, Prölss/Martin-Klimke AVB Cyber A1-17 Rz. 8).
Anders sei es bei Einbeziehung spezieller Klauseln, wie z.B.:
„… Kriegs- oder kriegsähnlichen Ereignissen oder ähnlichen feindseligen Handlungen (gleichgültig, ob Krieg erklärt wurde oder nicht), auch soweit diese im und/oder ausgehend vom virtuellen Raum (Cyberwar) mit Mitteln aus dem Bereich der Informationstechnik begangen wurden“ (zitiert von Malek/Schütz r+s 2019, 421 ff.)
oder eines die GDV Musterklausel erweiternden Zusatzes:
„wobei es zur Erfüllung des Kriegsbegriffes im Sinne dieses Vertrages nicht der Anwendung physischer Gewalt bedarf“ (zitiert bei Günther r+s 2019, 188, 189).
Wenn Cyberkrieg als „Beimischung“ eines Krieges eingesetzt werde, also eine hybride Kriegsführung gegeben sei, unterfielen Cyberattacken dem Kriegsausschluss (Günther r+s 2019, 188, 190; zweifelnd Prölss/Martin-Klimke AVB Cyber A1-17 Rz. 8).
Nach Günther könne (auch ohne ausdrückliche Spezialregelungen im Versicherungsvertrag) nicht nur der hybride, sondern auch der reine Cyberwar einen Krieg darstellen. Folgende Voraussetzungen müssten erfüllt sein:
-
-
- Zwischenstaatlichkeit, der Angriff müsse unmittelbar oder zumindest mit bewusster Förderung durch einen Staat erfolgen (zustimmend Prölss/Martin-Klimke AVB Cyber A1-17 Rz. 10; a.A. Salm in Rüffer/Halbach/Schimikowski VVG, AVB Cyber, A1-17.2, Rz. 3, der vertritt, dass durch die Plattform Internet die klassische Sichtweise einer Auseinandersetzung nicht mehr nur auf Staaten beschränkt sei, ein Cyberkrieg auch zwischen Unternehmen und/oder einem Staat entstehen könne).
-
- Weder der Ort der Angriffshandlung noch derjenige Ort, an dem sich die schadenstiftenden Handlungen auswirkten, seien von Bedeutung. Der Wortlaut des Kriegsausschlusses enthalte keine räumliche Beschränkung.
-
- Der Cyberkrieg müsse hinsichtlich seiner negativen Quantität und Qualität ein solches Ausmaß haben, dass er einem klassischen Krieg zwischen zwei Staaten gleichkomme.
-
- Problematisch sei die Wertung des Cyberkrieges als Krieg, wenn es an physischen Schäden fehle. Wenn sich der Angriffserfolg physisch manifestiere, wenn es also durch einen Cyberangriff zu Sachschäden komme, etwa durch Brand- / Explosionsschäden und/oder Personenschäden, sei das Kriegsmerkmal ohne weiteres zu bejahen (insoweit zustimmend Prölss/Martin-Klimke AVB Cyber A1-17 Rz. 8). Es sei aber auch nicht ausgeschlossen, dass bei Fehlen von physischen Schäden die Auswirkungen eines Cyberkrieges dem eines klassischen Krieges gleichkämen, etwa bei kompletter Unterbrechung der Kommunikationswege oder der Stromversorgung.
-
III. Würden etwaige Malware-Angriffe von russischer Seite auf westliche Privatunternehmen als Reaktion auf die Unterstützung der Ukraine durch westliche Staaten von der GDV Standardausschlussklausel erfasst?
Versicherungsfälle oder Schäden aufgrund von Krieg sind ausgeschlossen. Dafür müssen die bedingungsgemäßen Voraussetzungen eines Krieges erfüllt sein. Zudem muss der Versicherungsfall oder der Schaden als Folge des Krieges (Kausalzusammenhang) eingetreten sein.
1. Bedingungsgemäße Definition des Versicherungsfalles
Versicherungsfall ist gemäß A1-4 der erstmals nachprüfbar festgestellte Schaden nach A1-1. Schaden i.S.v. A1-1 bedeutet Vermögensschaden, der durch eine Informationssicherheitsverletzung verursacht worden ist. Die Informationssicherheitsverletzung ist eine Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit von elektronischen Daten oder von informationsverarbeitenden Systemen des VN (A1-2.1). Die Informationssicherheitsverletzung muss durch eines oder mehrere der folgenden Ereignisse ausgelöst werden:
-
-
- Angriffe auf elektronische Daten oder informationsverarbeitende Systeme des VN;
- Unberechtigte Zugriffe auf elektronische Daten des VN;
- Eingriffe in informationsverarbeitende Systeme des VN;
- Schadprogramme, die auf elektronische Daten oder informationsverarbeitende Systeme des VN wirken.
-
2. Erfordernis des Krieges
Die Voraussetzungen der Definition des Begriffes „Krieg“, auch wenn sie im klassischen Sinne verstanden werden, sind im Fall des bewaffneten Überfalles des Putin-Regimes auf die Ukraine erfüllt.
3. Kausalzusammenhang zwischen Krieg und Versicherungsfall
Die Prüfung des Kausalzusammenhanges dürfte unter Berücksichtigung der Äquivalenztheorie, der Adäquanztheorie und des Regelungszwecks der Ausschlussklausel vorzunehmen sein.
Ob ein Kausalzusammenhang im Sinne der conditio sine qua non Formel zwischen dem Kriegsgeschehen in der Ukraine und etwaigen Angriffen auf elektronische Datenverarbeitungssysteme (nachstehend vereinfachend: „Cyberangriff“) gegeben ist, dürfte Tatfrage sein. Die Beweislast dafür trägt der Versicherer. Allein die in den Medien wiedergegebenen Warnungen der westlichen Geheimdienste vor derartigen Angriffen dürften keinen hinreichenden Nachweis darstellen. Für Erwägungen auf der Grundlage der Adäquanztheorie dürfte dasselbe gelten. Cyberangriffe als Teil der Kriegsführung erscheinen abstrakt plausibel und dürften insoweit generell als adäquat verursacht in Betracht kommen.
Wendet man sich dem Regelungszweck der Ausschlussklausel zu, erscheinen folgende Gesichtspunkte von Bedeutung:
-
-
- Der Cyberangriff müsste einer der kriegführenden Parteien zurechenbar sein. Dies ist wiederum Tatfrage und vom Versicherer zu beweisen.
-
- Der Cyberangriff müsste eine Kriegshandlung darstellen. Zwar verlangt die Klausel ihrem Wortlaut lediglich, dass der Versicherungsfall aufgrund von Krieg eintritt. Dies ließe ein Verständnis zu, demzufolge auch (möglicherweise ungewollte) Kollateralschäden ausgeschlossen sind. Ungewollte Cyberangriffe dürfte es indes nicht geben. Deswegen müsste der Cyberangriff als Teil der Kriegsführung gelten. Auch diesbezüglich trifft die Beweislast den Versicherer.
-
- Fraglich ist, ob nur Versicherungsfälle oder Schäden ausgeschlossen sein sollen, die durch Krieg im klassischen Sinne, also durch herkömmliche Kriegswaffen ausgelöst werden. Ein solches Verständnis dürfte eher abzulehnen sein. Bedingungsgemäß sind nur Schäden versichert, die durch eines oder mehrere der in A1-2.4 aufgeführten Ereignisse ausgelöst werden. Dies sind überwiegend Ereignisse, die auf elektronischem Wege, d.h. unter Einsatz von informationsverarbeitenden Systemen herbeigeführt werden. Vor diesem Hintergrund wäre der Kriegsausschluss, wenn er sich nur auf schädigende Handlungen unter Einsatz klassischer Kriegswaffen erstreckte, überflüssig. Einzige Ausnahme davon wäre die erste Alternative des A1-2.4, nämlich Angriffe auf elektronische Daten oder informationsverarbeitende Systeme des VN. Ein solcher Angriff könnte auch in der Weise ausgeführt werden, dass schlicht die Datenverarbeitungsanlage des VN in die Luft gesprengt wird. Eine Einschränkung der Ausschlussklausel auf Fälle physischer Schäden an informationsverarbeitenden Systemen durch die Verwendung klassischer Kriegswaffen erscheint als Auslegungsergebnis danach eher fernliegend.
-
- Der Cyberangriff muss sich nicht gegen eine der Kriegsparteien oder deren Angehörige richten. Eine solche Einschränkung lässt sich der Klausel bei objektiver Auslegung nicht entnehmen.
-
- Es wird argumentiert, dass der Cyberangriff auf demselben geografischen Territorium stattfinden müsse, auf dem auch der Krieg mit klassischen Mitteln ausgetragen werde. Auch hierfür scheint die Klausel nichts herzugeben.
-
4. Ergebnis
Wenn es dem Versicherer gelingt, einen Zusammenhang zwischen einem Cyberangriff und dem derzeit in der Ukraine geführten Krieg nachzuweisen, könnte der Kriegsausschluss in A1-17.2 greifen. Dafür müsste der Versicherer zudem beweisen, dass der Cyberangriff der russischen Führung als Kriegshandlung zuzurechnen ist. Dass die Auswirkungen eines solchen Cyberangriffs bei einem Angehörigen eines nicht unmittelbar an dem klassischen Kriegsgeschehen beteiligten Staates und / oder außerhalb des geografischen Bereichs der klassischen Kampfhandlungen eintreten, dürfte für die Anwendbarkeit der Ausschlussklausel ohne Bedeutung sein.
Ihr Ansprechpartner für Fragen und Anmerkungen: