01.04.2022

Cy­beran­grif­fe in Zei­ten des Ukrai­ne-Krie­ges – bie­tet die

Cy­ber-Ver­si­che­rung Schutz?

I. Sind Schä­den als Fol­ge ei­nes „kriegs­be­zo­ge­nen“ Cy­ber­an­griffs in der Cy­ber-Ver­si­che­rung aus­ge­schlos­sen? – Der Prä­ze­denz­fall Merck & Co., Inc. in den USA

Mit Hil­fe der Schad-Soft­ware „Not­pe­tya“ ist in 2017 ei­ner gro­ßen An­zahl von Un­ter­neh­men (u.a. der Ree­de­rei Maersk) er­heb­li­cher Scha­den (u.a. durch wo­chen­lan­gen Aus­fall des ge­sam­ten IT-Sys­tems) zu­ge­fügt wor­den. Die An­grif­fe wur­den ei­ner rus­si­schen Grup­pe zu­ge­schrie­ben. Ei­ne Be­tei­li­gung oder auch nur wohl­wol­len­de Be­glei­tung sei­tens der rus­si­schen Füh­rung konn­te nicht nach­ge­wie­sen wer­den.

Der US-ame­ri­ka­ni­sche Phar­ma­her­stel­ler Merck & Co., Inc. hat als Ge­schä­dig­ter ei­nes sol­chen An­griffs An­sprü­che un­ter sei­ner Cy­ber-Ver­si­che­rung gel­tend ge­macht. Der Ver­si­che­rer hat sich auf fol­gen­de Aus­schluss­klau­sel be­ru­fen:

Hostile/​Warlike Ac­tion Ex­clu­si­on Lan­guage

Loss or da­ma­ge cau­sed by ho­sti­le or war­li­ke ac­tion in time of peace or war, in­clu­ding ac­tion in hin­de­ring, com­ba­ting, or de­fen­ding against an ac­tu­al, im­pen­ding, or ex­pec­ted at­tack:

a) by any go­vern­ment or so­ve­reign power (de ju­re or de fac­to) or by any aut­ho­ri­ty main­tai­ning or using mi­li­ta­ry, na­val or air forces;

b) or by mi­li­ta­ry, na­val or air forces;

c) or by an agent of such go­vern­ment, power, aut­ho­ri­ty or forces;

This po­li­cy does not insu­re against loss or da­ma­ge cau­sed by or re­sul­ting from Ex­clu­si­ons A., B., or C., re­gard­less of any other cau­se or event con­tri­bu­ting con­curr­ent­ly or in any other se­quence to the loss.

Die Ab­leh­nung des Ver­si­che­rers hat zu der bis­her ein­zi­gen ver­öf­fent­lich­ten ge­richt­li­chen Ent­schei­dung über die De­ckung von Ha­cker­an­grif­fen un­ter ei­ner Cy­ber-Ver­si­che­rung ge­führt (Merck & Co., Inc. / ACE Ame­ri­can Insu­rance Co., Su­pe­ri­or Court of New Jer­sey; Do­cket No.: UNN-L-2682-18).

Der Rich­ter des US-ame­ri­ka­ni­schen Su­pe­ri­or Court of New Jer­sey hat es dem Ver­si­che­rer in ei­ner be­mer­kens­wert kur­zen Ent­schei­dung ver­wehrt, sich auf die Kriegs­klau­sel zu be­ru­fen, und zwar mit fol­gen­den Kern­ar­gu­men­ten: Es han­de­le sich um ei­ne all risks De­ckung, un­ter der auch fern­lie­gen­de Ri­si­ken ver­si­chert sei­en. Aus­schluss­klau­seln sei­en eng und im Zwei­fel stets ge­gen den Ver­si­che­rer aus­zu­le­gen. Der Be­griff des Krie­ges sei an­hand des ge­wöhn­li­chen Sprach­ge­brauchs aus­zu­le­gen. Dar­un­ter sei der Ein­satz be­waff­ne­ter Kräf­te zu ver­ste­hen. Cy­ber­an­grif­fe ha­be es be­reits wie­der­holt ge­ge­ben. Die Ver­si­che­rer hät­ten al­so aus­rei­chend Ge­le­gen­heit ge­habt, ih­re Be­din­gun­gen ent­spre­chend zu än­dern, um dem Wunsch, Cy­ber­an­grif­fe als Aus­prä­gung krie­ge­ri­scher Aus­ein­an­der­set­zung aus­zu­schlie­ßen, in un­miss­ver­ständ­li­cher Wei­se Aus­druck zu ver­lei­hen. Dies sei nicht ge­sche­hen. Der un­ver­än­der­te Text der Kriegs­klau­sel er­fas­se Cy­ber­an­grif­fe nicht.

 

II. Ak­tu­el­le Be­deu­tung für deut­sche Markt­teil­neh­mer – zur Rechts­la­ge in Deutsch­land

Die Fra­ge des Ver­si­che­rungs­schut­zes für Cy­ber­an­grif­fe hat vor dem Hin­ter­grund des rus­si­schen Über­falls auf die Ukrai­ne und die wirt­schaft­li­chen Ge­gen­maß­nah­men ei­ner Viel­zahl von west­li­chen Staa­ten im Hin­blick auf be­fürch­te­te Ver­gel­tungs­maß­nah­men ver­stärk­te Ak­tua­li­tät er­hal­ten.

Die Kriegs­klau­sel der Mus­ter­be­din­gun­gen des GDV für die Cy­ber-Ver­si­che­rung (AVB Cy­ber), Stand: April 2017, lau­tet:

A1-17.2 Krieg

Vom Ver­si­che­rungs­schutz aus­ge­schlos­sen sind oh­ne Rück­sicht auf mit­wir­ken­de Ur­sa­chen Ver­si­che­rungs­fäl­le oder Schä­den auf­grund von Krieg.

Krieg be­deu­tet: Krieg, In­va­si­on, Bür­ger­krieg, Auf­stand, Re­vo­lu­ti­on, Auf­ruhr, mi­li­tä­ri­sche oder an­de­re Form der Macht­er­grei­fung.

Deut­sche Recht­spre­chung zu die­ser Fra­ge­stel­lung exis­tiert nicht. In der deut­schen ver­si­che­rungs­recht­li­chen Li­te­ra­tur wer­den im Zu­sam­men­hang mit der Kriegs­klau­sel un­ter­schied­li­che Auf­fas­sun­gen ver­tre­ten.

Die De­fi­ni­ti­on des Be­grif­fes „Krieg“ in A1-17.2 sei wei­test­ge­hend an­de­ren Be­din­gungs­wer­ken der Sach- oder Haft­pflicht­ver­si­che­rung ent­nom­men (z. B. A § 2 Zif­fer 1 AFB). Der Be­griff „Cy­ber­krieg“ wer­de in dem Be­din­gungs­werk nicht aus­drück­lich er­wähnt (Fort­mann r+s 2019, 429 ff.). Fort­mann fol­gert dar­aus, dass der durch­schnitt­li­che Ver­si­che­rungs­neh­mer den Be­griff des Krie­ges im Sin­ne ei­nes klas­si­schen Ver­ständ­nis­ses auf­fas­sen wer­de. Im Sach­ver­si­che­rungs­be­reich wer­de un­ter ei­nem Krieg ei­ne be­waff­ne­te Aus­ein­an­der­set­zung zwi­schen zwei oder meh­re­ren Staa­ten ver­stan­den, bei der Waf­fen durch ei­ne der Kriegs­par­tei­en ge­braucht wer­den und/​oder Streit­kräf­te auf frem­des Ter­ri­to­ri­um vor­sto­ßen. A1-17.2 sei ein Ri­si­ko­aus­schluss, der eng aus­zu­le­gen sei. Es sei kein Grund er­sicht­lich, war­um ein durch­schnitt­li­cher Ver­si­che­rungs­neh­mer den Kriegs­aus­schluss bei Cy­ber-Ver­si­che­run­gen an­ders ver­ste­hen soll­te als bei Sach­ver­si­che­run­gen (zu­stim­mend Pröls­s/M­ar­tin-Klim­ke AVB Cy­ber A1-17 Rz. 7f.; in die­sem Sin­ne wohl auch Veith/​Gräfe/​Gebert Der Ver­si­che­rungs­pro­zess § 24 Cy­ber­ver­si­che­rung Rz. 109f.; a.A. Gün­ther „Cy­ber­war“ und Kriegs­aus­schluss, r+s 2019, 188 ff. und un­klar Salm in Rüffer/​Halbach/​Schimikowski VVG, AVB Cy­ber, A1-17.2, Rz. 2). Vom Ri­si­ko­aus­schluss nicht er­fasst wer­de des­halb ins­be­son­de­re der Fall, dass ein Staat ein Schad­pro­gramm ge­zielt zur Schä­di­gung der Wirt­schaft ei­nes an­de­ren Staa­tes ein­set­ze, weil es nicht zu ei­ner Ver­wen­dung von Waf­fen im Sin­ne der Klau­sel kom­me (Fort­mann a.a.O. S. 433, Pröls­s/M­ar­tin-Klim­ke AVB Cy­ber A1-17 Rz. 8).

An­ders sei es bei Ein­be­zie­hung spe­zi­el­ler Klau­seln, wie z.B.:

„… Kriegs- oder kriegs­ähn­li­chen Er­eig­nis­sen oder ähn­li­chen feind­se­li­gen Hand­lun­gen (gleich­gül­tig, ob Krieg er­klärt wur­de oder nicht), auch so­weit die­se im und/​oder aus­ge­hend vom vir­tu­el­len Raum (Cy­ber­war) mit Mit­teln aus dem Be­reich der In­for­ma­ti­ons­tech­nik be­gan­gen wur­den“ (zi­tiert von Malek/​Schütz r+s 2019, 421 ff.)

oder ei­nes die GDV Mus­ter­klau­sel er­wei­tern­den Zu­sat­zes:

wo­bei es zur Er­fül­lung des Kriegs­be­grif­fes im Sin­ne die­ses Ver­tra­ges nicht der An­wen­dung phy­si­scher Ge­walt be­darf“ (zi­tiert bei Gün­ther r+s 2019, 188, 189).

Wenn Cy­ber­krieg als „Bei­mi­schung“ ei­nes Krie­ges ein­ge­setzt wer­de, al­so ei­ne hy­bri­de Kriegs­füh­rung ge­ge­ben sei, un­ter­fie­len Cy­ber­at­ta­cken dem Kriegs­aus­schluss (Gün­ther r+s 2019, 188, 190; zwei­felnd Pröls­s/M­ar­tin-Klim­ke AVB Cy­ber A1-17 Rz. 8).

Nach Gün­ther kön­ne (auch oh­ne aus­drück­li­che Spe­zi­al­re­ge­lun­gen im Ver­si­che­rungs­ver­trag) nicht nur der hy­bri­de, son­dern auch der rei­ne Cy­ber­war ei­nen Krieg dar­stel­len. Fol­gen­de Vor­aus­set­zun­gen müss­ten er­füllt sein:

      • Zwi­schen­staat­lich­keit, der An­griff müs­se un­mit­tel­bar oder zu­min­dest mit be­wuss­ter För­de­rung durch ei­nen Staat er­fol­gen (zu­stim­mend Pröls­s/M­ar­tin-Klim­ke AVB Cy­ber A1-17 Rz. 10; a.A. Salm in Rüffer/​Halbach/​Schimikowski VVG, AVB Cy­ber, A1-17.2, Rz. 3, der ver­tritt, dass durch die Platt­form In­ter­net die klas­si­sche Sicht­wei­se ei­ner Aus­ein­an­der­set­zung nicht mehr nur auf Staa­ten be­schränkt sei, ein Cy­ber­krieg auch zwi­schen Un­ter­neh­men und/​oder ei­nem Staat ent­ste­hen kön­ne).
      • We­der der Ort der An­griffs­hand­lung noch der­je­ni­ge Ort, an dem sich die scha­den­stif­ten­den Hand­lun­gen aus­wirk­ten, sei­en von Be­deu­tung. Der Wort­laut des Kriegs­aus­schlus­ses ent­hal­te kei­ne räum­li­che Be­schrän­kung.
      • Der Cy­ber­krieg müs­se hin­sicht­lich sei­ner ne­ga­ti­ven Quan­ti­tät und Qua­li­tät ein sol­ches Aus­maß ha­ben, dass er ei­nem klas­si­schen Krieg zwi­schen zwei Staa­ten gleich­kom­me.
      • Pro­ble­ma­tisch sei die Wer­tung des Cy­ber­krie­ges als Krieg, wenn es an phy­si­schen Schä­den feh­le. Wenn sich der An­griffs­er­folg phy­sisch ma­ni­fes­tie­re, wenn es al­so durch ei­nen Cy­ber­an­griff zu Sach­schä­den kom­me, et­wa durch Brand- / Ex­plo­si­ons­schä­den und/​oder Per­so­nen­schä­den, sei das Kriegs­merk­mal oh­ne wei­te­res zu be­ja­hen (in­so­weit zu­stim­mend Pröls­s/M­ar­tin-Klim­ke AVB Cy­ber A1-17 Rz. 8). Es sei aber auch nicht aus­ge­schlos­sen, dass bei Feh­len von phy­si­schen Schä­den die Aus­wir­kun­gen ei­nes Cy­ber­krie­ges dem ei­nes klas­si­schen Krie­ges gleich­kä­men, et­wa bei kom­plet­ter Un­ter­bre­chung der Kom­mu­ni­ka­ti­ons­we­ge oder der Strom­ver­sor­gung.

 

III. Wür­den et­wa­ige Mal­wa­re-An­grif­fe von rus­si­scher Sei­te auf west­li­che Pri­vat­un­ter­neh­men als Re­ak­ti­on auf die Un­ter­stüt­zung der Ukrai­ne durch west­li­che Staa­ten von der GDV Stan­dard­aus­schluss­klau­sel er­fasst?

Ver­si­che­rungs­fäl­le oder Schä­den auf­grund von Krieg sind aus­ge­schlos­sen. Da­für müs­sen die be­din­gungs­ge­mä­ßen Vor­aus­set­zun­gen ei­nes Krie­ges er­füllt sein. Zu­dem muss der Ver­si­che­rungs­fall oder der Scha­den als Fol­ge des Krie­ges (Kau­sal­zu­sam­men­hang) ein­ge­tre­ten sein.

1. Be­din­gungs­ge­mä­ße De­fi­ni­ti­on des Ver­si­che­rungs­fal­les

Ver­si­che­rungs­fall ist ge­mäß A1-4 der erst­mals nach­prüf­bar fest­ge­stell­te Scha­den nach A1-1. Scha­den i.S.v. A1-1 be­deu­tet Ver­mö­gens­scha­den, der durch ei­ne Informationssicherheitsver­letzung ver­ur­sacht wor­den ist. Die In­for­ma­ti­ons­si­cher­heits­ver­let­zung ist ei­ne Beeinträchti­gung der Ver­füg­bar­keit, In­te­gri­tät oder Ver­trau­lich­keit von elek­tro­ni­schen Da­ten oder von in­for­ma­ti­ons­ver­ar­bei­ten­den Sys­te­men des VN (A1-2.1). Die In­for­ma­ti­ons­si­cher­heits­ver­let­zung muss durch ei­nes oder meh­re­re der fol­gen­den Er­eig­nis­se aus­ge­löst wer­den:

      • An­grif­fe auf elek­tro­ni­sche Da­ten oder in­for­ma­ti­ons­ver­ar­bei­ten­de Sys­te­me des VN;
      • Un­be­rech­tig­te Zu­grif­fe auf elek­tro­ni­sche Da­ten des VN;
      • Ein­grif­fe in in­for­ma­ti­ons­ver­ar­bei­ten­de Sys­te­me des VN;
      • Schad­pro­gram­me, die auf elek­tro­ni­sche Da­ten oder in­for­ma­ti­ons­ver­ar­bei­ten­de Sys­te­me des VN wir­ken.

2. Er­for­der­nis des Krie­ges

Die Vor­aus­set­zun­gen der De­fi­ni­ti­on des Be­grif­fes „Krieg“, auch wenn sie im klas­si­schen Sin­ne ver­stan­den wer­den, sind im Fall des be­waff­ne­ten Über­fal­les des Pu­tin-Re­gimes auf die Ukrai­ne er­füllt.

3. Kau­sal­zu­sam­men­hang zwi­schen Krieg und Ver­si­che­rungs­fall

Die Prü­fung des Kau­sal­zu­sam­men­han­ges dürf­te un­ter Be­rück­sich­ti­gung der Äqui­va­lenz­theo­rie, der Ad­äquanz­theo­rie und des Re­ge­lungs­zwecks der Aus­schluss­klau­sel vor­zu­neh­men sein.

Ob ein Kau­sal­zu­sam­men­hang im Sin­ne der con­di­tio si­ne qua non For­mel zwi­schen dem Kriegs­ge­sche­hen in der Ukrai­ne und et­wa­igen An­grif­fen auf elek­tro­ni­sche Da­ten­ver­ar­bei­tungs­sys­te­me (nach­ste­hend ver­ein­fa­chend: „Cy­ber­an­griff“) ge­ge­ben ist, dürf­te Tat­fra­ge sein. Die Be­weis­last da­für trägt der Ver­si­che­rer. Al­lein die in den Me­di­en wie­der­ge­ge­be­nen War­nun­gen der west­li­chen Ge­heim­diens­te vor der­ar­ti­gen An­grif­fen dürf­ten kei­nen hin­rei­chen­den Nach­weis dar­stel­len. Für Er­wä­gun­gen auf der Grund­la­ge der Ad­äquanz­theo­rie dürf­te das­sel­be gel­ten. Cy­ber­an­grif­fe als Teil der Kriegs­füh­rung er­schei­nen abs­trakt plau­si­bel und dürf­ten in­so­weit ge­ne­rell als ad­äquat ver­ur­sacht in Be­tracht kom­men.

Wen­det man sich dem Re­ge­lungs­zweck der Aus­schluss­klau­sel zu, er­schei­nen fol­gen­de Ge­sichts­punk­te von Be­deu­tung:

      • Der Cy­ber­an­griff müss­te ei­ner der krieg­füh­ren­den Par­tei­en zu­re­chen­bar sein. Dies ist wie­der­um Tat­fra­ge und vom Ver­si­che­rer zu be­wei­sen.
      • Der Cy­ber­an­griff müss­te ei­ne Kriegs­hand­lung dar­stel­len. Zwar ver­langt die Klau­sel ih­rem Wort­laut le­dig­lich, dass der Ver­si­che­rungs­fall auf­grund von Krieg ein­tritt. Dies lie­ße ein Ver­ständ­nis zu, dem­zu­fol­ge auch (mög­li­cher­wei­se un­ge­woll­te) Kol­la­te­ral­schä­den aus­ge­schlos­sen sind. Un­ge­woll­te Cy­ber­an­grif­fe dürf­te es in­des nicht ge­ben. Des­we­gen müss­te der Cy­ber­an­griff als Teil der Kriegs­füh­rung gel­ten. Auch dies­be­züg­lich trifft die Be­weis­last den Ver­si­che­rer.
      • Frag­lich ist, ob nur Ver­si­che­rungs­fäl­le oder Schä­den aus­ge­schlos­sen sein sol­len, die durch Krieg im klas­si­schen Sin­ne, al­so durch her­kömm­li­che Kriegs­waf­fen aus­ge­löst wer­den. Ein sol­ches Ver­ständ­nis dürf­te eher ab­zu­leh­nen sein. Be­din­gungs­ge­mäß sind nur Schä­den ver­si­chert, die durch ei­nes oder meh­re­re der in A1-2.4 auf­ge­führ­ten Er­eig­nis­se aus­ge­löst wer­den. Dies sind über­wie­gend Er­eig­nis­se, die auf elek­tro­ni­schem We­ge, d.h. un­ter Ein­satz von in­for­ma­ti­ons­ver­ar­bei­ten­den Sys­te­men her­bei­ge­führt wer­den. Vor die­sem Hin­ter­grund wä­re der Kriegs­aus­schluss, wenn er sich nur auf schä­di­gen­de Hand­lun­gen un­ter Ein­satz klas­si­scher Kriegs­waf­fen er­streck­te, über­flüs­sig. Ein­zi­ge Aus­nah­me da­von wä­re die ers­te Al­ter­na­ti­ve des A1-2.4, näm­lich An­grif­fe auf elek­tro­ni­sche Da­ten oder in­for­ma­ti­ons­ver­ar­bei­ten­de Sys­te­me des VN. Ein sol­cher An­griff könn­te auch in der Wei­se aus­ge­führt wer­den, dass schlicht die Da­ten­ver­ar­bei­tungs­an­la­ge des VN in die Luft ge­sprengt wird. Ei­ne Ein­schrän­kung der Aus­schluss­klau­sel auf Fäl­le phy­si­scher Schä­den an in­for­ma­ti­ons­ver­ar­bei­ten­den Sys­te­men durch die Ver­wen­dung klas­si­scher Kriegs­waf­fen er­scheint als Aus­le­gungs­er­geb­nis da­nach eher fern­lie­gend.
      • Der Cy­ber­an­griff muss sich nicht ge­gen ei­ne der Kriegs­par­tei­en oder de­ren An­ge­hö­ri­ge rich­ten. Ei­ne sol­che Ein­schrän­kung lässt sich der Klau­sel bei ob­jek­ti­ver Aus­le­gung nicht ent­neh­men.
      • Es wird ar­gu­men­tiert, dass der Cy­ber­an­griff auf dem­sel­ben geo­gra­fi­schen Ter­ri­to­ri­um statt­fin­den müs­se, auf dem auch der Krieg mit klas­si­schen Mit­teln aus­ge­tra­gen wer­de. Auch hier­für scheint die Klau­sel nichts her­zu­ge­ben.

4. Er­geb­nis

Wenn es dem Ver­si­che­rer ge­lingt, ei­nen Zu­sam­men­hang zwi­schen ei­nem Cy­ber­an­griff und dem der­zeit in der Ukrai­ne ge­führ­ten Krieg nach­zu­wei­sen, könn­te der Kriegs­aus­schluss in A1-17.2 grei­fen. Da­für müss­te der Ver­si­che­rer zu­dem be­wei­sen, dass der Cy­ber­an­griff der rus­si­schen Füh­rung als Kriegs­hand­lung zu­zu­rech­nen ist. Dass die Aus­wir­kun­gen ei­nes sol­chen Cy­ber­an­griffs bei ei­nem An­ge­hö­ri­gen ei­nes nicht un­mit­tel­bar an dem klas­si­schen Kriegs­ge­sche­hen be­tei­lig­ten Staa­tes und / oder au­ßer­halb des geo­gra­fi­schen Be­reichs der klas­si­schen Kampf­hand­lun­gen ein­tre­ten, dürf­te für die An­wend­bar­keit der Aus­schluss­klau­sel oh­ne Be­deu­tung sein.

Ihr An­sprech­part­ner für Fra­gen und An­mer­kun­gen: