Angesichts steigender Cyberbedrohungen werden Versicherungen gegen diese Risiken immer beliebter. Damit erhoffen sich Unternehmen Unterstützung in der forensischen Aufarbeitung eines Cyber-Angriffs sowie einen finanziellen Ausgleich für den entstandenen Schaden. Diese Hoffnungen könnte jetzt einen deutlichen Dämpfer bekommen.
Ein Experten-Kommentar von Max Rahner, Sales Director DACH bei Claroty, zu den neuen Standardklauseln für Cyberversicherungen.
Der für Europa bedeutendste Branchenverband Lloyds Market Association (LMA) hat neue Standardklauseln für Cyberversicherungen beschlossen und sich auf einen geänderten Umgang mit der War Exclusion Clause im Zusammenhang mit Cybersecurity-Schäden verständigt.
Demnach werden künftig Angriffe von staatlichen Akteuren als kriegerischer Akt verstanden und fallen unter die Kriegsausschlussklausel, so dass Cyber-Versicherungen für solche Schäden nicht mehr haften müssen. Das bedeutet, dass z. B. bei dem SolarWinds-Hack geschädigte Unternehmen möglicherweise keinen Versicherungsschutz hätten, da allgemeiner Annahme zufolge die Angreifer im Auftrag des russischen Staats handelten.
Gleichwohl gibt es hier für die Versicherer ein paar Hürden. So muss der staatlich initiierte Cyberangriff einen „major detrimental impact“ auf den angegriffenen Staat haben. „Das wäre zum Beispiel der Fall, wenn das Finanzsystem, die Wasser- oder Stromversorgung oder das Gesundheitssystem infolge eines Angriffs zusammenbräche“, erklärt Jürgen Reinhart, Leiter des Geschäfts mit Cyberversicherungen bei Munich Re, bei Spiegel Online.
Allerdings wurden in letzter Zeit tatsächlich vermehrt Angriffe auf kritische Infrastrukturen beobachtet, etwa auf die Wasserversorgung in Israel oder die Stromversorgung in der Ukraine – teilweise mit verheerenden Folgen. Zudem können – wie im Falle SolarWinds – Unternehmen auch zum Kollateralschaden eines staatlichen Angriffs werden.
Unternehmen auf der ganzen Welt waren vom SolarWinds-Fall betroffen, auch wenn es streng genommen ein Angriff russischer Akteure auf ein US-Unternehmen war. Durch die mit der Digitalisierung einhergehende Internationalisierung werden wir meiner Meinung nach künftig nicht mehr so einfach sagen können, dass uns ein Angriff auf einen anderen Staat nicht interessiert. Ganz besonders nicht im Falle eines Cyber-Angriffs.
Da sich Unternehmen natürlich nicht aussuchen können, von wem sie angegriffen werden, führt das vor Augen, wie unumgänglich die sorgfältige Absicherung von Netzwerken und eine umfassende Cybersecurity-Strategie ist, zumal Versicherer dies ohnehin zur Voraussetzung für den Versicherungsschutz machen und es im Schadensfall die Aufarbeitung erheblich erleichtert.
Dies gilt insbesondere auch für die Bereiche, die bislang noch nicht so stark im Bewusstsein insbesondere der Geschäftsführung sind, allen voran Betriebstechnik- und industrielle Netzwerke. In diese Richtung zielt auch das neue IT-Sicherheitsgesetz 2.0, das explizit auch vernetzte Technologien jenseits der IT wie IoT, IIoT oder industrielle Steuerungssysteme / Betriebstechnik (ICS) einschließt.
Für alle Unternehmen ist es nun also höchste Zeit zu handeln, damit der Versicherungsfall möglichst gar nicht erst eintritt.