Cybergefahren stellen für Unternehmen und Cyberversicherer ein vielschichtiges und schwer kalkulierbares Risiko dar. Aktuelle Fälle lassen das Ausmaß der wirt - schaftlichen Risiken durch Cyberangriffe erkennen.  

Beispielshaft sei auf die in dieser Ausgabe erwähnten von Datenschutzbehörden im Nachgang zu Cyberangriffen gegen Unternehmen verhängten Bußgelder verwiesen. Neben den wirtschaftlichen Risiken können Versicherer und Versiche - rungsnehmer nach einem Cyberangriff auch mit vielschichtigen rechtlichen Themen konfrontiert sein. Dies ist im Zusammenhang mit Angriffen durch Ransomeware (Verschlüsselungstrojaner) denkbar, bei denen der Eindringling die Daten des versicherten Computersystems verschlüsselt und für deren Entschlüsselung ein Lösegeld fordert. Viele der auf dem Markt angebotenen Cyberversicherungen bieten (meistens als optionale Leistung) Versicherungsschutz für Schäden, die im Zusammenhang mit solchen Lösegeldforderungen entstehen. 

Bei der Mehrzahl der Ransomeware Angriffe handelt es sich nach Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik um ungezielte Attacken. Daneben gibt es zunehmend mehr elaborierte Netzwerkkompromittierungen, bei denen die Täter Angriffsmethoden nutzen, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren.1 In der Königsklasse dieser Disziplin – und das ist der Fall, der nachfolgend betrachtet wird – geht es schließlich um Angriffe, bei denen die fortschrittliche Vorgehensweise darauf schließen lässt, dass die Hacker durch staatliche Ressourcen unterstützt wurden. Beispielsweise ist vor kurzem ein UN - Bericht bekannt geworden, wonach Nordkorea sein Raketenprogramm mit Hilfe von Cyberangriffen insbesondere gegen Banken und Bitcoinbörsen finanzieren soll. Die Beute Nordkoreas aus solchen “Cyber - Überfällen” wird auf EUR 2 Mrd. geschätzt.2

Zahlt der Versicherungsnehmer ein solches Lösegeld, das mutmaßlich in den Staatshaushalt eines fremden Staates eingeflossen ist, stellt sich zunächst die Frage, ob die Leistungspflicht des Versicherers unter der Cyberversicherung entfällt. Cyberversicherungen enthalten beispielsweise u.a. einen Ausschluss für alle Schäden aufgrund von Krieg, kriegerischen Handlungen und/oder Schäden, die auf sonstigen feindseligen Handlungen beruhen. Teilweise gibt es Bedingungswerke, die von Schäden durch “Cyberkrieg” sprechen. Die Reichweite dieser Klauseln hängt von deren jeweiliger konkreter Formulierung ab, die im Kontext der Cyberversicherung aus der zur Auslegung von Versicherungsbedingungen maßgeblichen Sicht des durchschnittlichen Versicherungsnehmers ausgelegt werden muss. Daneben enthalten Cyberversicherungen – und insoweit besteht ebenfalls kein Unterschied zu sonstigen Sparten – Regelungen, wie mit Leistungen umzugehen ist, die von (internationalen) Sanktionen betroffen sind. Beispielsweise besteht nach den Musterbedingungen des GDV zur Cyberversicherung (AVB Cyber) der Versicherungsschutz nur soweit, wie keine auf die Vertragsparteien direkt anwendbaren Wirtschafts - Handels - oder Finanzsanktionen bzw. Embargos der Eu - ropäischen Union oder der Bundesrepublik Deutschland entgegenstehen (vgl. Ziff. B4 - 7 AVB Cyber). Dann gilt es im Einzelfall festzustellen, ob anhand der verfügbaren Informationen mit hinreichender Sicherheit feststeht, dass der Versicherungsnehmer durch die Zahlung des Lösegeldes gegen Sanktionsregelungen verstoßen hat. Ausgangspunkt der Prüfung ist die Sanktionsliste des Bundesamts für Wirtschaft und Ausfuhrkontrolle. 

Daneben geht es auf zweiter Ebene um öffentlich - rechtliche und aufsichtsrechtliche Themen. Stichwort ist hier zunächst die “non - admitted” Problematik, d.h. die Frage, ob ausländisches Aufsichtsrecht einer Leistungspflicht des Cyberversicherers entgegensteht. Es geht um diejenigen Staaten, nach deren nationalem Recht lokale Risiken nur durch lokal zugelassene Versicherer gedeckt werden dürfen. Die deutsche aufsichtsrechtliche Sichtweise ist dabei im Regelfall relativ schnell abgearbeitet, denn die Durchsetzung ausländischer Verbotsnormen fällt grundsätzlich nicht in den Aufgabenbereich der deutschen Versicherungsaufsicht. 

Auf letzter Stufe ist schließlich zu berücksichtigten, dass es auch eine internationale Sichtweise auf den Fall geben wird, die zu rechtlichen Implikationen führen könnte. Gerade US - Behörden haben eine weitgehende Eingriffskompetenz gegen Unternehmen (und deren Geschäftsleiter, sofern diese US - Boden betreten), wenn es darum geht, dass Gelder an einen von US - Sanktionen betroffenen Staat gezahlt worden sind. Die Zahlung des Lösegelds durch den Versicherungsnehmer bzw. anschließend durch den Cyberversicherer nach dem Motto “Augen zu und durch” kann in solchen – zugegeben nicht alltäglichen – Fällen daher zu deutlich weitergehenden Konsequenzen führen, als den mit der Nichtzahlung des Lösegeldes verbundenen Verlust der verschlüsselten Daten.