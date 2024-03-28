Ein grundlegender Wandel in der Funktionsweise von Cyberversicherungen begann mit einem Angriff auf den Pharmariesen Merck. Oder hat es woanders angefangen?
Im Juni 2017 traf der NotPetya-Vorfall etwa 40.000 Computer von Merck, zerstörte Daten und erzwang einen monatelangen Wiederherstellungsprozess. Der Angriff betraf Tausende multinationale Unternehmen, darunter Mondelēz und Maersk. Insgesamt verursachte die Malware einen Schaden von rund 10 Milliarden US-Dollar.
NotPetya-Malware nutzte zwei Windows-Schwachstellen aus: EternalBlue, einen digitalen Skeleton Key, der von der NSA durchgesickert war, und Mimikatz, ein Exploit, der Benutzerpasswörter von Windows-Rechnern sammelte.
Die Malware wurde so konzipiert, dass sie ohne Zutun des Benutzers infiziert, sich innerhalb von Netzwerken seitlich bewegt und sich sehr schnell verbreitet, wobei sie manchmal Netzwerke in weniger als einer Minute lahmlegt. Sobald sie ausgeführt wird, überschreibt sie den Master Boot Record und verhindert so das Booten des Systems.
In einer Lösegeldforderung wurde eine Zahlung für die Entschlüsselung verlangt. Es gab jedoch weder einen Mechanismus noch einen Plan, wie dies geschehen sollte. Der Zweck der Lösegeldforderung bestand darin, die Opfer davon zu überzeugen, dass sie von Ransomware befallen worden waren. Tatsächlich existierte NotPetya nur, um Daten unwiederbringlich zu zerstören.
Merck schätzte die Kosten des Angriffs auf 1,4 Milliarden US-Dollar. Diese Kosten umfassten einen vorübergehenden Verlust an Produktionskapazität sowie die Kosten für Equipment und die Einstellung neuer IT-Mitarbeiter, die für die Wiederherstellung erforderlich waren.
Das Unternehmen hatte eine Allgefahrenversicherung über 1,75 Milliarden US-Dollar bei Ace American abgeschlossen. Aber Ace American wies die Beanspruchung mit der Begründung ab, dass NotPetya im Russland/Ukraine-Krieg gegründet worden sei und dass es aufgrund der Ausschlussklausel für „Kriegshandlungen“ nicht zahlen müsse.
Merck verklagte Ace American im November 2019. Im Mittelpunkt ihrer Argumentation stand die Behauptung, der Angriff sei nicht das Ergebnis einer offiziellen staatlichen Handlung gewesen und Merck sei lediglich ein unbeteiligter Beobachter außerhalb des Konfliktherdes gewesen. Der Richter Thomas J. Walsh vom Obersten Gerichtshof von New Jersey entschied zugunsten von Merck.
Ace American legte Berufung ein, und das Appellationsgericht des Bundesstaates stellte fest, dass die in den Versicherungspolicen enthaltene Kriegsausschlussklausel, die eine Deckung für Schäden durch feindselige oder kriegerische Maßnahmen von Regierungen ausschließt, im vorliegenden Fall nicht galt.
Die beiden Parteien erzielten am 5. Januar 2024 eine vertrauliche Einigung.
Andere große Unternehmen haben ähnliche rechtliche Szenarien durchlaufen und sich ebenfalls geeinigt, wenn auch wahrscheinlich zu geringeren Beträgen.
Der Ausgang des Falls war weder völlig vorhersehbar noch notwendigerweise intuitiv. NotPetya selbst soll allgemein in einem Krieg seinen Ursprung haben – zugeschrieben wird dies der russischen Regierung (insbesondere der Hackergruppe Sandworm innerhalb des russischen Militärgeheimdienstes) und initiiert wurde es in der Ukraine, vermutlich mit dem Ziel, Russlands Ziele in diesem Konflikt zu fördern.
Obwohl es sich wahrscheinlich um eine Cyberkriegshandlung handelte, breitete sich der Angriff außerhalb der Ukraine auf Computer weltweit aus und verursachte sozusagen Kollateralschäden.
Cyberversicherungspolicen enthalten typischerweise Kriegsausschlussklauseln. Die Lloyd’s Market Association (LMA) hat beispielsweise einen Leitfaden für Ausschlussklauseln im Zusammenhang mit Cyberkrieg veröffentlicht. Sie empfiehlt, dass der Ausschluss unter bestimmten Umständen nicht für Cyber-Operationen gilt, die von Nationalstaaten außerhalb eines tatsächlichen heißen Krieg durchgeführt werden. Zum Beispiel, wenn der Cyberangriff außerhalb des Konfliktgebiets stattfand oder wenn das Unternehmen nicht das beabsichtigte Ziel war.
Das Urteil des Gerichts stand im Einklang mit den Richtlinien von Lloyd’s und kam zu dem Schluss, dass die Kriegsausschlussklausel auf die Umstände des NotPetya-Angriffs nicht anwendbar sei.
Dennoch war das Urteil bedeutsam. Einige der raffiniertesten und schädlichsten Cyberangriffe sind das Ergebnis von Aktionen von Nationalstaaten, um Konkurrenten oder Feinden anzugreifen. Wenn Versicherungsunternehmen für diese schädlichen, staatlich geförderten Cyberangriffe nicht die üblichen Kriegsausschlussklauseln anwenden können, müssen sie künftig ihre Policen anpassen, die Preise erhöhen oder beides.
Die Landschaft der Cyberversicherungen befindet sich seit mindestens einem Jahrzehnt im Wandel. Als Folge zunehmend kostspieliger Cyberangriffe sehen sich Versicherungskunden mit steigenden Prämien, strengeren Zeichnungsanforderungen und einem eingeschränkten Versicherungsschutz konfrontiert.
Diese Veränderungen sind auf eine Vielzahl von Trends in der Cyberangriffslandschaft zurückzuführen, darunter auch die Ransomware-Trends der letzten Jahre.
Laut dem Swiss Re Institute sind die weltweiten Cyberversicherungsprämien von unter 5 Milliarden USD im Jahr 2018 auf geschätzte 18 Milliarden USD in diesem Jahr gestiegen.
Unternehmen müssen ihre Cybersicherheit in Ordnung bringen, um überhaupt Versicherungsschutz zu erhalten, da die Richtlinien immer strenger werden. Versicherungsgesellschaften brauchen länger, um zu genehmigen, wen sie abdecken, und werden selektiver.
Der Versicherungsschutz wird teilweise durch eine steigende Anzahl von Ausschlüssen eingeschränkt, die den Versicherungsschutz unter bestimmten Umständen aufheben (und der „Kriegsausschluss“ war ein wichtiger Ausschluss).
Die Merck-Einigung hat die Aufmerksamkeit der Branche auf die Herausforderungen bei der Festlegung von Kriegsausschlüssen in Cyber-Versicherungspolicen gelenkt. Die Versicherungsgesellschaften werden ihre Versicherungsbedingungen voraussichtlich weiter verschärfen, insbesondere im Hinblick auf den Kriegsausschluss – ein Trend, der bereits 2022 begonnen hatte.
Und das hat auch die Aufmerksamkeit der Versicherungskäufer auf sich gezogen. Unternehmen müssen bei der Auswahl eines Versicherungsanbieters Ausschlüsse, Wartezeiten, Versicherungsgrenzen und andere Faktoren genau unter die Lupe nehmen. Ein weiteres wichtiges Element ist die Einschätzung, ob ein Unternehmen aufgrund geopolitischer Ereignisse Opfer oder Ziel von Angriffen werden könnte, und die Überlegung, wie Ausschlussklauseln dazu führen könnten, dass es im Falle schwerwiegender staatlich geförderter Cyberangriffe keine Entschädigung erhält.
Und konzentrieren Sie sich vor allem auf die Cybersicherheit – insbesondere auf Automatisierungstools und KI.
Während die Merck-Klage und die damit verbundenen Rechtsstreitigkeiten und Vergleiche wahrscheinlich einen wesentlichen Beitrag zu Änderungen der Kosten, Richtlinien, Ausschlüsse und Grenzen von Cybersicherheitsversicherungen leisten werden, ist der größere Einflussfaktor die zunehmende Raffinesse und die steigenden Kosten von Cyberangriffen im Allgemeinen.