IT-SICHERHEIT 35 DSD 2 | 2022 eine Kriegswaffe? Ist ein massiver Angriff auf das IT-System des Deutschen Bundestages eine Kriegserklärung an Deutschland? Und wenn ja, von wem? Das eröffnet viel Raum für Interpretationen. Konsequenzen für Cyberversicherungen Es ist jedoch festzuhalten, dass ein Versicherer, der sich auf den Kriegsausschluss beruft, das Vorliegen der in den Bedingungen definierten Kriterien auch beweisen muss. Und daran wird er regelmäßig scheitern, solange es keine Kriegserklärung von Russland gibt. Da es sich aber aus Sicht eines Versicherers möglicherweise um ein existenzgefährdendes Risiko (Kumulrisiko) handelt, wird er es häufig versuchen, versuchen müssen. Weiterhin wird sich die Anzahl der Versicherungsverträge verkleinern. Zum einen, weil der Beitrag für die Cyberversicherungen steigen wird und weniger Unternehmen diese Deckung kaufen. Zum anderen aber auch, weil sich Versicherer aus diesem Geschäftsfeld zurückziehen werden, woraus wieder steigende Beiträge bei den verbliebenen Versicherern resultieren. Skurrile Konsequenzen: „Kauft nicht beim Russen“ Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat am 15. März 2022 die Empfehlung ausgesprochen, die Virenschutzsoftware des Herstellers „Kaspersky“ nicht mehr zu nutzen. Begründet wird dies mit dem Zweifel an der Zuverlässigkeit des russischen Herstellers, der allerdings nicht näher ausgeführt wird. Kaspersky verteidigt sich:„Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung.“ Weiter wird ausgeführt, dass die Server in der Schweiz stünden und den höchsten Sicherheitsstandard erfüllen würden. Kein neutraler Betrachter kann auf Basis belastbarer Fakten entscheiden, was die richtige Entscheidung ist. Es geht hierbei um die Existenz eines großen Unternehmens versus die Sicherheit der Nutzer der angebotenen Produkte in Zeiten eines Krieges. Der Krieg ist angekommen im Cyberland. Und der Wechsel der Virenschutzware bedeutet für Unternehmen zusätzliche Aufwendungen für neue Lizenzen und das Implementieren der neuen Lösung. Noch haben die deutschen Cyberversicherer davor zurückgescheut, dies ihren Versicherungsnehmern als deckungsrelevante Auflage (Obliegenheit) aufzuerlegen, wenngleich es Äußerungen gibt, wonach ein Festhalten an der Kaspersky-Software zu Problemen im Schadenfall führen kann. Aber es erscheint zum Zeitpunkt des Verfassens dieses Artikels nur eine Frage der Zeit zu sein, bis dies der Fall ist. Denn die Aufwendungen für die Umrüstung tragen die Unternehmen, die Schadenaufwendungen die Versicherer. Und die werden eher die Aufwendungen externalisieren als sehenden Auges ein durch eine solche Maßnahme vermeidbares Risiko einzugehen. Cyberversicherung ist unverzichtbar Aus dem Vorgenannten könnte man zu dem Schluss kommen, dass eine Cyberversicherung unnötig sei, weil sich der Versicherer im Schadenfall einfach aus dem Staub machen könnte. Das wäre ein falscher Schluss. Zum einen werden in dem vorliegenden Artikel vor allem die möglichen Auswirkungen des in der Cyberversicherung üblichen Kriegsausschlusses betrachtet. Die „normalen“ Kriminellen gehen ihrem kriminellen Gewerbe nach wie vor nach und verursachen „normale“ Schäden, sodass hierfür immer auch ein entsprechender Schutz erforderlich ist. Notwendig ist hingegen noch mehr als bisher die sofortige Unterstützung in der Krise eines Angriffs auf das firmeneigene IT-System durch die Assistance-Dienstleister der Versicherer. Alles andere kann von Juristen später verhandelt werden. Besser ist es, man streitet sich über eine Deckung, als wenn gar kein Vertrag vorhanden ist. Sinnvoll ist es weiterhin, eine Firmenrechtsschutzversicherung einzudecken, die auch Deckungsklagen gegen einen Versicherer abdeckt, wodurchWaffengleichheit hergestellt wird. Bei Klagen bis zum BGH ist dies eine sinnvolle Vorsichtsmaßnahme. Aber auch beim Firmenrechtsschutz gibt es einen Kriegsausschluss. Bild: # 133453384/AdobeStock
RkJQdWJsaXNoZXIy Mjc4MQ==