IT-SICHERHEIT 34 DSD 2 | 2022 Krieg im Cyberland Von Bernd M. Schäfer Der Krieg in der Ukraine betrifft auch Bereiche, die nicht auf den ersten Blick im Fokus stehen. Die Möglichkeit von staatlichen Angriffen auf die Cyberinfrastruktur eines anderen Landes ist real. Ein Krieg im Cyberland kann verheerende Folgen haben und auch die Cyberversicherer in Mitleidenschaft ziehen. Eigentlich funktioniert die Cyberversicherung wie jede andere Versicherung auch. Es gibt eine Definition der versicherten Schäden. Im Wesentlichen geht es dabei um Haftpflichtschäden, wie z. B. die Verteidigung gegen den Vorwurf von Datenschutzverstößen infolge des Verlusts von sensiblen Kundendaten, oder Eigenschäden (z. B. Erpressung, Ransomware- Attacken) oder Betriebsunterbrechung und Assistance-Dienstleistungen (z. B. Krisenmanagement nach einer Attacke, auch Kundenansprache durch Callcenter nach Verlust von Kundendaten). Bei den Ausschlüssen vom Versicherungsschutz geht es zwar um im Prinzip versicherbare Schäden, die jedoch entweder ein einzelner Versicherer aufgrund seiner individuellenGeschäftspolitik oder alle Versicherer aufgrund fehlender Versicherbarkeit nicht versichern wollen. Einer der ältesten Versicherungsausschlüsse ist der Ausschluss für Krieg an Land. Der Cyberkrieg kommt nach Deutschland Der klassische Kriegsausschluss ging von feindlichen Truppen aus, die eine Ländergrenze überschreiten. Dies ist bei der Ukraine gegeben. Alle Schäden dort sind nicht versichert. Auch bedurfte es früher einer offiziellen Kriegserklärung, damit man sich im Krieg befand. Das wird bei der „Spezialoperation“ der russischen Streitkräfte schon von russischer Seite bestritten. Krieg liegt im Auge des Betrachters könnte man sagen. Im weltumspannenden Cyberland gelten diese Kriterien nicht mehr. Auch können auf einmal nicht staatliche Organisationen wie „Anonymous“ einen „Krieg“ gegen ein Land erklären. So geschehen am 24. Februar 2022: „The Anonymous collective is officially in cyber war against the Russian government.“ Muss es sich Deutschland als Land zurechnen lassen, wenn ein Mitglied von „Anonymous“ Deutscher ist oder in Deutschland lebt? Hinzu kommt, dass eine Zahlung von Lösegeld nach einer Ransomware-Attacke (Verschlüsselung von Programmen zur Erzielung eines „Lösegelds“ zur Freischaltung) bei staatlichen russischen Tätern schwierig werden dürfte. Grundsätzlich sind Zahlungen dieser Art in den meisten Cyberversicherungen abgedeckt. Steht irgendein Beteiligter auf der Sanktionsliste, kann dies eine Zahlung verhindern. Das Ergebnis ist, dass der Code für das Entsperren der verschlüsselten Software nicht erlangt werden kann und damit von einer dauerhaften Verschlüsselung und Unbrauchbarmachung auszugehen ist. Dies ändert die Gefährdungssituation jedes Unternehmens erheblich. Ein Treffer genügt, um versenkt zu werden, um in dem Bild des Krieges zu bleiben. Wann ist Deutschland im„Cyberwar“? Was müsste passieren, damit deutsche Cyberversicherer den in den Bedingungen vorhandenen Kriegsausschluss ziehen und dadurch leistungsfrei sein können? Der Cyberausschluss wird in dem Moment greifen, in dem Russland als Staat eine offizielle Kriegserklärung abgibt, dann liegt die sogenannte„Zwischenstaatlichkeit“ vor. Dies ist extrem unwahrscheinlich. Wenn aber in allen anderen Fällen plötzlich Kritische Infrastrukturen angegriffen werden und wenn Sicherheitsdienstleister ihr Personal nicht mehr disponieren können, weil ihre IT nicht mehr funktioniert und wenn dies von russischen Cyberkriminellen verursacht wurde, ist dies schon Cyberkrieg? Und woher wissen wir, dass es sich um russische Täter handelt, wo doch die manipulierbaren Spuren auch absichtlich in diese Richtung deuten können? Und ist es eine Frage, ob 10, 1.000 oder 100.000 Unternehmen betroffen sind? Geht es umQuantität oder Qualität? Ist die neue Schadsoftware Hermetic Wiper, die alle Daten eines Computers unwiderruflich löscht und damit ganz klar nicht im Hinblick auf die Erzielung von Lösegeld entwickelt wurde, Geschäftsführender Gesellschafter der ATLAS Versicherungsmakler für Sicherheits- und Wertdienste GmbH Die Erstveröffentlichung des Interviews erfolgte in der Aus- gabe 2 / 2022 der SECURITY INSIGHT – Fachzeitschrift für Unternehmenssicherheit und Wirtschaftsschutz (https:// prosecurity.de/security-insight/). Wir bedanken uns für die Abdruckgenehmigung. Bernd M. Schäfer
RkJQdWJsaXNoZXIy Mjc4MQ==