Cybercrime oder Cyberwar?

Cyberversicherungen

2017 wurde der amerikanische Lebensmittelkonzern Mondelez (Toblerone, Stimorol, Milka u.v.a.) Opfer einer Cyberattacke mit der Malware Petya bzw. NotPetya. Mondelez hat eine Cyberversicherung bei der Schweizer Versicherungsgesellschaft Zurich. Diese weigert sich jedoch den Schaden von behaupteten US$ 100 Mio. (!) zu übernehmen. Zurich wendet ein, die Police mit Mondelez enthalte einen Passus, der Risiken aus „feindlicher oder kriegsähnlicher Handlung“ durch eine „Regierung oder souveräne Macht“ ausschliesst. In der Folge hat Mondelez bei einem Gericht im US-Bundesstaat Illinois gegen Zurich Klage eingereicht. Gemäss beim Gericht eingereichter Unterlagen wurden bei Mondelez 1’700 Server und 24’000 Laptops dauerhaft beschädigt.

Ueli Grüter zum Cyberstreit zwischen Mondelez und Zurich in der Sendung 10vor10 von SRF vom 07.02.2019

Beweislast liegt bei Zurich

Da es sich um einen Versicherungsausschluss handelt, muss Zurich nun beweisen, dass die Cyberattacke gegen Mondelez ein feindliche oder kriegsähnliche Handlung einer Regierung oder einer souveränen Macht war. Dies dürfte ein sehr schwierig zu erbringender Beweis sein, da er wohl nur mittels Informationen von Geheimdiensten möglich ist, die für einen Zivilprozess wohl schwierig zu bekommen sind. Kann Zurich den Beweis nicht erbringen, wird Zurich wohl zahlen müssen. Bei der Sache Mondelez versus Zurich dürfte es sich um einen Präzedenzfall handeln, wurden doch bis jetzt nur Fälle von Cybercrime und nicht von Cyberwar gerichtlich beurteilt.

Unterschied zwischen Cybercrime und Cyberwar

Der Unterschied zwischen Cybercrime und Cyberwar ist, dass Cybercrime von Privaten begangen wird, währenddem Cyberwar von einem Staat (oder einer Volksgruppe) ausgeht (s. auch Wikipedia zur Definition des Begriffs „Krieg“: https://de.wikipedia.org/wiki/Krieg).

Sind Cyberversicherungen sinnvoll?

Immer, wenn in einem Fall eine Versicherung eine Zahlung verweigert, stelle sich auch die Frage, ob sich ein solche Versicherung denn überhaupt lohnt. Dies kann man sich natürlich auch bei einer Cybersicherung fragen. Bei allen Versicherungen sind für diese Einschätzung folgende Punkte bzw. Fragen wichtig:

Welches sind die konkreten Risiken und sind sie durch die Versicherung wirklich gedeckt bzw. eben nicht ausgeschlossen?

Ist die Summe der Versicherungsdeckung genügend hoch?

Was ist bei Cyberversicherungen besonders zu beachten?

Da die Risiken für die Versicherungen im Bereich Cybercrime besonders hoch sind, neigen sie dazu, diverse Risiken vom Versicherungsschutz auszuschliessen. Aus diesem Grund ist es bei der Cyberversicherung besonders wichtig, genau hinzuschauen und auch das „Kleingedruckte“ zu lesen und kritisch zu hinterfragen. Wenn nicht klar ist, ob ein Risiko wirklich gedeckt ist oder Klauseln nicht klar sind, müssen diese Punkte unbedingt mit der Versicherung erörtert werden. In der Folge sollte sich eine Versicherung auch zur Deckung von strittige Risiken explizit und schriftlich bekennen.

Offensichtlich haben sich weder Mondelez, noch Zürich mit der Ausschlussklausel betreffend Cyberwar ausdrücklich befasst. Sonst würden sie sich jetzt nicht vor Gericht gegenüberstehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch