Wer zahlt, wenn Hacker Zigtausende Firmenlaptops zerstören? Die Versicherung, dachte Mondelez. Doch die Zurich Versicherung legt sich quer. Der Streit ist wegweisend für die Branche.
Wien. Firmenchefs haben eine neue Horrorvision: Erstmals stehen Hackerangriffe an der Spitze der Unternehmer-Sorgen, so das Ergebnis des aktuellen „Risikobarometers“, einer Umfrage des Versicherungskonzerns Allianz in 80 Ländern. Der geschätzte Schaden der Cyberattacken beläuft sich weltweit auf rund 500 Milliarden Euro im Jahr. Die Assekuranzen haben das Thema für sich entdeckt – und werben damit, die finanziellen Folgen von Hackerangriffen zu versichern. Aber für die betroffenen Unternehmen geht das nicht immer gut aus.
Bestes Beispiel ist der amerikanische Nahrungsmittelproduzent Mondelez, der hierzulande vor allem als Hersteller von Toblerone und Milka bekannt ist. 2017 wurde das Unternehmen Opfer eines verheerenden Angriffs mit dem Krypto-Trojaner „NotPetya“, der unter anderem den Pharmariesen Merck und die Reederei Maersk getroffen hatte. Bei Mondelez standen letztlich 1700 Server und 24.000 Firmenlaptops auf der Schadensliste. Sie waren infolge der Cyberattacke unbrauchbar geworden. Kostenpunkt: 100 Millionen US-Dollar.
„Kriegsähnliche Aktion“
Geld, das der Süßigkeitenhersteller gern von seiner Versicherung wiedergesehen hätte. Immerhin erstrecke sich die Eigentumsversicherung bei Zurich auf „physische Schäden an elektronischen Daten, Programmen, Software, verursacht durch das böswillige Eindringen in Software“, argumentiert man bei Mondelez.
Der Schweizer Versicherungskonzern sieht das denkbar anders und weigert sich zu zahlen, wie die „Financial Times“ berichtet. Ursprünglich hatten die Schweizer auf dem Kulanzweg noch eine Anzahlung von zehn Millionen Dollar geleistet, dann aber verkündet, doch keinen Cent an Mondelez zahlen zu wollen.
Die Begründung: Der Cyberangriff auf den US-Konzern sei als „feindliche oder kriegsähnliche Aktion“ zu werten. Und Schäden, die im Krieg verursacht werden, würden von der Versicherung nicht getragen. Zurich beruft sich dabei auf die Einschätzung der Vereinigten Staaten und Großbritanniens, die NotPetya damals als Teil eines russischen Cyberangriffs auf die Ukraine gewertet haben. Der Kreml selbst hat jede Involvierung in den Angriff stets von sich gewiesen.
Der amerikanische Schokokonzern will gerichtlich gegen Zurich vorgehen und klagt die Schweizer in den USA. Die Bedeutung des Prozesses geht weit über den Einzelfall hinaus. Erstmals muss ein Gericht die Frage klären, wer die Kosten eines Hackerangriffs tragen muss. Bisher wurden die Versicherungen – ähnlich wie bei den Folgekosten des Klimawandels – besonders oft zur Kasse gebeten.
61 Prozent sind betroffen
Besonders problematisch ist für sie das sogenannte versteckte Cyber-Exposure, also wenn Unternehmen wie Mondelez die Schäden aus Hackerangriffen über ihre klassischen Versicherungsverträge ersetzt haben wollen. Die Versicherungsbranche flutet den Markt hingegen mit speziellen Cyberversicherungen, die sie genau für solche Fälle erfunden haben. Auch in Österreich werden diese Spezialversicherungen derzeit aktiv beworben. Immerhin wurden 61 Prozent aller heimischen Unternehmen bereits Opfer einer Cyberattacke, schätzen die Wirtschaftsberater von KPMG. 2017 wurden 16.800 Fälle angezeigt. Doppelt so viele wie drei Jahre zuvor.
Warten auf Beweis
Der Fall Zurich gegen Mondelez hat das Potenzial, die Aussichten für das junge Geschäft mit den Cyberversicherungen schlagartig zu verbessern – oder zu verschlechtern. Urteilt das Gericht, dass Schäden aus Hackerangriffen nicht durch normale Eigentumsversicherungen gedeckt sind, werden nur wenige Firmen an einer Spezialversicherung vorbeikommen.
Ganz einfach wird das allerdings nicht. Denn Zurich muss vor Gericht beweisen, dass es sich bei dem NotPetya-Angriff tatsächlich um eine „kriegsähnliche Aktion“ mit Russland oder einem anderen Staat als Drahtzieher gehandelt hat. Eine Aufgabe, an der auch die westlichen Geheimdienste regelmäßig scheitern. Schließlich gehört das Vertuschen der eigenen Spuren zum Einmaleins der Cyberkriminellen. Ein paar Hinweise reichen für eine ernsthafte Einschätzung nicht aus, sagte Hans-Wilhelm Dünn vom Cybersicherheitsrat Deutschland zur „Presse“. Im Gegenteil: „Wenn Sie kyrillische Zeichen sehen, ist das oft sogar ein Indiz dafür, dass hier jemand eine falsche Fährte in Richtung Russland gelegt hat.“
("Die Presse", Print-Ausgabe, 16.01.2019)