Die klassischen Kriegsausschlussklauseln waren so formuliert, dass „Schäden durch Krieg oder kriegsähnliche Ereignisse“ nicht versichert gelten. Schon vor dem Angriffskrieg Russlands gegen die Ukraine versuchten die Versicherer, Cyberangriffe als unter die Ausschlussklausel fallende Ereignisse einzustufen. Dieser Ansatz konnte jedoch nicht überzeugen, denn (1.) fehlt es regelmäßig an der zielgerichteten Handlung eines angreifenden Staates und (2.) bezieht sich der klassische Kriegsausschluss auf physische Kriegsakte – so zumindest nach derzeit herrschender Meinung.
Herausforderungen bei der Auslegung des Kriegsausschlusses in Zeiten digitaler Kriegsführung
Durch die voranschreitende Digitalisierung, der damit verbundenen Zunahme von Angriffen auf digitale Datenbestände, insbesondere seit Beginn des Krieges zwischen Russland und der Ukraine, ist die Auslegung des klassischen Kriegsausschlusses noch problematischer geworden. Hierbei stellen sich gleich mehrere Fragen:
- Greift der Ausschlusstatbestand auch bei hybrider Kriegsführung, bei der physischen Kriegshandlungen Cyberelemente beigemischt werden? Beispielsweise könnte eine Schadsoftware eingesetzt werden, um gegnerische IT-Systeme auszuschalten oder unter Kontrolle zu bringen.
- Greift der Ausschlusstatbestand auch im Falle eines alleinigen Cyberwars/ Cyberkrieges – also ganz ohne physische Kriegsakte?
- Was ist mit sogenannten „Kollateralschäden“, bei denen die Schadsoftware auch außerhalb des angegriffenen Landes Schäden anrichtet? Fehlt es hier am Merkmal der Zwischenstaatlichkeit, sodass die Ausschlussklausel nicht einschlägig ist?
- Wie kann oder soll der Versicherer den Nachweis führen, dass es sich bei dem Cyberangriff um einen staatlich gelenkten Angriff handelt, wenn es zumeist unmöglich ist, den tatsächlichen Ursprung des Angriffs zu lokalisieren?
Neuformulierung der Kriegsausschlussklausel durch den GDV
Der Gesamtverband der deutschen Versicherungswirtschaft (GDV) hat die Kriegsausschlussklausel neu gefasst (Musterbedingungen AVB Cyber Stand 02.2024) und damit klargestellt, dass ein Krieg im Sinne der Bedingungen nicht den Einsatz physischer Waffengewalt voraussetzt; es reicht, dass ein Krieg mit digitalen Mitteln geführt wird. Darüber hinaus beinhaltet die Klausel einen Ausschluss für staatliche Cyberangriffe: Ausgeschlossen sind Schäden, die eine direkte oder indirekte Folge eines erfolgreichen staatlichen Angriffs auf kritische Infrastrukturen sind. Die Beweislast für die Einschlägigkeit der Ausschlussklausel trägt zwar der Versicherer, jedoch kann schon der bloße Einwand des Kriegsausschlusses die Schadenregulierung torpedieren. Zudem wurde die Beweislast des Versicherers teilweise nicht unerheblich abgeschwächt: Zur Beweisführung reicht es jetzt aus, wenn als Ergebnis einer forensischen Untersuchung objektive Hinweise für die Verbindung der Informationssicherheitsverletzung zu einem Staat vorliegen. Dies kann bereits zutreffen, wenn eine bestimmte Hackergruppe bekanntermaßen „in deutlicher Nähe“ zu einem Staat bzw. dessen Regierung oder Regime einzuordnen ist.
Auswirkungen und Erwartungen
Die neuen Allgemeinen Versicherungsbedingungen (AVB) des GDV erweitern den Kriegsausschluss erheblich im Vergleich zu den Musterbedingungen aus dem Jahr 2017 und den bisher marktüblichen Bedingungswerken. Ob sich die Erstreckung der Ausschlussklausel auf staatlich beauftragte Cyberangriffe am Markt durchsetzen wird, bleibt abzuwarten. Die GDV-Musterbedingungen haben sich in der Vergangenheit leider nur als wenig hilfreich in Bezug auf die Entwicklungen in der Cyber-Versicherung herausgestellt; dies gilt allerdings sowohl für die positiven als auch negativen Aspekte. Einerseits gibt es Versicherer, die schon seit Jahren deutlich weitergehende Vertragsbedingungen anbieten als die des GDV es waren und sind. Andererseits gibt es Versicherer, die eine vorsorgliche Kündigung von Cyber-Verträgen aussprechen und deren Rücknahme nur/ erst ankündigen für den Fall, dass der Kunde der neuen Kriegsausschlussklausel zustimmt. Dieses Procedere ist sicherlich zielgerichtet und effektiv, wird hoffentlich aber nicht zur Usance. Daher kann wohl zurzeit nur eines als sicher vorhergesagt werden, nämlich dass es auf kurze Sicht keine einheitliche Formulierung hinsichtlich des Kriegsausschlusses geben wird.
Und wie ist der Versicherungsschutz Ihres Unternehmens ausgestaltet? Sprechen Sie uns an; wir beraten Sie gerne!