Kein Kriegsfall: Versicherung muss für Ransomware-Schaden durch NotPetya zahlen

Großer juristischer Erfolg für den US-Pharmakonzern Merck: Ein Berufungsgericht des US-Bundesstaats New Jersey hat Anfang der Woche entschieden, dass sich Versicherungen bei Schadsoftwareangriffen nicht auf Ausschlussklauseln für den Kriegsfall berufen können. Das Berufungsgericht bestätigte damit eine Entscheidung der Vorinstanz, dass die Versicherer dem Pharmakonzern den durch einen Cyberangriff mit dem Verschlüsselungstrojaner NotPetya entstandenen Schäden ersetzen müssen. Dabei wurden Merck insgesamt 1,4 Milliarden US-Dollar zugesprochen.

Das Berufungsgericht befand in seinem Beschluss, dass sich Ausschlussklausel in Versicherungsverträgen für "feindliche/kriegsähnliche Handlungen" nicht auf eine Cyberattacke anwenden ließen, die auf ein nicht-militärisches Unternehmen zielten. Dabei spiele es keine Rolle, ob hinter dem Angriff eine fremde Regierung oder andere staatliche Stellen steckten.

NotPetya schlägt vielerorts zu

US-Geheimdienste vermuten den Militärgeheimdienst GRU hinter NotPetya. Dessen berüchtigte "Einheit 74455" alias "Sandworm" soll laut den "Vulkan Files" die wirtschaftlich schädlichste Malware der Geschichte in Umlauf gebracht haben. Mit dem Verschlüsselungstrojaner wurden etwa das dänische Industrie-Konglomerat Maersk, Beiersdorf in Hamburg, Reckitt Benckiser aus Großbritannien, das niederländische Transportunternehmen TNT, der französische Konzern Saint Gobain, der US-Lebensmittelkonzern Mondelēz und eine große Zahl ukrainischer Firmen angegriffen.

Merck hatte es am 27. Juni 2017, dem Vorabend des Nationalfeiertags der Ukraine, erwischt. Die Malware wurde laut der Gerichtsbeschreibung in die von einem ukrainischen Unternehmen entwickelte Buchhaltungssoftware MeDoc eingeschleust, die die betroffenen Firmen nutzten. Mehr als 40.000 Rechner im globalen Netzwerk von Merck sollen so infiziert worden sein. Stand 2020 soll der Arzneimittelhersteller 870 Millionen US-Dollar Verlust in Zusammenhang mit NotPetya verbucht haben.

Nach den Hinweisen von US-Regierungsstellen auf die Beteiligung des russischen Militärs an der Attacke beriefen sich die Versicherer des Pharmakonzerns auf die Ausschlussklausel in ihren Policen. Die mit drei Richtern besetzte Kammer des Berufungsgerichts stellte nun aber klar, dass die Versicherer die Einschränkung zu weit auslegten. Diese wollten erreichen, dass jede staatlich unterstützte Maßnahme darunterfällt, die einen "bösen Willen oder den Wunsch zu schaden" widerspiegelt.

Die Kammer hielt dem entgegen, dass die Versicherer "die Bedeutung von 'feindlich' bis an die äußerste Grenze ausdehnten". NotPetya sei "nicht ausreichend mit einer militärischen Aktion oder einem militärischen Ziel verbunden, da es sich um einen nicht-militärischen Cyberangriff auf einen Anbieter von Buchhaltungssoftware handelte", schrieben die Richter in ihrer Entscheidung.

Cyberrisiken nur noch schwer versicherbar

Die Entscheidung dürfte Wellen schlagen. So wollte 2019 etwa auch der Versicherungskonzern Zurich nicht für die von NotPetya angerichteten Schäden in Höhe von 100 Millionen US-Dollar bei Mondelēz aufkommen und verwies dabei ebenfalls auf eine "kriegsähnliche Aktion" eines anderen Staates. Bleiben die Versicherer bei ihrer Haltung, könnten letztlich erst Entscheidungen Oberster US-Gerichte Klarheit und Rechtssicherheit bringen.

Durch hohe Schadenssummen insbesondere bei Ransomware-Attacken ist die Versicherung von Cyberrisiken insgesamt kaum noch attraktiv für die Anbieter; Policen sind daher nur noch schwer zu bekommen. Die Industrie versucht sich selbst zu helfen: Anfang des Jahres nahm die in Brüssel sitzende Versicherungsgesellschaft Miris ihre Arbeit auf. Zu ihren Gründern zählen zwölf europäische Konzerne, darunter Airbus, Michelin sowie die Chemieriesen BASF und Solvay. Ziel ist es, die Risiken von Cyberangriffen gemeinschaftlich abzusichern.

(vbr)