US-Bundesgericht: Versicherungspolice deckt Ransomware-Angriff nicht ab
Wenn ein Versicherungsvertrag auf "physische Schäden" abstellt, ist ein immaterielles Produkt wie Software laut höchstrichterlichem US-Urteil nicht geschützt.
(Bild: Gorodenkoff/Shutterstock.com)
Bei Ransomware-Attacken, von denen nur Software betroffen ist, greift der traditionelle Versicherungsschutz in der Regel nicht. Dies hat der Oberste Gerichtshof Ohios mit einem jetzt veröffentlichten Urteil vom 27. Dezember entschieden. Wenn eine Police nur "direkte physische Schäden" oder Verluste abdeckt, erstreckt sich diese demnach nicht auf Computersoftware, weil diese "keine physische Existenz hat". Versichert seien höchstens Schäden an greifbaren Datenträgern, auf denen einschlägige Programme laufen.
Der Supreme Court von Ohio hat mit seiner Entscheidung das anderslautende Urteil eines Berufungsgerichts vom November 2021 aufgehoben. Der Fall geht auf eine Klage des US-Dienstleisters Electronic Medical Office Integration (EMOI), einem Hersteller medizinischer Abrechnungssoftware, gegen seinen Versicherungsanbieter Owners Insurance zurück. Die Berufungsinstanz war dabei – entgegen der ursprünglichen Ansage eines Bundesgerichts auf Bezirksebene – zu dem Schluss gekommen, dass der Geschädigte die Versicherungsgesellschaft verklagen kann. Sie habe es versäumt, "die verschiedenen Arten von Schäden, die an Datenträgern wie Software auftreten können", ordnungsgemäß zu prüfen.
Sachversicherung nicht ausreichend
Owners brachte vor dem Supreme Court vor, dass bereits "alles von persönlichen Telefonen und Computern bis hin zu Autos, Wahlmaschinen und Pipeline-Kontrollsystemen 'gehackt'" oder mit Verschlüsselungstrojanern erpresst worden sei. Die zunehmende Nutzung und Abhängigkeit von digitalen Informationen und Diensten hätten neue Angriffsflächen eröffnet. Daher sei eine spezielle Form von Versicherungsschutz entwickelt worden, um digitale Lösegeldforderungen oder andere "Cyberschäden" zu versichern.
"Der Grund dafür ist, dass die herkömmliche gewerbliche oder geschäftliche Sachversicherung eine solche Deckung nicht vorsieht", hob Owners hervor. EMOI hätte sich im Nachgang zwar offenbar gewünscht, eine Cyber-Police abgeschlossen zu haben. Das Unternehmen habe dies aber nicht getan.
Der US-Fachdienst Jurist verweist darauf, dass Gerichte bei ähnlichen Schadensfällen bereits wiederholt zugunsten der Versicherungsunternehmen entschieden hätten. Der Trend gehe zum Ausschluss von Cyberangriffen aus Haftpflichtversicherungen. Parallel steige das Interesse an speziellen Cyberpolicen, die aber oft saftige Prämien aufwiesen. Selbst dabei würden häufig Online-Attacken im Zusammenhang mit Kriegen ausgeschlossen.
Die US-Regierung habe daher im September eine Studie in Auftrag gegeben, um auszuloten, ob IT-Angriffe mit katastrophalen Auswirkungen überhaupt noch versicherbar sind. Der Vorstandsvorsitzende der Schweizer Versicherungsgesellschaft Zurich, Mario Greco, hat diese Frage gerade verneint: Ihm zufolge können Schäden im Cyberspace nicht mehr abgedeckt werden.
(olb)
