Die Versicherungsbranche schaue gespannt, wie der Rechtsstreit zwischen dem US-Lebensmittelkonzern Mondelez und der Zurich ausgehe, sagt Nicole Becher. Die IT-Sicherheitsberaterin ist Expertin für Cyber-Kriminalität in verschiedenen Unternehmen und beim Staat.
Mondelez war Opfer eines Cyber-Angriffs geworden. Der Schaden war immens: Computer-Server und Laptops wurden zerstört. Vertrieb, Marketing und Finanzwesen konnten monatelang nur eingeschränkt arbeiten.
Schwierige Beweislage
Mondelez hofft deshalb auf eine Entschädigung durch die Zurich, bei der das Unternehmen versichert ist. Aber die Zurich will nicht zahlen. Sie stellt sich auf den Standpunkt, dass die Cyber-Attacke ein von Russland aus orchestrierter Kriegsakt war. Und die Police schliesse feindliche oder kriegsähnliche Aktionen in Friedenszeiten aus.
Die Zurich muss nun vor Gericht beweisen, dass die Cyber-Attacke tatsächlich von der russischen Regierung angeordnet wurde. Sie wisse aber nicht, wie das gehen solle, sagt Becher. Denn es sei äusserst schwierig, die Urheber von Cyber-Angriffen ausfindig zu machen.
Zugleich stellt sich laut Becher die Grundsatzfrage, ob eine Cyber-Attacke überhaupt als kriegsähnlicher Akt beurteilt werden könne. Oder als krimineller Akt. Schliesslich habe es keine Todesopfer gegeben. Je nach Ausgang des Rechtsstreits könne das einiges durcheinanderbringen.
Wird ein Präjudiz geschaffen?
Gewinnt die Zurich, müssten viele Unternehmen über die Bücher und prüfen, ob ihre Versicherungspolice tatsächlich hält, was sie verspricht. Gewinnt Mondelez, müssen die Versicherer über die Bücher. Das könnte zu einer massiven Verteuerung der Versicherungsprämien führen.
Dennoch ist IT-Sicherheitsexpertin Becher überzeugt, dass sich der Markt für Cyber-Versicherungen rasch weiterentwickeln werde. Unternehmen, die viel in die IT-Sicherheit investierten, könnten wohl mit tieferen Prämien rechnen, als solche, die ihre gesamten Risiken auf eine Versicherung abschieben wollten.
Dennoch müsse die Branche erst lernen, wie sie mit solchen neuen Phänomenen wie Cyber-Attacken umgehen müsse. Denn Cyber-Attacken seien eben nicht dasselbe wie Erdbeben oder Brände. Im Fall Mondelez gegen Zurich wird nun erst einmal ein US-Gericht solche neuen, grundlegenden Versicherungsfragen klären müssen.
