Mondelez gegen Zürich Versicherung: Es ist ein richtungsweisender Fall. Nicht, weil es um viel Geld geht, sondern weil es um entscheidende Fragen geht. Nämlich, ob und wie viel Versicherungen bei Cyberattacken bezahlen müssen.
Der Nahrungsmittelriese Mondelez, zu dem unter anderem Toblerone, Trident oder Tuc gehören, hat eine Sachversicherung bei der Zürich Versicherung. Diese deckt grundsätzlich auch elektronische Daten, Programme und Software ab, die bei Cyberattacken angegriffen werden.
Es gibt aber Ausnahmen: Sollte die Cyberattacke von einem souveränen Staat ausgehen, eine kriegerische oder kriegsähnliche Handlung sein, greift diese Sachversicherung nicht. Genau auf diese Ausnahme stützt sich die Zürich Versicherung.
Kollateralschäden im Cyberwar?
Offiziell will die Versicherung zum laufenden Fall nichts sagen. Informierte Quellen sagen aber gegenüber Radio SRF, die Zürich will nicht zahlen, weil die Cyberattacke von Russland gesteuert gewesen sei und auf die Ukraine abzielte. Mondelez wie auch andere Grosskonzerne wie FedEx, der Pharmamulti Merck oder der Logistikgigant Mersk wären somit Kollateralschäden einer kriegsähnlichen Handlung geworden.
Tatsächlich haben zum Beispiel US-Geheimdienste die Attacke, die unter dem Namen NotPetya bekannt geworden ist, Russland zugeordnet. Reicht das aber, um sich aus der Versicherungsverantwortung stehlen zu können und die über 100 Millionen Dollar nicht zu zahlen? Genau das wird nun von den Gerichten in den USA entschieden.
Die Frage der Zuordnung
Zentraler Punkt bei diesem Entscheid: Kann man eine Cyberattacke einem Land zuordnen und als kriegerisch einstufen? Technisch ist eine solche Zuordnung und Einstufung nämlich sehr schwierig. Und alleine auf die Expertise von Geheimdiensten zu vertrauen, ist heikel, da diese auch politische Interessen verfolgen.
Der Fall wird deshalb in der Versicherungsbranche als Präjudiz angesehen. Er wird richtungsweisend sein bei weiteren grossen Cyberattacken und Schäden, die daraus für die Wirtschaft entstehen. Der Fall zeigt auch exemplarisch, wie wichtig es ist, Cyberattacken klar zuordnen zu können.
Ein Problem, für das es bis heute noch keine Lösung gibt. Zu komplex sind die technischen Herausforderungen, zu gross die politische Schlagseite von Geheimdiensten, die heute solche Zuordnungen machen. Neue Lösungsansätze sind also gefragt.
