Cyber-Attacken: Droht Versicherern bei Zahlungen an Hacker Strafverfolgung?

Wohl kaum einer Versicherung wurde zuletzt ein solch hohes Potential zugeschrieben wie der Cyber-Versicherung. Zurecht? Mit dieser Frage leitete Christian Armbrüster die Tagung des Deutschen Vereins für Versicherungswissenschaft (Fachkreis Versicherungsrecht) in den Räumen der Freien Universität in Berlin ein.

„Cyber-Kriminalität wird zunehmen und größere Schäden anrichten“, mahnte Hans-Wilhelm Dünn, Präsident des Cybersicherheitsrates Deutschland. Dafür spreche allein schon der rasante Zuwachs beim weltweiten Datenvolumen. Lag dieses 2016 noch bei 16 Zetrabyte (entspricht 16 Milliarden Tetrabytes), sehen Prognosen einen Anstieg bis 2025 auf 163 Tetrabyte voraus. 60 Prozent hiervon werden von Unternehmen produziert.

Angesichts des erhöhten Datenaufkommens steigt auch die Schadensanfälligkeit. Studien wie beispielsweise vom Beratungs-Unternehmen Accenture rechnen mit einem Schadensvolumen bis zu fünf Billionen US-Dollar bis 2025 – allein durch Cyber-Attacken wohlgemerkt.

Betroffen seien nicht nur große Unternehmen, sondern vor allem der Mittelstand, machte Dünn deutlich und veranschaulichte, dass selbst in einer Tierpension sensible Daten für Cyber-Kriminelle zu erbeuten sind. Wer hier sein Haustier zur kurzzeitigen Betreuung abgebe, hinterlasse viele Daten, so Dünn. Hacker könnten neben Adressdaten, berufliche Kontaktdaten, Urlaubszeiten sowie gegebenenfalls Indikatoren auf das Einkommen der Tierbesitzer erbeuten. Diese Daten ließen sich im Anschluss beispielsweise für Phishing-Attacken oder klassisch für Einbrüche verwenden.

Prophylaxe ist wichtig

Dass beim Umgang mit Cyberrisiken nicht nur die Abwehr von Cyber-Angriffen bei Unternehmen und Versicherern im Vordergrund stehen sollte, machte Linus Neumann, Hacker und IT-Consultant, deutlich. „Zur IT-Sicherheit gehört nicht nur, Angriffe abzuwehren, sondern auch Resilienz gegenüber diesen aufzubauen.“ Unternehmen aus dem Mittelstand würden zwar durchaus Geld in die Vermeidung von Cyber-Attacken investieren, jedoch nicht auf den Schadensfall vorbereitet sein.

Insbesondere bei Ransom-Attacken, bei denen gehackte Daten erst gegen Zahlung eines Lösegeldes freigegeben werden, seien die KMUs schlecht vorbereitet. Oft wurde kein sicheres, vom System abgetrenntes Back-up angelegt. „Hier bleibt dann den Unternehmen bzw. Versicherern nur noch übrig, das geforderte Lösegeld zu zahlen“, erklärte Neumann.

Versicherer in rechtlicher Zwickmühle

Mit der Frage, ob sich die Versicherer mit der Zahlung eines Lösegeldes strafbar machen, beschäftigte sich im Anschluss Rechtsanwalt Stefan Segger. Schließlich sei das Zahlen von Lösegeld durchaus als Unterstützung einer kriminellen Vereinigung gemäß §129 StGB zu werten.  Allerdings stehe diesem Paragrafen der rechtfertigende Notstand gemäß §34 StGB gegenüber, der auch Gefahren für das Eigentum mit einschließt. Zahlt der Versicherer das Lösegeld für seinen Kunden, könne er hier als Notstandshelfer betrachtet werden, führte Segger aus.

Die Zahlung eines Lösegelds könnte jedoch auch als sittenwidriges Verhalten gemäß §138 BGB gewertet werden. Dieser Schlussfolgerung wollte sich Segger jedoch nicht anschließen: „Man muss hier auch das Verhalten des Staates miteinfließen lassen“, erklärte Segger mit Verweis darauf, dass Deutschland durchaus in der jüngeren Vergangenheit Lösegelder gezahlt habe, beispielsweise für das Freikaufen von DDR-Staatsbürgern.

„Sollte die Versicherung Lösegeld für einen Kunden zahlen, ist dies kein sittenwidriges Verhalten. Eine andere Frage ist allerdings, ob dies sinnvoll ist“, bemerkte Segger. Zwar würden die Erpresser Daten tatsächlich nach Zahlung des Lösegeldes freigeben, jedoch steige durch die Zahlung auch die Wahrscheinlichkeit, erneut zum Opfer einer Cyber-Attacke zu werden.

Autor: Martin Thaler