„Es gibt Grenzen der Belastbarkeit“: Munich-Re-Manager Reinhart verteidigt neue Cyberregeln
Hackerangriffe nehmen zu, braucht es neue Regeln? Quelle: Bild von Gerd Altmann auf Pixabay
Klarheit oder Risikoabwälzung? Kürzlich haben Mitglieder des Branchenverbandes Lloyd’s Market Association neue Standardklauseln für die Cyberversicherungen beschlossen. Kritiker bemängeln, dass Risiken auf Kosten von Kunde und Staat ausgegliedert werden. Jürgen Reinhart, Leiter des Geschäfts mit Cyber bei Munich Re widerspricht.
Die neuen Lloyd’s-Regeln sollen „vor allem Klarheit schaffen“, sagt der Manager. Es habe schon immer Klauseln gegeben, „die die Deckung systemischer Risiken ausgeschlossen haben“, sagt er gegenüber dem Spiegel. Die neuen Regeln wären wegen der steigenden Gefahr nötig. „Heute bedienen sich Staaten krimineller Organisationen und greifen verdeckt mit Cyberattacken an. Das kann zu Schäden führen, die ein privater Versicherer nicht tragen kann.“
Ein Ausschluss ist ein „Cyber-Krieg“ zwischen Staaten. Im Gegensatz zur zwischenstaatlichen Auseinandersetzung ist es bei Cyber schwierig nachzuweisen, ob es sich um staatlich motivierte Attacken handelt, erklärt Reinhardt. Munich Re hätte deshalb gerne Szenarien beschrieben, „die zu einem unkontrollierbar großen Schaden führen, ohne dabei explizit »Krieg« zu benennen“. Das war branchenintern „nicht durchsetzbar“. Wichtiger war der Munich Re „einen Konsens zu erzielen“, um einen „Standard zu setzen“.
Wer ist der Angreifer?
Der Kompromiss sieht vor, dass im Falle eines konventionellen Krieges in den Policen keine Cyberschäden gedeckt sind. Zweitens stellen die Regeln laut Reinhardt klar, dass bei einem staatlich initiierten Cyberangriff, der einen „major detrimental impact“ (großen schädlichen Auswirkungen) auf den angegriffenen Staat hat, „der Versicherer die Schäden nicht deckt“. Beispiele dafür sind Attacken auf zentrale Bereiche wie das Gesundheits- und Finanzsystem oder die Wasser- und Stromversorgung mit erheblichen Schäden.
Die Versicherung greift auch dann nicht, wenn ein betroffener Staat selbst die Attacke einem staatlichen Auftraggeber zuschreibt. „Bei derart großen Schäden werden die betroffenen Regierungen dies in der Regel tun“, sagt der Munich Re Manager. Geschieht das nicht, dann muss der Versicherer einen solchen Angriff beweisen. „Bis uns das gelingt, dürfen wir die Zahlungen bei ausreichenden Indizien zur Begleichung von Schäden aussetzen.“
Das bedeutet es für die Branche
Bis die neuen Regeln greifen, wird es aufgrund laufender Verträge „Jahre dauern“, erklärt Reinhart. Doch dann werde es helfen, ein Kumulrisiko in der Cyberversicherung auszuschließen. Beendet ist der Weg damit nicht, denn Hackerattacken können eine „Vielzahl an großen Schäden“ zur Folge haben. „Wir müssen Lösungen suchen, aber es gibt Grenzen der Belastbarkeit“, erklärt Reinhart.
Autor: VW-Redaktion
