Die USA befanden sich am Morgen des 7. Dezember 1941 nicht offiziell im Krieg mit Japan, als die japanische Marine Pearl Harbor bombardierte und 2.403 Menschen tötete. Der Kongress erklärte erst am nächsten Tag, dem 8. Dezember, den Krieg. Als Arthur und Freda Rosenau einen Anspruch auf die 1000-Dollar-Lebensversicherung ihres Sohnes Howard einreichten, waren sie überrascht, als sie von Idaho Mutual eine Antwort hörten, die den Anspruch mit der Begründung ablehnte, Howard sei ein Seemann der Marine in Pearl Harbor getötet, war im Krieg gestorben.
Aber es ist nicht immer klar, was eine Kriegshandlung ist oder nicht, und da die Versicherer in den Jahrzehnten seit Pearl Harbor die Sprache in diesen Ausschlüssen erweitert haben, wurden Versicherungsnehmern Ansprüche für Ereignisse im Zusammenhang mit Terroranschlägen und Bürgerunruhen verweigert. In jüngster Zeit haben Versicherer damit begonnen, Kriegsausschlüsse auf staatlich geförderte Cyberangriffe anzuwenden, was die Möglichkeit erhöht, dass ein standardmäßiger Versicherungsausschluss, der ursprünglich auf seltene, unvorhersehbare Krisen abzielte, nun die Deckung für immer häufigere und weitreichendere Sabotageakte ausschließen könnte.
Der finanzielle Aufwand ist beträchtlich. Derzeit entscheiden Gerichte über Rechtsstreitigkeiten zwischen Versicherern und Privatunternehmen über Schäden durch einen russischen Cyberangriff namens NotPetya aus dem Jahr 2017. Die Entscheidungen in den NotPetya-Fällen werden dazu beitragen, zu definieren, wer für die nächste Generation staatlich unterstützter Cyberangriffe bezahlt, unabhängig davon, ob diese aus Russland, China, Nordkorea oder dem Iran stammen. Im Mittelpunkt des Gerangels steht die Standardsprache in Versicherungspolicen, die Kriegshandlungen ausschließen – Klauseln, die sich im Laufe des letzten Jahrhunderts entwickelt haben, um immer umfassendere Definitionen von Krieg widerzuspiegeln.
In den 1940er Jahren zum Beispiel erklärte die Lebensversicherung von Howard Rosenau ausdrücklich, dass sie „Tod, Invalidität oder andere Verluste, die während des Militär-, Marine- oder Luftdienstes eines Landes im Krieg erlitten werden“, nicht abdecken würde. Die Rosenaus waren eine von mehreren Pearl Harbor-Familien, die ihre Versicherer wegen solcher Ausschlüsse vor Gericht brachten. Sie gewannen schließlich, als der Oberste Gerichtshof von Idaho 1944 entschied, dass Rosenaus Tod am Vortag nicht im Dienst eines Landes im Krieg stand, da sich die Vereinigten Staaten bis zum 8. Dezember nicht offiziell und legal im Krieg mit Japan befanden.
Nach den Klagen um Pearl Harbor änderten viele Versicherer die Sprache in ihren Policen, sodass die sogenannten Kriegsausschlüsse nun für Ereignisse gelten, die „in Friedens- oder Kriegszeiten“ eingetreten sind. Spätere Klagen führten zu einer weiteren Ausweitung dieser Ausschlüsse.
Am 6. September 1970 entführten Mitglieder der Volksfront zur Befreiung Palästinas den Pan-Am-Flug 093, landeten ihn in Kairo, evakuierten die Passagiere und sprengten das Flugzeug. Pan Am reichte bei seinem Versicherer Aetna eine Forderung in Höhe von 24.288.759 US-Dollar für die Kosten des Flugzeugs ein. Aetna wies den Anspruch zurück, weil eine Klausel in der Police von Pan Am die Deckung von „Krieg, Invasion, Bürgerkrieg, Revolution, Rebellion, Aufstand oder kriegsähnlichen Operationen, unabhängig davon, ob eine Kriegserklärung vorliegt oder nicht“, ausschließe. Pan Am gewann diesen Fall, teilweise weil das Gericht feststellte, dass die PFLP keine Agenten einer souveränen Regierung waren.
Aetna war auch der Versicherer der Hotelkette Holiday Inn am 6. Dezember 1975, als ein Holiday Inn in Beirut durch Kämpfe im libanesischen Bürgerkrieg zerstört wurde. Aetna berief sich auf den Kriegsausschluss, um den Anspruch der Hotelkette auf Schadensersatz in Höhe von 11 Millionen Dollar abzulehnen – und erneut verlor die Versicherungsgesellschaft vor Gericht, als ein Richter 1983 entschied, dass die Kämpfe in Beirut tatsächlich eine „Reihe zunehmender fraktioneller ‚ziviler Unruhen‘“ seien Gewalt“, aber kein Krieg, weil die beteiligten Parteien keine „souveränen oder quasi-souveränen Staaten“ waren.
Als Russland im Sommer 2017 den NotPetya-Cyberangriff entfesselte, Computerausfälle und Betriebsunterbrechungen bei Unternehmen weltweit verursachte und Schäden in Höhe von über 10 Milliarden US-Dollar verursachte, hatten die Versicherer ihre Kriegsausschlüsse noch weiter ausgeweitet und aus ihren Verlusten in Fällen wie diesen gelernt gebracht von Pan Am und Holiday Inn. Die Sach- und Unfallversicherungspolicen einiger NotPetya-Opfer schlossen den Versicherungsschutz für „feindliche oder kriegerische Handlungen in Friedens- oder Kriegszeiten“ aus, die nicht nur von Regierungen oder souveränen Mächten, sondern auch von „Militär-, See- oder Luftstreitkräften“ begangen wurden jeder „Beauftragte“ einer Regierung oder eines Militärs.
Anders als in den Fällen Pan Am oder Holiday Inn war dieses Mal zudem klar, dass tatsächlich eine Regierung hinter dem Angriff steckte und direkt auf private Unternehmen abzielte. Im Februar 2018, weniger als ein Jahr nach NotPetya, herrschte weitgehend Einigkeit darüber, dass das russische Militär für die Malware verantwortlich war – mehrere Regierungen gaben sogar koordinierte formelle Erklärungen zur Zuschreibung zu diesem Zweck heraus.
Vielleicht ermutigt durch diese ausdrückliche Zuschreibung, lehnten mehrere Versicherer Ansprüche von mindestens zwei Unternehmen ab, die während NotPetya große Verluste erlitten hatten: der multinationale Lebensmittelkonzern Mondelez, der bei seinem Versicherer Zürich einen Schadensersatzanspruch von mehr als 100 Millionen US-Dollar einreichte, und das Pharmaunternehmen Merck , das bei seinen mehr als 20 Versicherern eine Forderung in Höhe von 1,4 Milliarden US-Dollar einreichte.
Beide Unternehmen verklagten ihre jeweiligen Versicherer. Der Fall Mondelez ist noch nicht entschieden, aber Merck hat im Dezember einen bedeutenden Sieg errungen, als ein Gericht in New Jersey entschied, dass der Kriegsausschluss in der Unternehmensrichtlinie nicht für NotPetya gilt, weil der Cyberangriff keine Gewalt beinhaltete, die Nutzung von Streitkräften oder „traditionellen Formen der Kriegsführung“.
Das Merck-Urteil ist nur eines von vielen, die dazu beitragen werden, festzustellen, ob die Versicherung die Auswirkungen staatlich geförderter Cyberangriffe abdeckt oder nicht. Die Versicherer sind bereits dabei, den Wortlaut ihrer Kriegsausschlüsse auf diese Ereignisse auszudehnen. Im August veröffentlichte Lloyd’s ein Marktbulletin über Ausschlüsse für staatlich unterstützte Cyberangriffe und forderte die Versicherer auf, den Ausschluss der Deckung für einige staatlich unterstützte Cyberangriffe in Betracht zu ziehen, die „außerhalb eines Krieges mit physischer Gewalt stattfinden“.
Versicherer haben die Kriegsausschlüsse seit den Tagen von Pearl Harbor erweitert und geändert. Aber die Entwicklung von Cyberangriffen hat diese Bemühungen übertroffen. Zu den öffentlichkeitswirksamen, staatlich geförderten Angriffen auf Privatunternehmen in den letzten Jahren zählen Russlands SolarWinds-Hack im Jahr 2020, Chinas Angriff auf den Microsoft Exchange-Server im Jahr 2021, Irans Angriff auf das Boston Children’s Hospital im Jahr 2021 und Nordkoreas Diebstahl von 620 Millionen US-Dollar in Kryptowährung im Jahr 2022.
Solche staatlich geförderten Cyberangriffe werden immer ehrgeiziger und routinemäßiger und sind weitaus häufiger als Kriege, Terroranschläge oder Revolutionen. Versuche, sie aus dem Versicherungsschutz herauszuschreiben, können daher weitaus tiefgreifendere – und teurere – Folgen für Unternehmen haben als alle bisherigen Versuche von Versicherungsträgern, die Bedeutung des Krieges für ihre Versicherungsnehmer zu erweitern.
—Frau Wolff ist außerordentliche Professorin an der Fletcher School der Tufts University und Autorin von „Cyberinsurance Policy: Rethinking Risk in an Age of Ransomware, Computer Fraud, Data Breaches and Cyberattacks“.
Copyright ©2022 Dow Jones & Company, Inc. Alle Rechte vorbehalten. 87990cbe856818d5eddac44c7b1cdeb8
Quelle: Wallstreet Journal
