Überdenken von Kriegausnahmen in Cyber-Richtlinien und die Rolle von Versicherungen in der globalen Cybersicherheits-Governance
01/2026
Einleitung
Cyberkriegsführung ist eine der gefährlichsten Bedrohungen für die globale Sicherheit im geopolitischen Kontext. Sie hat auch einen zweideutigen Status in den konventionellen Kriegs- und Versicherungsgesetzen. So verursachte beispielsweise der Cyberangriff NotPetya im Jahr 2017, der von umfassenderen politischen Motiven getrieben war, weltweit unglaubliche Schäden und rechtliche Debatten. Einige Versicherer weigerten sich, NotPetya-bezogene Ansprüche zu begleichen, und verwiesen dabei auf Kriegsklauseln in ihren Versicherungspolicen. Kriegsklauseln sind seit langem bestehende Klauseln, die die Deckung für „feindliche oder kriegerische Handlungen in Friedens- und Kriegszeiten“ durch Staaten oder deren Vertreter ausschließen. Die in Cyber-Versicherungspolicen formulierten Definitionen von Krieg bieten eine einzigartige Perspektive für das Verständnis von Cyberkriegsführung. In Rechtsfällen, in denen Kriegsbestimmungen angefochten werden, werden von Regierungen konstruierte Narrative zu Kriegführung und aggressiven Cyberaktionen hinterfragt. Dennoch bieten die Bestimmungen von Versicherungspolicen in diesen Fällen wenig Klarheit in ihren Definitionen; stattdessen lösen sie eine juristische Debatte aus, in der Beweise vorgelegt und einer strengen logischen Prüfung unterzogen werden.
Schäden, die durch Cyberangriffe entstehen, wurden häufig durch solche Klauseln, die Risiken im Zusammenhang mit Krieg ausschließen, von der Deckung ausgeschlossen. Einerseits ist es verständlich, dass Versicherer ihr Risiko im Falle einer Cyberkriegsführung begrenzen wollen. Andererseits ist es problematisch, dass gerade dann keine Deckung verfügbar ist, wenn sie am dringendsten benötigt wird. Dieser Beitrag untersucht dieses Problem. Wir konzentrieren uns zunächst auf die Versicherbarkeit von Cyberrisiken im Allgemeinen, vor allem aus versicherungstheoretischer Sicht. Anschließend diskutieren wir, wie Kriegsklauseln in der Praxis in vielen Fällen mit Cyberangriffen angewendet wurden. Wir diskutieren dann die wichtige Rolle der Versicherung, sowohl als Instrument zur Entschädigung als auch zur Schaffung von Anreizen für Prävention, auch bekannt als „Insurance as Governance” (durch Risikodifferenzierung zur Kontrolle des moralischen Risikos). Wir argumentieren, dass die Governance-Bemühungen der Versicherer, insbesondere im Hinblick auf Cyberrisiken, hinter den Erwartungen zurückbleiben. Anschließend stellen wir unsere Lösungsvorschläge vor: ein mehrschichtiges Versicherungsmodell, bei dem der Staat als Rückversicherer der letzten Instanz fungiert. Wir argumentieren, dass dies sowohl die Nachfrage nach Versicherungsschutz stimulieren als auch die Rolle der Versicherer bei der Minderung von Cyberrisiken stärken kann. Der letzte Abschnitt enthält die Schlussfolgerungen.
Innerhalb dieser Struktur befasst sich der Artikel mit den folgenden Forschungsfragen:
(1) Wie funktioniert die Cyberversicherung derzeit, insbesondere im Hinblick auf die Herausforderung der Versicherbarkeit von Cyberkriegen? (2) Welche Auswirkungen hat die Cyberversicherung auf die Anreize für die Ex-ante-Minderung von Cyberkriegsrisiken und die internationale Cyber-Governance? (3) Wie sollten Regierungen, wenn nötig und als Versicherer der letzten Instanz, das effiziente Funktionieren des Cyberversicherungsmarktes ergänzen und unterstützen?
Versicherbarkeit von Cyberrisiken
Die Voraussetzung für die Diskussion über die Versicherung oder den Ausschluss von Cyberkriegsrisiken ist die Bewertung der Versicherbarkeit von Cyberrisiken, da Versicherungen traditionell und durchweg eine zentrale Rolle bei der Minderung geopolitischer Kriegsrisiken gespielt haben, von Weltkriegen bis hin zur Piraterie vor der Küste Somalias. Die Versicherbarkeit ist nach wie vor ein Dauerthema in der wissenschaftlichen Diskussion über neue Risikokategorien wie Cybersicherheit. Versicherungsökonomen behaupten beispielsweise, dass versicherbare Risiken zwei Voraussetzungen erfüllen müssen: Erstens muss das Risiko identifizierbar sein, und zweitens muss es in Bezug auf die Kosten quantifizierbar sein. Versicherungsrechtler heben drei Komponenten versicherbarer Risiken hervor: Das Risiko muss genau bewertet werden können, die Prämie muss fair sein und der potenzielle Verlust muss beherrschbar sein. Cyberrisiken gelten zweifellos als katastrophale oder sogar systemische Risiken. Anhand einer umfassenden Auswertung der vorhandenen Literatur und einer Untersuchung der Cyberversicherungspraxis stellen wir vier speziell auf Cybersicherheitsrisiken zugeschnittene Benchmarks zur Bewertung der Versicherbarkeit vor und überprüfen diese.
Versicherungsmathematischer Maßstab
Versicherungsmathematische Benchmarks bewerten die Vorhersagbarkeit von Risiken. Im Kern basiert die Versicherung auf einer einfachen mathematischen Formel: Die versicherungsmathematisch begründete Prämie, die der Versicherte mindestens beitragen muss (einschließlich Verwaltungskosten), sollte der Wahrscheinlichkeit (p) des Eintritts eines Ereignisses multipliziert mit dem potenziellen Schaden (D) entsprechen, der bei Eintritt dieses Ereignisses entstehen würde. Darüber hinaus sollten die auf dieser Grundlage eingenommenen kumulierten Prämien theoretisch (zusammen mit den kumulierten Rückstellungen des Versicherers) ausreichen, um etwaige Verluste im Schadensfall auszugleichen. Im Vergleich zu traditionellen Risiken (z. B. Feuer) sind Cybersicherheitsrisiken in hohem Maße unvorhersehbar. Mit der Entwicklung der Netzwerktechnologie und der digitalen Wirtschaft nehmen die Wahrscheinlichkeit und der potenzielle Schaden von Cyberrisiken zu und werden sogar immer schwieriger zu quantifizieren und zu bewerten. Allerdings haben weder das Ausmaß des Risikos noch die Prognosen über potenzielle Schäden den Erfolg des Versicherungsgeschäfts in der Vergangenheit beeinträchtigt. Ein Rückblick auf die Geschichte des Versicherungswesens zeigt zahlreiche Beispiele für die Absicherung katastrophaler Schäden, die von den Versicherern nicht vorhersehbar waren. Zwar mangelt es an neuen Risikostatistiken für Cyberrisiken (auf der Grundlage historischer Schadensmuster), doch bedeutet dies nicht automatisch, dass das Risiko nicht versicherbar ist, sofern der Versicherte eine Risikobewertung anhand von Modellrechnungen durchführen kann. Versicherer können aufgrund fehlender historischer Daten in der frühen Phase der Risikoprüfung Risikobewertungen modellieren oder Risikoprämien erhöhen, um der Unsicherheit im Bereich Cyberrisiken Rechnung zu tragen. Mit Hilfe von InsurTech, Big Data und KI lassen sich Cybersicherheitsrisiken leichter identifizieren und quantifizieren, wodurch unvorhersehbare Risikoprofile reduziert werden.
Solvabilitätsbenchmark
Der Solvabilitätsbenchmark bewertet den potenziellen Verlust für den Fall, dass das Risiko eintritt. Er definiert die notwendigen Ressourcen und Fähigkeiten von Versicherern, um Verluste im Falle eines Cyberangriffs effektiv zu bewältigen und zu mindern. Die größte Herausforderung besteht in der Möglichkeit, dass zahlreiche Schäden gleichzeitig eintreten, beispielsweise durch Krieg oder kriegsähnliche Handlungen, die zu einer kollektiven Anhäufung führen, die die Kapazitäten eines einzelnen Versicherers übersteigen könnte. Um die erheblichen Verluste aus Cyberrisiken zu mindern, könnten Versicherer Bewertungsversicherungen anbieten, die es ihnen ermöglichen, im Falle einer Erschöpfung des Versicherungsfonds Prämien zu erheben. Darüber hinaus könnten Versicherer externe Finanzmittel über Rückversicherungsvereinbarungen oder die Ausgabe von Versicherungsverbriefungen beschaffen und sich so gegen Katastrophenschäden absichern.
Moralischer Maßstab
Der moralische Maßstab untersucht die Zufälligkeit von Risiken. Er prüft, ob der Versicherer das moralische Risiko und die adverse Selektion des Versicherten für kalkulierte Risiken kontrollieren kann. In der Cybersicherheit ist die Verhinderung moralischer Risiken technisch schwierig, da kein Konsens darüber besteht, welche Technologien zur Verhinderung (sich ständig ändernder) Cyberrisiken wirksam sind. Die Versicherung als Governance-Theorie legt jedoch nahe, dass Versicherer sowohl die Anreize als auch die technischen Maßnahmen haben, um eine wirksame Kontrolle über das moralische Risiko des Versicherten zu erreichen. Versicherer können den Versicherten helfen, Cybersicherheitsrisiken zu minimalen Kosten zu vermeiden, indem sie im Voraus Sicherheitsmaßnahmen auferlegen. Noch wichtiger ist, dass Versicherer Risikokontrolle durch Prozessmanagement erreichen können, beispielsweise durch die Beauftragung von Cybersicherheitsorganisationen, die Anleitung und Überwachung des Verhaltens der Versicherten durch marktbasierte Mittel und die Verringerung von Risiken wie Datenlecks, wodurch ein wirksamer Mechanismus zum Schutz vor Cybersicherheitsrisiken und zur Governance geschaffen wird. Versicherungen könnten sogar moralische Chancen schaffen, d. h. „die Möglichkeit, mit anderen zusammenzuarbeiten und ihnen zu helfen“, unterstützt durch „Motivationen wie Nächstenliebe, Mitgefühl, Bürgerverantwortung und Gerechtigkeit“. Durch ihren Einfluss auf die politische Kultur und kollektives politisches Handeln erweitern Versicherungen unser Verständnis davon, was wir als nachteilig und kollektiv verantwortungswürdig betrachten, und generieren so einen gesellschaftlichen Nutzen.
Wirtschaftlicher Maßstab
Der wirtschaftliche Maßstab (über das Angebots-Nachfrage-Modell) misst die Bereitschaft von Versicherern und Versicherten. Auf der Angebotsseite stehen Versicherer bei der Bereitstellung von Cybersicherheitsversicherungsprodukten vor einer Reihe von Herausforderungen, wie z. B. Katastrophenschäden aufgrund systemischer und korrelierter Risiken, fehlende Risiko- und Schadensdaten sowie vor Gericht noch nicht geprüfte Versicherungsbedingungen. Darüber hinaus sind einige eigenständige Cybersicherheitsversicherungsprodukte aufgrund ihrer mangelnden Abhängigkeit von umfassenden Risikomodellen oder risikobasierten Daten anfällig und instabil. Auf der Nachfrageseite resultiert die unzureichende Nachfrage der Versicherungsnehmer aus der kognitiven Verzerrung, dass Cybersicherheitsangriffe „mich nicht betreffen werden“, oder aus der falschen Annahme, dass traditionelle Versicherungen Cyberrisiken von Natur aus abdecken. Darüber hinaus führen die hohen Prämienkosten zu einem erheblichen Ungleichgewicht bei der Risikobewertung für die Versicherten, wodurch das Gleichgewicht zwischen Angebot und Nachfrage gestört wird. Trotz dieser Herausforderungen bleibt die potenzielle Nachfrage nach Cybersicherheitsversicherungen aufgrund der nicht eliminierbaren Natur von Cyberrisiken und der zunehmenden Verwaltungsvorschriften und zivilrechtlichen Haftungen erheblich.
Zusammenfassend lässt sich sagen, dass die Versicherbarkeit kein binäres Konzept ist (d. h. ein Risiko ist entweder versicherbar oder nicht versicherbar), sondern sich weiterentwickelt. Die Grenzen der Versicherbarkeit eines bestimmten Risikos sind nicht fest vorgegeben. So werden beispielsweise traditionell nicht versicherbare Risiken wie Terroranschläge und Naturkatastrophen heute teilweise oder sogar vollständig von Versicherern (mit staatlicher Unterstützung) abgedeckt. Trotz der Einzigartigkeit von Cyberrisiken und der Erkenntnis, dass es Lücken bei der Erfüllung einiger Kriterien geben kann (z. B. könnten Solvabilitätsbenchmarks staatliche Unterstützung erfordern), kann dennoch festgestellt werden, dass sie die Anforderungen an die Versicherbarkeit weitgehend erfüllen. In der Praxis lehnen einige Versicherer jedoch die Deckung von Cybersicherheitsrisiken mit der Begründung ab, dass diese nicht versicherbar seien, und argumentieren, dass die Versicherbarkeit, Verfügbarkeit und Erschwinglichkeit von Cybersicherheitsversicherungen nur mit staatlicher Unterstützung erreicht werden könne. Eine Fallstudie aus den Niederlanden gibt beispielsweise Aufschluss darüber, wie Versicherungsunternehmen ihre Verträge gestalten und Hindernisse für die Versicherbarkeit von Cyberrisiken, wie deren Vernetzung und die Knappheit versicherungsmathematischer Daten in diesem Spezialbereich, überwinden. Eine Untersuchung des deutschen Cyberversicherungsmarktes für kleine und mittlere Unternehmen (KMU) zeigt ebenfalls die Herausforderungen auf, denen Versicherer bei der Bewältigung der erheblichen Anhäufung und Unvorhersehbarkeit dieser Risiken gegenüberstehen. Cyberversicherungsexperten aus verschiedenen Bereichen der Branche sind sich einig, dass das Risiko von Cyberkriegen aufgrund seiner weitreichenden Unberechenbarkeit und Unquantifizierbarkeit derzeit nicht versicherbar ist. Es wird sogar zwischen „normalen“ Cybersicherheitsrisiken, die (unter bestimmten Voraussetzungen) weitgehend versicherbar sind, und „Cyberkriegen“ unterschieden, die nach wie vor als weitgehend unversicherbar gelten. Natürlich ist es oft schwierig, hier eine Grenze zu ziehen. Im folgenden Abschnitt gehen wir auf die rechtlichen Streitigkeiten und die Versicherbarkeit von Schäden durch Cyberkriege ein und erklären, warum sich Versicherer aus diesem Spezialmarkt zurückziehen und Unternehmen und Organisationen den finanziellen Folgen von Cyberkriegsangriffen schutzlos ausgesetzt bleiben.
Rechtsstreitigkeiten über den Ausschluss von Cyberkriegen und die Auslegung von Versicherungsklauseln
In diesem Abschnitt werden die Entwicklung und Auslegung von Kriegsklauseln in Rechtsstreitigkeiten untersucht, damit Versicherer die Kosten, die durch offensive Cyberoperationen entstehen, besser quantifizieren und kontrollieren können. Dies ermöglicht es Versicherern, die Umstände zu beschreiben, unter denen Cyberkrieg oder kriegsähnliche Handlungen nicht versicherbar sind.
Kriegsklausel
Der Zweck einer Kriegsrisikoklausel ist das Risikomanagement, in erster Linie durch den Ausschluss von Risiken, die für Versicherer schwer oder unmöglich genau zu bewerten sind. Eine Standard-Kriegsrisikoklausel definiert einen Kriegshandlung als jede Handlung einer Regierung oder einer souveränen Macht, ihrer Streitkräfte, ihrer Marine oder ihrer Luftwaffe oder eines im Namen dieser Regierung oder Macht handelnden Vertreters. Diese Handlung muss als „feindselig“ oder „kriegerisch“ charakterisiert sein, und die Beteiligung einer staatlichen Stelle oder Vereinigung ist in der Regel Voraussetzung.
Frühere Fälle haben gezeigt, dass Gerichte bei der Auslegung von Ausschlussklauseln im Zusammenhang mit Krieg oft einen konservativen Ansatz verfolgen. Die Philosophie ist relativ einfach: Eine Ausschlussklausel sollte eng ausgelegt werden. Wenn Cyberrisiken daher nicht ausdrücklich ausgeschlossen sind, gehen Gerichte in der Regel davon aus, dass sie im Versicherungsschutz enthalten sind. Mehrere Beispiele veranschaulichen diesen Punkt:
Pan Am. World Airways, Inc. gegen Aetna Cas. & Sur. Co.
Pan Am. World Airways, Inc. gegen Aetna Cas. & Sur. Co. ist in dieser Hinsicht ein prominenter Fall, insbesondere für die Frage, ob eine Handlung als feindselig oder kriegerisch einzustufen ist. Am 6. September 1970 wurde der Pan American Flug 083 von der Volksfront für die Befreiung Palästinas (PFLP) entführt. Das Flugzeug vom Typ Boeing 747 wurde unter der Kontrolle der PFLP nach Ägypten geflogen. Anschließend wurde es nach der Evakuierung der Passagiere vollständig zerstört. Das Gericht bestätigte die Entscheidung des Bezirksgerichts und schloss sich dessen Auslegung der Allgefahrenausschlüsse an. Begriffe wie „militärische … oder usurpierte Macht“, „Krieg“, „Aufstand“ und andere in den beiden Policen umfassten in diesem Fall keine Entführung durch zwei Personen. Die Kontrolle über das Gebiet unterlag der Duldung durch die jordanische Regierung und reichte daher nicht aus, um als militärische oder usurpierte Macht zu gelten. Folglich kam der Kriegsausschluss nicht zur Anwendung. Darüber hinaus gab es keine wesentlichen Anzeichen dafür, dass die PFLP die Absicht hatte, an einem Krieg im Nahen Osten oder einem Aufstand in Jordanien teilzunehmen. Da eine Entführung nicht ausdrücklich ausgeschlossen war und der Grundsatz „contra proferentem” angewendet wurde, bestätigte der Richter letztendlich die Entscheidung des Bezirksgerichts.
Universal Cable Prods., LLC gegen Atlantic Specialty Ins. Co.
Im Jahr 2014 verlegten die Kläger Universal Cable Productions, LLC und Northern Entertainment Productions, LLC nach Raketenangriffen der Hamas aus dem Gazastreifen auf Israel aufgrund der eskalierenden Feindseligkeiten ihre Fernsehproduktionsaktivitäten aus Jerusalem. Diese Verlegung verursachte erhebliche Kosten, sodass die Kläger einen Versicherungsanspruch aus ihrer Fernsehproduktionsversicherung geltend machten. Die Police enthielt jedoch Kriegsklauseln, die ausdrücklich die Deckung von Kosten ausschlossen, die durch „Krieg“, „kriegerische Handlungen einer Streitmacht“ oder „Aufstand, Rebellion [oder] Revolution“ entstanden waren. Der Versicherer, die beklagte Atlantic Specialty Insurance Company, lehnte die Deckung mit der Begründung ab, dass die Police zwar Kosten im Zusammenhang mit Terrorismus decke, jedoch Schäden aufgrund von Feindseligkeiten ausschließe. Die Handlungen der Hamas wurden als Kriegshandlungen angesehen, die unter die ausgeschlossene Kategorie fallen und somit nicht gedeckt sind.
Das Gericht wandte die Regel an, dass „die Beweislast beim Versicherten liegt, der nachweisen muss, dass der Anspruch unter den grundlegenden Versicherungsschutz fällt, und beim Versicherer, der nachweisen muss, dass der Anspruch ausdrücklich ausgeschlossen ist“. Da der Kläger eine Primärversicherung nachweisen konnte, lag die Beweislast beim Versicherer, der nachweisen musste, dass die Handlung zu Recht ausgeschlossen war. Die Kläger wiesen außerdem nach, dass „Krieg“ Feindseligkeiten zwischen de jure und de facto bestehenden Regierungen voraussetzt und die für Gewalt bekannte Organisation weder de jure noch de facto souverän war. Daher konnte der Terrorismus dieser Organisation nicht als „Krieg“ oder „kriegerische Handlung einer Streitmacht“ im Sinne der Ausschlussklauseln definiert werden.
Holiday Inns Inc. gegen Aetna Ins. Co.
In der Rechtssache Holiday Inns Inc. gegen Aetna Ins. Co. reichten die Kläger Holiday Inns, Inc. Klage gegen die Aetna Insurance Company auf Versicherungsleistung ein, da das Hotel der Kläger in Beirut, Libanon, schwer beschädigt worden war. Die Beklagte argumentierte, dass solche Schäden unter die ausgeschlossenen Risiken Aufstand, Bürgerkrieg oder Krieg fielen. Das Gericht entschied, dass die bloße Behauptung, eine „De-facto-Regierung” oder eine „quasi-souveräne Einheit” zu sein, nicht ausreicht, um eine Anerkennung zu erlangen. Es betonte, dass eine Gruppe oder Einheit, um als solche angesehen zu werden, mit ausdrücklicher Zustimmung der rechtmäßigen Regierung eines souveränen Staates das Gebiet innerhalb der Grenzen dieses Staates kontrollieren muss. Selbst wenn die PLO/Palästinenser im Libanon als quasi-souveräne Einheit angesehen würden, gibt es keine Anzeichen dafür, dass sie in Feindseligkeiten mit einer anderen anerkannten staatlichen Einheit verwickelt waren, die zu den Schäden am Holiday Inn geführt oder dazu beigetragen haben. Das Gericht folgte Pan Am. World Airways, Inc. bei der konservativeren Auslegung des Kriegsausschlusses. Infolgedessen fand der Kriegsausschluss keine Anwendung.
Kriegsklausel im Bereich Cyberrisiken
Mondelēz International, Inc., Kläger, gegen Zurich American Insurance Company
Mondelēz International, Inc. produziert und vertreibt Snacks und Getränke und zählt zu den größten Snackherstellern der Welt. Mondelēz schloss bei Zurich eine Sachversicherung ab, die „alle Risiken des physischen Verlusts oder der Beschädigung” des Eigentums abdeckte, einschließlich „physischer Verluste oder Beschädigungen von elektronischen Daten, Programmen oder Software, einschließlich physischer Verluste oder Beschädigungen, die durch die böswillige Einführung eines Maschinencodes oder einer Maschinenanweisung verursacht wurden…”. Im Jahr 2017 erlitt Mondelēz einen Schaden durch die Malware NotPetya. Zurich lehnte den Anspruch ab, da der Schaden durch eine „feindselige oder kriegerische Handlung in Friedens- oder Kriegszeiten“ verursacht worden sei. Letztendlich einigte sich Zurich 2022 mit Mondelez. Auch wenn die Einigung Fragen zur Zuordnung cyberkriegsähnlicher Handlungen offen ließ, deutete sie wahrscheinlich darauf hin, dass das Gericht begann, zugunsten von Mondelez zu entscheiden. Daher hatte Zurich einen Anreiz, die Angelegenheit zu einem Abschluss zu bringen, solange noch Verhandlungsspielraum bestand.
Merck & Co., Inc. gegen ACE Am. Ins. Co. et al.
Im Jahr 2017 wurden die Computersysteme von Merck mit der Malware NotPetya infiziert. Dabei wurden 40.000 Computer beschädigt und Verluste in Höhe von 1,4 Milliarden US-Dollar verursacht. Merck hatte bei ACE eine All-Risk-Versicherung abgeschlossen, die Verluste oder Schäden durch die Zerstörung oder Beschädigung von Computerdaten und Software abdeckte. ACE lehnte jedoch die Deckung mit der Begründung ab, dass die Malware NotPetya auf Feindseligkeiten der Russischen Föderation gegenüber der Ukraine zurückzuführen sei. Aufgrund der Kriegsklausel in der Police wurden solche Schäden daher als nicht versichert angesehen. Merck machte geltend, dass diese Ausschlussklausel nur für herkömmliche Formen der Kriegsführung gelte, nicht jedoch für Malware-Angriffe. Das Gericht prüfte die gewöhnliche Bedeutung der Ausschlussklauseln und stellte fest, dass „kriegsähnlich” nur als „ähnlich wie Krieg” und „im Zusammenhang mit oder charakteristisch für einen Feind; im Zusammenhang mit oder beteiligt an tatsächlichen Feindseligkeiten” interpretiert werden könne. Obwohl ACE die Möglichkeit hatte, Cyberangriffe ausdrücklich und klarer auszuschließen und Merck darauf hinzuweisen, hat das Unternehmen keine entsprechenden Maßnahmen ergriffen. Angesichts der Tatsache, dass ACE den Wortlaut der Police nicht geändert hat, ist es für Merck vernünftig anzunehmen, dass der Ausschluss ausschließlich für traditionelle Formen der Kriegsführung gilt. Daher entschied das Superior Court of New Jersey, dass die Ausschlüsse in diesem Fall nur für traditionelle Formen der Kriegsführung gelten. Im Jahr 2023 stellte das Berufungsgericht des Superior Court of New Jersey fest, dass nicht nur der klare Wortlaut der Ausschlussklausel diese Schlussfolgerung stützt, sondern auch eine Analyse des Kontexts und der Vorgeschichte zu demselben Ergebnis führt. Das Gericht bestätigte die vorherige Entscheidung. Im Jahr 2024 einigten sich Merck und ACE auf einen vertraulichen Vergleich und umgingen damit „eine Überprüfung ihres massiven Rechtsstreits um Cyberangriffsversicherungen durch den Obersten Gerichtshof von New Jersey am Vorabend einer mündlichen Verhandlung, die einen nationalen Präzedenzfall mit Auswirkungen auf den boomenden Cyberversicherungsmarkt hätte schaffen können“.
Marktreaktion: Modellklauseln der Lloyd’s Market Association (LMA) zum Ausschluss von Cyberkriegen
Als Reaktion auf die eskalierenden und dennoch unvorhersehbaren Cyberrisiken haben die Londoner Versicherer ihre Musterkriegsausschlussklauseln überarbeitet, um Klarheit zu schaffen und den Versicherungsschutz möglicherweise einzuschränken. Diese Maßnahme zielt darauf ab, erhebliche Risiken und systemische Gefahren zu kontrollieren. Seit 2020 schreibt Lloyd’s of London vor, dass alle Policen ausdrücklich angeben müssen, ob sie Cyberrisiken abdecken oder nicht. Sofern nicht von Lloyd’s genehmigt, mussten Policen eine geeignete Klausel enthalten, die die Haftung für Schäden durch staatlich unterstützte Cyberangriffe mit Wirkung zum 31. März 2023 ausschließt. Diese Klausel ergänzt alle bestehenden Kriegsausschlussklauseln und muss mindestens folgende Bestimmungen enthalten:
- Ausschluss von Schäden, die aus einem Krieg (ob erklärt oder nicht) entstehen, sofern die Police keine separate Kriegsklausel enthält.
- (Vorbehaltlich 3) Ausschluss von Verlusten, die durch staatlich unterstützte Cyberangriffe entstehen, die (a) die Funktionsfähigkeit eines Staates erheblich beeinträchtigen oder (b) die Sicherheitsfähigkeiten eines Staates erheblich beeinträchtigen.
- Stellen Sie klar, ob der Versicherungsschutz Computersysteme ausschließt, die sich außerhalb eines Staates befinden, der in der in 2(a) und (b) oben beschriebenen Weise von einem staatlich unterstützten Cyberangriff betroffen ist.
- Legen Sie eine solide Grundlage fest, auf der die Parteien vereinbaren, wie ein staatlich geförderter Cyberangriff einem oder mehreren Staaten zugeordnet wird.
- Stellen Sie sicher, dass alle wichtigen Begriffe klar definiert sind.
Seit Januar 2023 stellt die LMA außerdem zwei Sätze mit jeweils vier Musterklauseln zur Verfügung, nämlich LMA5564-LMA5567 A und B. Im Allgemeinen weisen die Musterklauseln der LMA ähnliche Strukturen hinsichtlich des Versicherungsschutzes auf, insbesondere in Bezug auf Ereignisse wie Krieg, Cyberoperationen und Cyberkrieg. LMA5564 schließt die drei oben genannten Faktoren aus. Zusätzlich zum Ausschluss von Krieg schließt LMA5565 „Cyberoperationen, die im Rahmen eines Krieges oder der unmittelbaren Vorbereitung eines Krieges durchgeführt werden“ und/oder „Cyberoperationen, die dazu führen, dass ein Staat zu einem betroffenen Staat wird“ aus. LMA5566 enthält ähnliche Ausschlüsse, bietet jedoch vollständigen Versicherungsschutz für andere Cyberoperationen. Schließlich enthält LMA5567 ebenfalls ähnliche Ausschlüsse, wobei der Ausschluss in Bezug auf Cyberoperationen nicht für „die direkten oder indirekten Auswirkungen einer Cyberoperation auf ein Computersystem gilt, das vom Versicherten oder seinen Drittdienstleistern genutzt wird und sich nicht physisch in einem betroffenen Staat befindet, aber von einer Cyberoperation betroffen ist”. Darüber hinaus sind alle Klauseln der Version A mit denen der Version B identisch, mit Ausnahme der Zuschreibung. Die A-Version enthält die Zuordnung einer Cyberhandlung zu einem Staat, die B-Version hingegen nicht. Diese Klauseln werfen jedoch gewisse Bedenken auf, beispielsweise hinsichtlich der Bestimmung einer „objektiv vernünftigen Schlussfolgerung“, der Zuordnung und möglicher Konflikte zwischen verschiedenen Stellen. Es sind weitere Beobachtungen erforderlich, um zu verstehen, wie Versicherer solche Klauseln anwenden werden.
Dieser kurze Überblick zeigt, dass Gerichte traditionell dazu neigten, Cyberrisiken in den Versicherungsschutz einzubeziehen, sofern sie nicht ausdrücklich in einer Kriegsklausel ausgeschlossen waren. Der Markt reagierte mit einer expliziteren Ausschließung von Cyberangriffen in den Policen. Das Problem bei diesem Ansatz ist, dass Versicherungen umso unattraktiver werden, je mehr Risiken ausgeschlossen werden. Es gibt jedoch noch einen weiteren Nachteil: (Cyber-)Versicherungen haben nicht nur den Vorteil, dass sie durch Risikostreuung Risiken von risikoscheuen Personen übernehmen, sondern die Versicherer üben auch eine Form der privaten Governance aus, um das Moral-Hazard-Risiko zu kontrollieren und damit auch die Cybersicherheitsrisiken zu verringern.
Der Aufstieg und Fall der privaten Governance und die Rolle der Versicherung
In diesem Beitrag wird weiter untersucht, wie Versicherungsunternehmen und Regierungen zusammenarbeiten, um die genannten Schwächen des Cyberversicherungsmarktes auszugleichen. Durch die Einführung der Theorie der Versicherung als Governance und die Untersuchung ihrer Anwendung im Bereich der Cyberversicherung kommen wir zu dem Schluss, dass zwar ein Governance-Effekt bei der Steuerung von Cyberrisiken besteht, dieser jedoch begrenzt ist. Mit staatlicher Unterstützung kann diese Funktion jedoch verbessert werden, was letztlich dem Markt zugutekommt.
Der Aufstieg der Versicherung als Governance
In den letzten Jahrzehnten hat das Konzept der „Versicherung als Governance“ oder „Regulierung durch Versicherungen“ an Bedeutung gewonnen und eine lebhafte Debatte ausgelöst. Diese Theorie geht davon aus, dass Versicherungen als eine Form der privaten Regulierung dienen und die Funktion der Schadensverhütung verbessern. Befürworter wenden diese Theorie auf eine Vielzahl von Themen an, darunter Haftpflichtversicherungen, Unternehmensführung, Cyberangriffe, polizeiliches Fehlverhalten, Waffengewalt, Umweltverschmutzung und künstliche Intelligenz. Der Theorie zufolge nutzen Versicherer ihr Fachwissen, um in das Verhalten der Versicherten einzugreifen, mit dem Ziel, deren Qualität und Governance zu verbessern und letztlich solche Risiken versicherbarer zu machen. Darüber hinaus stellen Befürworter häufig fest, dass der Staat in vielen Fällen in bestimmte Bereiche eingreift, um die Versicherungs-Governance zu unterstützen. Dazu können die Regulierung risikoreicher Aktivitäten, öffentliche Investitionen in die Risikominderung und die Einführung von Mitversicherungsmodellen gehören.
Die Grenzen der Versicherung als Governance
Kritiker argumentieren jedoch, dass man das Potenzial von Versicherungen als Governance-Instrument nicht überbewerten sollte. Sie behaupten, dass die tatsächliche Fähigkeit von Versicherungen, als Regulierungsinstrument zu fungieren, begrenzt sein könnte und dass ihre Wirksamkeit bei der signifikanten Veränderung von Verhalten oder der Verringerung von Risiken begrenzt ist. Versicherer greifen selten ein oder sind wirklich in der Lage, das Verhalten der Versicherten zu ändern. Die Theorie der Versicherung als Governance vergleicht die Governance-Wirkung privater Versicherer mit der öffentlichen Governance. Dieser Vergleich hinkt jedoch, insbesondere im Hinblick auf die Bekämpfung von Moral Hazard und die Durchsetzung verbindlicher Regeln, wie sie von Regierungen durchgesetzt werden. Da Erfahrungswerte und andere Mechanismen zur Schadensverhütung Ähnlichkeiten mit „Pigouvianischen Steuern“ aufweisen, die als Alternative zur traditionellen Regulierung gedacht sind, erscheint es unangemessen, sie als „Regulierung“ zu bezeichnen. Auch wenn die soziale Verantwortung in den letzten Jahrzehnten an Bedeutung gewonnen hat, „regulieren“ Versicherer in erster Linie, um ihre eigene Haftung zu reduzieren, und nicht, um dem öffentlichen Interesse zu dienen. Die Interessen der Versicherer weichen oft von den Interessen der Gesellschaft ab.
Auch das Ausmaß der regulatorischen Auswirkungen ist fraglich. Die Fähigkeit der Versicherer, als private Risikoregulierer zu agieren, hängt stark vom institutionellen Kontext und der Art der öffentlichen Regulierung ab. Diese private Regulierung nimmt nicht linear mit dem Risiko auf. Mit anderen Worten: Eine Zunahme der Risikogröße führt nicht zu einer proportionalen Zunahme der Regulierung durch die Versicherer. Wenn die Risiken der Versicherten erheblich zunehmen, eskaliert die private Regulierung durch die Versicherer nicht entsprechend, da dies den finanziellen Interessen der Versicherer zuwiderläuft.
Abraham und Schwarcz analysierten sowohl konventionelle als auch unkonventionelle Methoden der Schadensverhütung und stellten fest, dass deren Governance-Effekte begrenzt sind. In Bezug auf konventionelle Methoden untersuchen sie die Auswirkungen von risikobasierter Preisgestaltung, Teilversicherungen, Deckungsbeschränkungen, Ausschlüssen und nachträglichem Schadensmanagement. Obwohl die risikobasierte Preisgestaltung relevante Preisfaktoren identifizieren kann, werden damit selten kritische Faktoren ermittelt, die die Governance der Versicherten verbessern würden. In der Praxis können Versicherer wichtige Ratingfaktoren geheim halten, was die Möglichkeit einer Risikominderung untergräbt. Versicherte verfügen in der Regel nicht über ausreichende Kapazitäten, um ihr Verhalten effektiv an Risikofaktoren anzupassen. Hinzu kommt, dass die Kosten für Vorsichtsmaßnahmen sicher und unmittelbar sind, während die Vorteile von Prämieneinsparungen prospektiv und ungewiss sind. All diese Faktoren führen dazu, dass Versicherte nur einen geringen Anreiz haben, ihr Verhalten zu ändern.
Unkonventionelle Methoden zur Schadensverhütung beziehen sich auf Strategien, die über die traditionellen Versicherungsprozesse hinausgehen, um Risiken zu mindern. Zwar bieten Versicherer manchmal Beratung, Einflussnahme und Schulungen an, um Versicherten bei der Schadensverhütung zu helfen, doch Abraham und Schwarcz argumentieren erneut, dass solche Initiativen nicht weit verbreitet sind. Darüber hinaus kann die Erteilung spezifischer Anweisungen im Gegensatz zu allgemeinen Ratschlägen Versicherer einem höheren Haftungsrisiko aussetzen. Diese Faktoren tragen dazu bei, dass unkonventionelle Maßnahmen zur Schadensverhütung in der Versicherungsbranche nur begrenzt eingesetzt werden und nur eine begrenzte Wirksamkeit entfalten.
Zusammenfassung
Die Entwicklung der Theorie der Versicherung als Governance umfasst sowohl positive als auch negative Perspektiven, die jeweils mit Einschränkungen verbunden sind. Selbst befürwortende Studien erkennen an, dass Versicherer die Versicherten nicht ohne Berücksichtigung ihrer eigenen Interessen überwachen und dass nicht davon ausgegangen werden kann, dass diese Interessen immer mit dem Gemeinwohl übereinstimmen. Kritiker der Theorie argumentieren oft, dass ihre optimistische Sichtweise auf die Governance-Funktion von Versicherungen übertrieben ist, leugnen jedoch selten deren Existenz. Dies deutet darauf hin, dass positive Argumente die Kritikpunkte bis zu einem gewissen Grad ergänzen und mit ihnen koexistieren können.
Aus den obigen Analysen geht hervor, dass zwischen den genannten Theorien kein vollständiger Widerspruch besteht. Keine von ihnen liefert überzeugende Beweise für oder gegen die Hypothese, dass Versicherer private Governance im Zusammenhang mit Cyberversicherungen betreiben würden. Das Grundproblem der „ ” besteht darin, dass Cyberrisiken so neu sind, dass Versicherern oft die relevanten Erfahrungen und Informationen fehlen, um Cyberrisiken angemessen zu bewerten und wirksame Präventionsmaßnahmen zu verschreiben. Es ist daher nicht verwunderlich, dass einige argumentiert haben, dass für die Cybersicherheit Risikoteilungsverträge zwischen Betreibern besser geeignet sein könnten als Versicherungen, da Betreiber in einigen Fällen über bessere Informationen verfügen könnten, um eine wirksame gegenseitige Überwachung zu ermöglichen als Versicherer.
Versicherung von Cyberrisiken und ihre Governance-Effekte
Wir wenden uns nun der Frage zu, ob und wie Versicherungen als Governance-Instrument im Bereich der Cyberkriegsrisiken eingesetzt werden können und welche Auswirkungen dies auf die Anreize zur Ex-ante-Minderung von Cyberkriegsrisiken hat. Wir diskutieren auch eine wichtige Schwierigkeit: die Frage, ob Cyberangriffe einem Staat zugeordnet werden können und somit als kriegsähnliche Handlung angesehen werden können.
Versicherung von Cyberrisiken
Derzeit gibt es keine allgemeingültige Definition von Cyberrisiken. Der Begriff „Cyberrisikoversicherung” bezieht sich allgemein auf ähnliche Begriffe wie „Cybersicherheitsversicherung”, „Cyberhaftpflichtversicherung” und „Cyberverlustversicherung” oder deckt diese ab. Im Allgemeinen bietet eine Cyberversicherung sowohl Deckung für Schäden des Versicherungsnehmers als auch für Haftpflichtansprüche Dritter. Zu den durch eine Cyberversicherung für den Versicherungsnehmer gedeckten Schäden zählen Schäden an immateriellen Vermögenswerten des Versicherungsnehmers, Wiederherstellungskosten, Betriebsunterbrechungskosten, Vermögensverluste und Aufwendungen, die durch Distributed-Denial-of-Service-Angriffe (DDOS), Diebstahl von Eigentum und Cyber-Erpressung entstehen, sowie sonstige Aufwendungen. Die Cyberversicherung für Dritte deckt hingegen Haftungsrisiken und Verteidigungskosten.
In der aktuellen Literatur werden unterschiedliche Meinungen zum Governance-Effekt von Cyberversicherungen vertreten. Einige Studien kommen zu dem Schluss, dass Cyberversicherer einen umfassenden regulatorischen Effekt auf den Markt haben und sowohl das Verhalten der Versicherten als auch das allgemeine Marktumfeld verbessern. Dies liegt daran, dass „Versicherer über einzigartige Fähigkeiten und Anreize verfügen, um Unternehmen über ihre gesetzlichen Verpflichtungen zu informieren, Best Practices zu entwickeln, Unternehmen hinsichtlich dieser Praktiken zu überprüfen und zu schulen sowie sich für Verbesserungen des allgemeinen Zustands des Cybersicherheits-Ökosystems einzusetzen“. Cyberversicherer können die Auswirkungen auf die Opfer mildern und die Mechanismen ihrer Kunden zur Schadensverhütung verbessern. Sie können von den Versicherten verlangen, dass sie vor Abschluss einer Police grundlegende Sicherheitsmaßnahmen umsetzen, und regelmäßige Überprüfungen und Präventivmaßnahmen durchführen. Darüber hinaus bieten sie professionelle Hilfe für Opfer nach Eintritt eines Schadens. Somit bieten Versicherer nicht nur Versicherungen an, sondern auch Risikomanagement-Dienstleistungen, die darauf abzielen, das Cybersicherheitsrisiko der Versicherten zu verbessern und ihre Risiken zu verringern. Versicherer verfügen über erhebliche Macht, um für ihre Produkte und Dienstleistungen zu werben, während die Gegenseite – in der Regel Verbraucher mit weniger Macht und weniger Zusammenhalt – nur über begrenzte Möglichkeiten verfügt, sich zu wehren. Folglich spielen Cyberversicherer eine regulierende Rolle gegenüber ihren Versicherungsnehmern. Im Gegensatz zu D&O-Versicherungen (Directors and Officers), die in der Regel wenig zur Schadensverhütung und -überwachung beitragen, bieten Cyberversicherer laut empirischen Untersuchungen zum Governance-Effekt verschiedener Versicherungsarten umfangreiche Risikomanagementdienstleistungen an und beeinflussen aktiv den Umgang der Versicherten mit Daten und Cybersicherheit. Insbesondere Ransomware-Versicherungen bieten sowohl vor als auch nach einem Cyberangriff erhebliche Unterstützung.
Einige Forscher sind jedoch der Ansicht, dass die Rolle der Versicherer bei der Governance und Schadensverhütung begrenzt ist und bestimmten Bedingungen unterliegt. So argumentiert Vicevich, dass Cyberrisiken zwar am besten durch Versicherungen abgedeckt werden können, der private Versicherungsmarkt allein jedoch nicht in der Lage ist, Cyberrisiken umfassend zu managen. Baker und Shortland stellen fest, dass Versicherer nur selektiv Sicherheits- und Überwachungsmaßnahmen ergreifen, anstatt diese konsequent in allen Policen anzuwenden. Abraham und Schwarcz argumentieren außerdem, dass Versicherer Risiken durch das Underwriting begrenzen können, was sie davon abhalten könnte, von standardisierten Sicherheitsstandards zu profitieren oder sich für diese einzusetzen. Infolgedessen haben Cyber-Versicherer wenig unternommen, um öffentliche Maßnahmen oder branchenübergreifende Sicherheitsstandards zu fördern. Darüber hinaus deckt sich ihre Kritik an Deckungsbeschränkungen und Ausschlüssen in herkömmlichen Versicherungsmethoden mit früheren Analysen zu Cyber-Versicherungen und Kriegsschlussklauseln. Der Versicherungsmarkt, einschließlich der LMA, hat potenzielle Kriegsrisiken schnell und eindeutig aus Cyber-Versicherungspolicen ausgeschlossen. Diese Reaktion dient in erster Linie dazu, Versicherer vor Kriegsrisiken zu schützen, ermutigt die Versicherten jedoch nicht, kriegsbedingte Verluste effektiv zu bewältigen. Hurwitz untersucht die Grenzen der Cyber-Versicherungsregulierung umfassender. Obwohl sich die Cyber-Versicherung weiterentwickelt, sind ihre Tiefe und Breite noch verbesserungswürdig. Darüber hinaus sind viele Deckungen und Ausschlüsse mehrdeutig und umstritten. Versicherer neigen dazu, Ausschlüsse weit auszulegen, was Cyberversicherungen unattraktiv macht und ihre regulierende Wirkung mindert. Cyberrisiken verursachen oft erhebliche und umfassende Schäden, die für Versicherer schwer genau vorherzusagen und zu berechnen sind. Darüber hinaus sind Cyberrisiken in der Regel komplex und miteinander verflochten. Viele Versicherte mit ähnlichen Schwachstellen können von ähnlichen Risiken schwer betroffen sein. Diese Eigenschaft widerspricht dem allgemeinen Versicherungsgrundsatz, dass „Risiken nicht korrelieren können – die Tatsache, dass eine Versicherungsnehmerin einen Schaden erleidet, bedeutet nicht, dass andere mit höherer Wahrscheinlichkeit denselben Schaden erleiden werden”. Daher sind Versicherer bei der Zeichnung breiter Policen vorsichtig, was die regulierende Funktion von Cyberversicherungen weiter einschränkt.
Cyberrisiken geben zunehmend Anlass zur Sorge, und die Fragen im Zusammenhang mit Ansprüchen aufgrund von Kriegs- oder kriegsähnlichen Ausschlüssen entwickeln sich weiter. Durch die Einführung spezifischerer und umfassenderer Ausschlüsse könnten Versicherer Kriegsrisiken möglicherweise wirksamer vermeiden. Dies kann jedoch auch generell die Nützlichkeit von Versicherungen als Instrument zur Risikostreuung mindern und es für die Branche und die Verbraucher schwieriger machen, Cyber- und Kriegsrisiken durch Cyberversicherungen zu managen. Versicherten fehlt es in der Regel an der Fähigkeit, solche Risiken effektiv zu managen. Obwohl Versicherte möglicherweise erkennen, dass Versicherer Kriegsrisiken fürchten und diese daher ausschließen möchten, führt dieses Bewusstsein nicht zwangsläufig zu einem besseren Wissen oder einer besseren Fähigkeit, solche Schäden zu bewältigen. Versicherer betreiben selten ein sorgfältiges Schadenmanagement nach einem Vorfall oder gehen moralischen Risiken nach einem Vorfall nach. Stattdessen verlagern Versicherer die Schäden oft einfach auf die Versicherten, anstatt sie zu reduzieren. Trotz dieser Kritik bieten Versicherer im Bereich der Cyberversicherung möglicherweise immer noch umfangreichere Dienstleistungen für Versicherte nach einem Vorfall als andere Versicherungsarten, beispielsweise die Wiederherstellung von Daten.
Versicherung als Governance bei der Gestaltung internationaler Normen für Cyberkrieg und -sicherheit
Sozialrechtler haben immer wieder argumentiert, dass private Governance in der Regel auf der Grundlage sozialer Normen funktioniert und soziale Effizienz widerspiegelt, da sie flexibel, spontan, leicht durchzusetzen und kostengünstig ist. Die Rolle der Versicherung bei der Gestaltung globaler Normen für Cybersicherheit und Cyberkriege wird zunehmend untersucht: „Versicherer […] drängen durch ihre eigenen Bemühungen, inakzeptable staatliche Cyberaktivitäten zu definieren, die von Regierungen geleiteten multilateralen Bemühungen in Richtung Normen, die sich stärker auf finanzielle Kosten und miteinander verbundene Verluste konzentrieren.“
Definition von Cyberkrieg und Regulierung durch Versicherungsbedingungen
Cyberversicherer stehen bei der Handhabung von Klauseln, die Krieg ausschließen, vor Herausforderungen, insbesondere bei der Definition dessen, was unter „Krieg“ und „kriegsähnlichen Aktivitäten“ zu verstehen ist. Wie oben erläutert, schloss eine umfassende Sachversicherungspolice der Zurich American Insurance Co. den Cyberangriff NotPetya auf der Grundlage der folgenden Kriegsklausel aus: „Ausschluss B.2(a): Diese Police schließt Verluste oder Schäden aus, die direkt oder indirekt durch eine der folgenden Ursachen verursacht werden oder daraus resultieren, unabhängig von anderen Ursachen oder Ereignissen, unabhängig davon, ob sie durch diese Police versichert sind oder nicht, und unabhängig davon, ob sie gleichzeitig oder in einer anderen Reihenfolge zum Verlust beitragen: … 2) a) feindselige oder kriegerische Handlungen in Friedens- oder Kriegszeiten, einschließlich Handlungen zur Verhinderung, Bekämpfung oder Abwehr eines tatsächlichen, drohenden oder erwarteten Angriffs durch: (i) eine Regierung oder souveräne Macht (de jure oder de facto); (ii) Streitkräfte, Marine oder Luftwaffe; oder (iii) einen Vertreter oder eine Behörde einer der unter i oder ii genannten Parteien.“ Der Versicherer einigte sich jedoch schließlich mit dem Versicherten, was darauf hindeutet, dass das Gericht zugunsten des Versicherten entschieden hat. Studien heben auch das Problem der vagen Definitionen von Cyberkrieg hervor, die zu Deckungslücken führen. Das Fehlen eines allgemein anerkannten Verständnisses der in der Kriegsklausel verankerten Definitionen führt zu unterschiedlichen Auslegungen und Streitigkeiten in verschiedenen Rechtsordnungen. Die Diskrepanz im internationalen Konsens zwischen den in der Kriegsklausel festgelegten genauen Verhaltensparametern oder Kriterien, die ein Cyberereignis als Terrorakt, Gewaltanwendung oder bewaffneten Konflikt unterscheiden, verschärft diese Bedenken. So gibt es beispielsweise eine klare Unterscheidung zwischen den Definitionen im Völkerrecht über bewaffnete Konflikte und im humanitären Völkerrecht. Das Recht der bewaffneten Konflikte konzentriert sich darauf, wann ein Staat rechtmäßig Gewalt gegen einen anderen Staat anwenden darf, d. h. auf das Recht, Krieg zu erklären und zu führen (jus ad bellum); das humanitäre Völkerrecht hingegen konzentriert sich auf die Regeln, die das Verhalten von Kombattanten während eines Krieges regeln, d. h. auf die Gerechtigkeit in Kriegszeiten (jus in bello). Im humanitären Völkerrecht ist die Schwelle für die „Anwendung von Gewalt” nicht dieselbe wie für einen bewaffneten Angriff. Im Fall Nicaragua erkannte der Internationale Gerichtshof bestimmte „schwerwiegende” Handlungen als bewaffnete Angriffe und andere „weniger schwerwiegende” Handlungen als Anwendung von Gewalt an. Allerdings teilen nicht alle Staaten diese Auffassung. Das US-Recht beispielsweise sieht keine wesentliche Grenze zwischen der Anwendung von Gewalt und einem bewaffneten Angriff.
Es ist durchaus üblich, dass Versicherungsbedingungen nach erheblichen Rechtsstreitigkeiten über Ansprüche, die aufgrund von kriegsbedingten Vorfällen abgelehnt wurden, überarbeitet werden. Im Vergleich zu umfassenden Sachversicherungen enthielt die eigenständige Cyber-Versicherungspolice von Zurich eine Ausschlussklausel für „Krieg oder innere Unruhen“ für Kosten, die durch „(1) Krieg, einschließlich nicht erklärter oder Bürgerkriege; (2) kriegerische Handlungen einer Streitmacht, einschließlich Handlungen zur Verhinderung oder Abwehr eines tatsächlichen oder erwarteten Angriffs durch eine Regierung, einen Souverän oder eine andere Behörde unter Einsatz von Militärpersonal oder anderen Beauftragten; oder (3) Aufstand, Rebellion, Revolution, Aufruhr, Machtübernahme oder Maßnahmen einer Regierungsbehörde zur Verhinderung oder Abwehr einer der vorgenannten Handlungen”. Die Züricher Police stellte ausdrücklich fest, dass der Ausschluss „Krieg oder innere Unruhen“ nicht für Cyberterrorismus gilt. Bei einer Untersuchung von 56 Cyberversicherungen kamen Woods und Weinkle zu dem Schluss, dass die zunehmende Tendenz, Cyberterrorismus ausdrücklich in den Versicherungsschutz aufzunehmen, die Wirksamkeit von Kriegsschlussklauseln in diesen Policen mindert. Die vagen Formulierungen dieser Definitionen ließen jedoch Unsicherheit hinsichtlich der Einstufung von Vorfällen wie dem NotPetya-Angriff bestehen. Bateman schlug außerdem vor, Ausschlussklauseln zu aktualisieren, um die Probleme, die sich aus Cyberkriegen und Cybervorfällen durch staatliche Akteure ergeben, wirksamer anzugehen.
Die Frage der Ausschlussklauseln für Cyberkriege zeigt sowohl die Entwicklung als auch die Grenzen von Versicherungsmechanismen auf. Trotz unterschiedlicher Interpretationen dessen, was eine Cyberkriegsoperation ausmacht, könnte das analoge Kriterium der „Ausmaß und Folgen“ als Maßstab dienen, um zu beurteilen, ob ein Cyberangriff die Ausschlussklausel für Krieg in Cybersicherheitsversicherungen auslöst. Im Wesentlichen gilt: Wenn das Ausmaß und die Folgen einer Cyberoperation mit einer nicht-cyberbasierten Operation unter Einsatz von Gewalt oder einem bewaffneten Angriff vergleichbar sind, handelt es sich um eine feindselige Handlung oder ein Kriegsereignis. Dieser strenge Maßstab lässt vermuten, dass die meisten Cyberoperationen nicht das Niveau der Anwendung von Gewalt erreichen, geschweige denn die Schwelle eines bewaffneten Angriffs überschreiten.
Private Regulierung von Cyberversicherungen jenseits von Normen.
Die Sorge um das Ausmaß und die Auswirkungen von Cyberangriffen sowie das Versagen globaler Plattformen und multilateraler Governance-Initiativen bei der Festlegung internationaler Cybersicherheitsstandards haben Versicherungsunternehmen dazu veranlasst, eigene informelle Normen zu schaffen. Versicherer legen derzeit bestimmte Kategorien staatlich unterstützter Cyberaktivitäten fest, die sie aus ihren eigenständigen Cyberversicherungen oder anderen Versicherungsformen ausschließen werden. Obwohl es noch zu früh ist, um den genauen Einfluss dieser von Versicherern ausgearbeiteten Normen auf die Formulierung globaler Cyberstandards durch nationale Regierungen vorherzusagen, reagieren einige Regierungen bereits auf die Ausschlüsse staatlich unterstützter Angriffe, indem sie versuchen, staatliche Garantien zu definieren und sich für einheitliche Versicherungsbedingungen und Ausschlüsse in der gesamten Branche einsetzen. So hat beispielsweise die US-Regierung im Juni 2022 in einer gemeinsamen Bewertung „das Ausmaß, in dem Risiken für kritische Infrastrukturen durch katastrophale Cybervorfälle und potenzielle finanzielle Risiken eine Reaktion der Bundesversicherung rechtfertigen“, festgelegt.
Diese Normen sind zwar ein wichtiger Vorteil, stellen aber aufgrund ihrer weitreichenden Auslegung und Inflexibilität auch die größte Schwachstelle privater Systeme dar. In der Praxis haben Versicherer Schwierigkeiten, wirksame Gegenmaßnahmen und Sicherheitsvorkehrungen zu ermitteln, und sie stoßen auch auf Schwierigkeiten bei der Anwendung der aktuellen Kriegsklauseln, um sich von der Deckung von Cyberangriffen durch staatliche Akteure zu befreien. Im Gegensatz zu Normen zeichnet sich eine regelbasierte Ordnung durch ihre Eindeutigkeit aus. Damit Versicherungen einen umfassenden Beitrag zur Governance leisten können, muss eine rechtliche Struktur geschaffen werden, die sie unterstützt. Rechtliche Vorschriften bilden die Grundlage für Versicherungsmärkte, da die Wirksamkeit privater Governance durch Regeln eingeschränkt ist und ihre Wurzeln im Recht hat.
Um weit verbreitete Deckungsstreitigkeiten beizulegen, werden Sonderregelungen vorgeschlagen, die auf die vorherrschenden Meinungsverschiedenheiten eingehen: (a) Stärkung der Governance-Funktion, um Unklarheiten zu minimieren und die Sicherheit zu erhöhen, (b) Einführung eines Verbraucherschutzansatzes, der den dominierenden Einfluss der Versicherungsunternehmen bei der Festlegung der Deckungsbedingungen anerkennt, und (c) Anerkennung der entscheidenden Rolle der Versicherung als gesellschaftlicher Mechanismus für finanziellen Schutz und Entschädigung. Im Falle von Cyberrisiken könnten diese Regeln (1) die Auslegungsregeln für Versicherungsverträge überdenken, um zu vermeiden, dass Versicherer Verluste verlagern, anstatt sie zu reduzieren, z. B. angemessene Erwartungen der Versicherungsnehmer hinsichtlich der Deckung von Verlusten im Zusammenhang mit Cyberkriegen; Unklarheiten bei der Sachversicherung für Verluste im Zusammenhang mit Cyberkriegen; vertragliche Manipulationen und die Umgehung des Einwands gegen risikomindernde Technologien; (2) Richtlinien enthalten, die die finanziellen Anreize detailliert beschreiben, die Versicherungsunternehmen Versicherungsnehmern bieten, die Strategien zur Risikominderung umsetzen; und (3) die Bereitstellung von Risikomanagementinformationen durch Versicherer an ihre Versicherungsnehmer fördern und damit ein erhöhtes Risikobewusstsein als wichtige Voraussetzung für Maßnahmen zur Risikominderung schaffen.
Staatlich unterstützte Cyberangriffe und die Frage der Zurechenbarkeit
Die Zuordnung ist eine große Herausforderung und für die Anwendung von Kriegsklauseln in Cyberversicherungen von entscheidender Bedeutung. Die Feststellung, dass ein Verhalten dem Staat zuzurechnen ist, bedeutet letztlich die Feststellung der Angemessenheit des Verantwortungsgegenstands. Wenn Versicherer sich dafür entscheiden, die Aufgabe der Identifizierung staatlich unterstützter Cyberangriffe zu übernehmen, um die Ausschluss von solchen Vorfällen aus dem Versicherungsschutz zu bestimmen, könnten sie etablierte Rahmenwerke und Methoden zur Zuordnung von Cyberangriffen in Frage stellen. Diese Rahmenwerke sind stark in der Überzeugung verankert, dass Staaten eine zentrale, wenn nicht sogar primäre Rolle bei der Zuordnung solcher Angriffe spielen.
Obwohl sich ähnliche Muster wie in traditionellen Kontexten zeigen, darunter der Ausschluss konventioneller Kriegsführung aus Versicherungspolicen, wirft der Cyberkontext zusätzliche ungelöste Fragen auf, die in erster Linie aus der schwierigen Aufgabe resultieren, den Staat hinter einer Cyberoperation zu identifizieren, da solche Aktivitäten zahlreiche Möglichkeiten zur Anonymität bieten. Eine zentrale Frage ist, inwieweit Cyberversicherungspolicen mit den Zurechnungsgrundsätzen des Völkerrechts im Einklang stehen und stehen sollten. Nach dem Völkerrecht besteht Unsicherheit hinsichtlich der Zurechnung von Cyberangriffen. Im Allgemeinen sind Cyberaktionen, die von einem Organ eines Staates oder von einer Person oder Einrichtung durchgeführt werden, die nach innerstaatlichem Recht zur Ausübung hoheitlicher Befugnisse ermächtigt ist, diesem Staat zuzurechnen, während Cyberaktivitäten von Einzelpersonen oder privaten Gruppen nicht zuzurechnen sind. Cyberaktionen von nichtstaatlichen Akteuren können jedoch dennoch dem Staat zugerechnet werden, wenn sie auf Anweisung, unter der Leitung oder unter der Kontrolle der Regierung durchgeführt werden, die diese Aktionen als ihre eigenen anerkennt und behandelt.
Einige Wissenschaftler kritisieren die Anwendung des Völkerrechts bei der Zurechnung von Cyberoperationen und beanstanden die weitreichende Anwendung von Kriegsausnahmen in Richtlinien zu staatlich geförderten Cyberangriffen. In der Praxis liegt das größte Hindernis bei der Anwendung des Zurechnungsprinzips in der Sammlung von Beweisen. Einerseits verfügen Hacker über umfangreiche Mittel, um ihre Identität zu verschleiern, und die Überprüfung von Verschlusssachen im Zusammenhang mit Cyberangriffen ist schwierig. Andererseits haben Versicherer Schwierigkeiten, Zugang zu geheimen Informationen zu erhalten, die von Regierungsbehörden gesammelt wurden. Darüber hinaus ist die Zuweisung mit geopolitischen Komplexitäten verbunden, da die Nationen sich gegenseitig bei der Verbreitung von Informationen über Cyberangriffe zu übertrumpfen versuchen und angesichts der Unsicherheit ihre technologischen Fähigkeiten übertreiben. Darüber hinaus ist es möglich, dass Staaten ihren Bürgern bei der Einforderung von Versicherungsleistungen helfen wollen, was zu einem moralischen Risiko für Dritte führen könnte.
Zusammenfassung
Cyberversicherungen spielen eine wichtige Rolle bei der Bewältigung und Minderung der mit Cyberangriffen verbundenen Risiken, aber ihre Wirksamkeit und ihr Einfluss auf die Governance sind noch nicht ausgereift. Einige argumentieren, dass Versicherer als De-facto-Regulierer fungieren und die Versicherten zu strengeren Cybersicherheitsmaßnahmen ermutigen. Andere hingegen behaupten, dass die Governance-Rolle der Versicherer nach wie vor begrenzt ist. Im Zusammenhang mit Cyberversicherungen bestehen weiterhin Probleme wie Kriegsschlussklauseln und Herausforderungen bei der Zuordnung, die einer weiteren Klärung auf politischer Ebene bedürfen. Dies steht im Einklang mit früheren Erkenntnissen: Die Governance-Wirkung von Versicherungen ist zwar offensichtlich, hat jedoch ihre Grenzen, was die Bedeutung geeigneter Lösungen wie staatlicher Interventionen unterstreicht.
Institutionelle Lösungen für die Versicherung von Cyberkriegsführung und Rechtfertigung für eine öffentlich-private Partnerschaft
Staatliche Intervention
Staatliche Interventionen über eine öffentlich-private Partnerschaft, bei der der Staat entweder als Rückversicherer der letzten Instanz auftritt oder eine zusätzliche Deckungsstufe bereitstellt, werden theoretisch diskutiert. Einige Ökonomen stehen dem sehr kritisch gegenüber und argumentieren, dass dies zu einer unerwünschten Subventionierung von Versicherungen durch den Staat führen und den Markt stören würde. Es wird auch befürchtet, dass der Staat keine marktgerechten Prämien festlegen würde. Es gibt jedoch auch Argumente, die diese Art der staatlichen Intervention rechtfertigen. Das wichtigste Argument ist, dass sich ohne staatliche Interventionen möglicherweise gar kein Versicherungsschutz für Cybersicherheitsrisiken entwickelt hätte. Eine staatliche Rückversicherung könnte dann als geeignetes Mittel zur Verbesserung der Versicherbarkeit angesehen werden. Natürlich sollte eine staatliche Rückversicherung bestimmten Bedingungen entsprechen. Der Staat sollte eine versicherungsmathematisch faire Prämie verlangen, nur zur Stimulierung des Marktes eingreifen und sich zurückziehen, sobald der Markt diese Funktion übernehmen kann.
In der Praxis sind überraschenderweise nur wenige staatliche Interventionen dieser Art im Bereich neuer und sich entwickelnder Risiken zu beobachten. Versicherern fehlt oft die Fähigkeit, alle Risiken vollständig selbst zu managen, und staatlich unterstützte Programme wie das Terrorism Risk Insurance Program (TRIP), die Federal Deposit Insurance Corporation (FDIC) oder das National Flood Insurance Program (NFIP) werden von Forschern häufig für die Verwaltung von Versicherungsbereichen wie Cyberrisiken, Waffengewalt, wetterbedingte Risiken, politische Risiken, Katastrophenrisiken, Krankenversicherung und sogar Finanzkrisen befürwortet.
Zuletzt wurde die Pirateriekrise vor der Küste Somalias (2000–2017) durch eine öffentlich-private Zusammenarbeit zwischen der NATO und Lloyd’s bewältigt, wobei die Rolle der Seeversicherer auf dem Londoner Markt als „stille“ Sicherheitsfachleute angesehen wurde. Lloyd’s hat mit der NATO zusammengearbeitet, um gemeinsame Sorgen im Zusammenhang mit der Piraterie auf See anzugehen, mit dem Ziel, die strategische Sicherheitslandschaft ihres Risikominderungsrahmens proaktiv neu zu gestalten. Auch wenn die Allianz zwischen der NATO und Lloyd’s als Lösung für die Piraterie vor Somalia möglicherweise überbewertet wird, hebt diese Beziehung das „grundlegende” Konzept der Entschädigung auf eine globale Ebene, auf der der Schutz von Kapital „umsichtiges Geschäftsgebaren” mit einer von der NATO inspirierten strategischen Sicherheit verbindet. Die Praxis der Versicherung von Seekriegsrisiken wie Piraterie unterliegt in dieser Hinsicht nicht nur dem Grundsatz der Entschädigung, sondern konzentriert sich vielmehr auf die Akzeptanz von Risiken. Durch die Betrachtung des Sicherheitsapparats aus der Perspektive einer moralischen Ökonomie wird die proaktive Haltung des Lloyd’s Joint War Committee (JWC) deutlich, das maritime Kriegsrisiken versicherbar und damit kontrollierbar macht.
Empirische Belege verdeutlichen die aktuellen Herausforderungen im Bereich der Cyberversicherung und die Notwendigkeit staatlicher Interventionen. Obwohl die Nachfrage nach Cyberversicherungen steigt, sind die Prämien aufgrund verschiedener Faktoren, darunter die Kosten für die Behebung von Schäden, die Komplexität des Versicherungsschutzes und der Risikoprüfung, der Mangel an historischen Daten, die Kosten für die Rückversicherung sowie Deckungsgrenzen und Ausschlüsse, erheblich gestiegen. In den USA stiegen die Prämien für Cyberversicherungen im ersten Quartal 2022 im Vergleich zum vierten Quartal 2021 um durchschnittlich 28 %. Angesichts steigender Prämien und reduzierter Deckungssummen wird es für Unternehmen immer schwieriger, Cyberversicherungen abzuschließen, was zu einer Schrumpfung des Marktes führt. Die direkten Prämieneinnahmen für Cyberversicherungen in Einzel- und Paketpolicen gingen 2023 erstmals um moderate 2 % zurück, was in starkem Kontrast zum Marktwachstum von rund 200 % zwischen 2000 und 2022 steht. Diese Umkehrung erfolgte trotz einer anhaltend steigenden Nachfrage nach Versicherungsschutz. Die Verlängerungsraten für Cyberversicherungen gingen ebenfalls drei Quartale in Folge zurück, darunter ein Rückgang von 4 % im vierten Quartal 2023. Dies unterstreicht die Notwendigkeit staatlicher Maßnahmen, um diese Herausforderungen anzugehen und den Markt zu stabilisieren.
Begründung für das Vorgehen der Versicherer
Eine Möglichkeit für Versicherer, die Versicherbarkeit zu verbessern, besteht in der Zusammenarbeit durch kollektive Maßnahmen, beispielsweise dem Austausch von Informationen über Cyberrisiken. Dabei können jedoch zwei spezifische Probleme auftreten. Erstens kann es für Versicherer schwierig sein, im Bereich der Cybersicherheit zusammenzuarbeiten. Angesichts des begrenzten Wissens über die Minderung von Cyberrisiken auf dem Markt könnte eine Zusammenarbeit zwischen Versicherern jedoch zu erheblichen Skaleneffekten führen. Aufgrund der großen Unterschiede bei den Cyberrisiken kann es schwierig sein, eine Zusammenarbeit zwischen den Versicherern zu organisieren. Das Problem besteht nicht nur darin, dass der Markt sehr fragmentiert ist, sondern auch darin, dass ein starker Wettbewerb herrscht. Ein zweites Problem besteht darin, dass Bedenken auftreten könnten, dass solche Maßnahmen kollektive Maßnahmen darstellen und möglicherweise gegen das Kartellrecht verstoßen könnten, insbesondere wenn Versicherer zusammenarbeiten, um die Versicherbarkeit zu verbessern. Diese Bedenken sind jedoch in der Regel begrenzt. Nach US-amerikanischem Recht erfordert kollektives Handeln beispielsweise die folgenden Elemente: das Vorliegen einer „Verschwörung oder Vereinbarung zwischen zwei oder mehr Personen“, die Absicht oder das Ziel, „den Wettbewerb zu beschränken oder zu beeinträchtigen“, und das tatsächliche Ergebnis der Beschränkung oder Beeinträchtigung des Wettbewerbs. Im Kontext der Versicherungs- als Governance-Theorie wird die Versicherung als „institutionelle Kraft, die Einzelpersonen, Organisationen und Institutionen sowohl innerhalb als auch außerhalb der Versicherungsbranche beeinflusst“ betrachtet. Die private Versicherungswirtschaft verfolgt häufig „ähnliche Ziele der Sicherheit und Solidarität durch die Bündelung von Risiken, den Einsatz ähnlicher Techniken zur Fernsteuerung und die Zusammenarbeit innerhalb von Versicherungssystemen”. Diese Mechanismen beinhalten nicht zwangsläufig Elemente kollektiven Handelns wie Verschwörung, Vereinbarung, Absicht oder Ergebnisse, die den Wettbewerb einschränken oder beeinträchtigen.
Zweitens gelten aufgrund der besonderen Natur des Versicherungsgeschäfts in der Regel bestimmte Ausnahmen vom Kartellrecht. Nach dem McCarran-Ferguson Act gewährt die USA der Versicherungsbranche eine bedingte Ausnahme von den Bundeskartellgesetzen. Diese Ausnahme gilt nur, wenn (1) die Tätigkeit mit dem Versicherungsgeschäft zusammenhängt, (2) das Geschäft durch staatliche Gesetze reguliert ist und (3) keine Beteiligung an Praktiken wie Boykotten, Einschüchterung oder Nötigung vorliegt. Der Grund für diese Ausnahme ist, Flexibilität bei den Praktiken der Versicherungsbranche, wie z. B. dem Informationsaustausch, zu ermöglichen. Daher fällt der begrenzte oder angemessene Informationsaustausch und die Zusammenarbeit zwischen Versicherern in der Regel unter diese Ausnahmen und verstößt nicht gegen das Kartellrecht. Zwar könnte die Zusammenarbeit zwischen Versicherern potenziell den Wettbewerb beeinträchtigen, doch sind solche Fälle eher selten, und kartellrechtliche Eingriffe bleiben notwendig, wenn der Wettbewerb gefährdet ist.
Außerdem ist der Einfluss privater Versicherer auf die Unternehmensführung manchmal eher indirekt und geringer, da die Marktteilnehmer häufig von Branchenführern beeinflusst werden. So hält Lloyd’s beispielsweise rund 20 % des weltweiten Marktes für Cyberversicherungen. Dies ist zwar noch keine marktbeherrschende Stellung, doch finden die Änderungen der Cyberversicherungsklauseln von Lloyd’s innerhalb des Marktes weiterhin große Beachtung. Ebenso wird Lloyd’s mit einem Anteil von rund 28,2 % am weltweiten Markt für Seeversicherungen allgemein eine marktbeherrschende Stellung zugeschrieben. Auch wenn Lloyd’s nicht absichtlich mit anderen Marktteilnehmern zusammenarbeitet, sind seine Präsenz, seine Praktiken und Gepflogenheiten doch so bedeutend, dass sie die Trends der Branche mitprägen.
Institutionelle Lösungen zur Förderung der Governance von Cyberrisiken durch Versicherer
Ein neuer konzeptioneller Rahmen
Aufbauend auf früheren Forschungsarbeiten haben viele Studien festgestellt, dass der Governance-Effekt von Versicherungen zwar begrenzt ist, die Beteiligung der Regierung jedoch unverzichtbar und vorteilhaft bleibt, um die private Regulierung durch Versicherer zu unterstützen. Ein Großteil der Literatur zur Versicherung als Governance-Theorie, ob befürwortend oder kritisch, kommt letztlich zu dem Schluss oder empfiehlt, dass es Unterstützung durch die Regierung oder eine Beteiligung durch öffentlich-private Partnerschaften geben sollte. Private Regulierungsinstrumente wie Versicherungen sind möglicherweise nicht nur wirksamer und kosteneffizienter als direkte staatliche Eingriffe, sondern können auch die mit der öffentlichen Regulierung verbundenen politischen Bedenken umgehen. Es ist nicht möglich, sich ausschließlich auf Versicherer als Regulierungsbehörden zu verlassen. Bei bestimmten Risiken können die Anreize der Versicherer zur Schadensminimierung die staatliche Regulierung wirksam ergänzen. Bei anderen Risiken bleibt jedoch staatliches Eingreifen die einzige praktikable Option. Während die Auslagerung von Regulierungsaufgaben an Versicherer dort am besten funktioniert, wo die staatliche Regulierung vor Herausforderungen steht, sollte die private Regulierung als wertvolle Ergänzung zu einem System der öffentlichen Regulierung und nicht als eigenständige Lösung betrachtet werden.
In den letzten Jahren haben Baker und Shortland einen neuen konzeptionellen Rahmen entwickelt, der auf der Theorie der Versicherung als Regulierung aufbaut und diese weiterentwickelt. Anhand von fünf Arten von Straftaten – Autodiebstahl, Kunstdiebstahl, Entführung und Entführung zur Erpressung von Lösegeld, Ransomware und Zahlungskartenbetrug – veranschaulichen sie, wie Versicherer mit anderen Stellen zusammenarbeiten, um Kriminalität in drei Dimensionen zu bekämpfen. Versicherer können zunächst die Nachfrage der Versicherten nach Sicherheitsmaßnahmen stimulieren, dann mit Dritten zusammenarbeiten, um Anreize zu schaffen, und schließlich mit Regierungsbehörden zusammenarbeiten, um zur Verbrechensbekämpfung beizutragen und sich für Gesetzesänderungen einzusetzen, die Versicherungsschutz vorschreiben und kriminelle Gewinne kontrollieren. Diese Theorie steht im Einklang mit vielen früheren Studien, die die Bedeutung der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor bei der Bewältigung komplexer Probleme wie Kriminalität und Sicherheit hervorgehoben haben.
Baker und Shortland liefern auch eine umfassende Analyse staatlicher Eingriffe in Versicherungsmärkte aus einer dreidimensionalen Perspektive, die die Regulierung risikobehafteter Aktivitäten, öffentliche Investitionen in die Risikominderung und Mitversicherung umfasst. Sie untersuchen sechs Arten von Haftpflichtversicherungen als Beispiele: Kunstdiebstahlversicherung, Terrorismusversicherung für Gewerbeimmobilien, Entführungs- und Lösegeldversicherung, Arktis- und Seeversicherung, Umwelthaftpflichtversicherung und Haftpflichtversicherung für Führungskräfte. Ihre Ergebnisse deuten darauf hin, dass der Staat eine aktive Rolle auf dem Versicherungsmarkt spielt, die über seine traditionellen Regulierungsaufgaben hinausgeht. Diese Beteiligung umfasst die Bereitstellung von Daten und relevanten Informationen für die Öffentlichkeit, was sowohl privaten Versicherern als auch dem Staat selbst zugutekommt. Darüber hinaus tätigt der Staat öffentliche Investitionen zur Verbesserung der Maßnahmen zur Schadensminderung und unterstreicht damit seine proaktive Rolle bei der Gestaltung und Unterstützung der Versicherungslandschaft.
Im Bereich der Cyberrisiken analysieren sie außerdem die Entwicklung von Ransomware-as-a-Service (RaaS) und stellen fest, dass wachsende Cyberrisiken in Verbindung mit höheren Preisen und strengeren Versicherungsbedingungen den Markt für Cyberversicherungen erschweren. Die Zusammenarbeit zwischen Versicherern, Dritten und der Regierung hat jedoch dazu beigetragen, Cyberrisiken besser versicherbar zu machen. So hat beispielsweise die Ransomware Taskforce, eine öffentlich-private Partnerschaft zur Bekämpfung der Cyberkriminalität, betont, dass die Regierung eine aktivere Rolle bei der Bekämpfung der Cyberkriminalität übernehmen muss. Als Reaktion darauf haben auch Einrichtungen wie die National Cryptocurrencies Enforcement Unit der US-Regierung und die LMA rasch Maßnahmen ergriffen, um diesen Herausforderungen zu begegnen.
Institutionelle Lösungen für eine bessere öffentlich-private Partnerschaft
Unmittelbar nach dem Zweiten Weltkrieg schlug Hirschleifer ein System staatlicher Kriegsversicherungen vor. Er befürchtete, dass ohne ein solches Programm die politische Lage eine Entschädigung für entstandene Schäden erforderlich machen würde. Diese Art der direkten staatlichen Entschädigung könnte zu verschiedenen negativen Effekten führen, die als „Charity Hazard“ bezeichnet werden. Angesichts der unterschiedlichen Theorien zur Regulierung von Cyberversicherungen ist eine öffentlich-private Partnerschaft in der Tat eine Überlegung wert.
Bei Cyber- und Ransomware-Risiken ist die Beteiligung des privaten Sektors von entscheidender Bedeutung, da ein Großteil der Infrastruktur in privater Hand ist. Die Regulierung von Cyberaktivitäten erfordert jedoch zwangsläufig staatliche Behörden. Darüber hinaus wird in einigen Veröffentlichungen die Einrichtung einer National Cybersecurity Safety Board (NCSB) nach dem Vorbild der National Transportation Safety Board befürwortet, um Cyberangriffe zu untersuchen und die Bemühungen des öffentlichen und privaten Sektors zur Risikominderung zu unterstützen. Baker und Shortland schlagen vor, dass staatliche Interventionen diesem Modell folgen könnten, einschließlich der Bereitstellung von Mitversicherungen für Katastrophenereignisse, der Regulierung von Versicherten zur Verbesserung der Cyberrisikostandards und des Datenschutzes sowie der Bereitstellung öffentlicher Investitionen zur Bekämpfung von Cyberangriffen. In ähnlicher Weise schlagen Logue und Shniderman vor, Versicherer mit dem Amt für die Kontrolle ausländischer Vermögenswerte (Office of Foreign Assets Control, OFAC) und der Regierung zu koordinieren, um Cyberrisiken gemeinsam zu bekämpfen. In diesem Modell könnten Versicherer und das OFAC als private und soziale Regulierungsbehörden für Lösegeldrisiken fungieren, während die Regierung mit einem Mechanismus ähnlich dem Terrorism Risk Insurance Program (TRIP) Unterstützung leisten könnte. Unabhängig von der Art der staatlichen Beteiligung gibt es also zahlreiche Möglichkeiten, wie „die Regierung sowohl die Opfer entschädigen als auch ihre Bürger vor der Unvermeidbarkeit von Cyberangriffen schützen kann”.
Auch bei der Versicherung von Schäden durch Cyberkriege könnte ein moralisches Risiko entstehen, insbesondere wenn hohe staatliche Subventionen im Spiel sind. In Hirschleifers Rahmenkonzept für Kriegsschadenversicherungen würden versicherte Personen oder Unternehmen Prämien zahlen, die auf ihr spezifisches Verlustrisiko zugeschnitten sind, und im Schadensfall aus einem gemeinsamen Prämienpool entschädigt werden. Dieses System würde höhere Versicherungsprämien für Gebäude in Großstädten, die häufig bevorzugte Angriffsziele sind, oder für Gebäude ohne ausreichende Brandschutzinfrastruktur bedeuten. Diese höheren Prämien dienen sowohl als Anreiz als auch als Warnung. Umgekehrt würden niedrigere Prämien in sichereren Gebieten Entscheidungsträger dazu motivieren, aufgrund der geringeren Versicherungskosten einen Standort außerhalb der Ballungsräume in Betracht zu ziehen. Im Wesentlichen dienen die unterschiedlichen Prämien als Orientierungshilfe, die es den Beteiligten ermöglicht, die mit verschiedenen Konstruktionen oder Standorten verbundenen Risiken durch einen Vergleich der Prämien zu bewerten und so implizit die Gefahren abzuschätzen, denen sie ausgesetzt sein könnten.
Das Ergebnis dieser Analyse ist eindeutig: Staatliche Eingriffe in die Cyberversicherung sind wichtig, nicht nur für die Versicherbarkeit (durch Bereitstellung zusätzlicher Kapazitäten), sondern auch, weil Regierungen ihre Regulierungsinstrumente nutzen können, um die Cybersicherheit zu erhöhen. In dieser Hinsicht haben Regierungen einen Vorteil gegenüber Versicherern. Aus diesem Grund wurde eine staatliche Intervention beispielsweise im Bereich der terrorismusspezifischen Risiken verteidigt: Terroranschläge richten sich oft gegen Regierungen, sodass diese (aufgrund von Skaleneffekten) am besten in der Lage sind, Maßnahmen zu ihrer Verhinderung zu ergreifen. Bei Naturkatastrophen haben Regierungen ebenfalls erfolgreich als Rückversicherer der letzten Instanz interveniert und gleichzeitig ihre Regulierungsbefugnisse genutzt, um Risiken zu verringern. Ein oft zitiertes Erfolgsbeispiel ist das kantonale Versicherungssystem in der Schweiz. Empirische Untersuchungen zum Vergleich der Versicherungen in Österreich, der Schweiz und Bayern haben gezeigt, dass die Katastrophenvorsorge in den Schweizer Kantonen besser ist und die Schäden geringer sind. Dies ist bemerkenswert, da das Schweizer Versicherungssystem auf kantonalen (staatlichen) Monopolen basiert. Dieses Modell wird in der Literatur sogar als „effiziente Monopole” bezeichnet. Der Grund für diesen Erfolg liegt darin, dass die Schweizer Kantonsregierungen einerseits staatliche Versicherungen anbieten, andererseits aber ihre Regulierungsbefugnisse nutzen können, um bestimmte Maßnahmen zur Risikominderung vorzuschreiben. Dieses Modell könnte auch bei Cyberrisiken wirksam sein.
Ein wirksames Cyberversicherungsprogramm in Singapur
In der Praxis ist Singapur einer der ersten Staaten, der die Cyber-Resilienz verbessert und einen effizienten Versicherungsmarkt fördert. Im Jahr 2016 starteten die Monetary Authority und die Cyber Security Agency in Zusammenarbeit mit akademischen Experten (Nanyang Technological University) und Industriepartnern das Cyber Risk Management (CyRiM)-Projekt, um „die Herausforderungen von Angebot und Nachfrage auf dem Cyber-Versicherungsmarkt anzugehen”. Das CyRiM-Projekt umfasste drei Schlüsselelemente: die Einrichtung eines einheitlichen Klassifizierungssystems zur Charakterisierung von Cybersicherheitsvorfällen, den Aufbau einer Datenbank für Cybersicherheitsvorfälle und deren finanzielle Auswirkungen sowie die Bewertung verschiedener Rahmenwerke für cyberspezifische Schäden, um die versicherungsmathematische Kostenberechnung zu erleichtern. Nach Beobachtung der Cyberversicherung in den USA veröffentlichte das CyRiM-Projekt 2017 einen Bericht, in dem es sich skeptisch über die Fähigkeit des privaten Sektors äußerte, ohne staatliche Beteiligung Fortschritte zu erzielen. Die Lehren, die Singapur aus den USA zur Stärkung des Cyberversicherungsmarktes gezogen hat, waren, dass die Regierung zwar zunächst das Wachstum ankurbeln kann, aber keine US-Vorschriften den Versicherern wirklich geholfen haben, außer den Unternehmen den Abschluss von Policen aufzuzwingen. Daher formulierte CyRiM einen eigenen Vorschlag: einen Cyberversicherungs-Pool, der sich aus öffentlichen und privaten Einrichtungen zusammensetzt und bei der Regulierung von Schäden und der Risikominderung helfen soll.
Seit 2018 ist CyRiM Vorreiter eines staatlich unterstützten kommerziellen Cyber-Risikopools, um eine Gemeinschaft für die Versicherung katastrophaler Cyberangriffe zu schaffen. Nach Angaben des Finanzministers von Singapur kann der Pool bis zu 1 Milliarde US-Dollar aufnehmen und wird durch eine Mischung aus Versicherungsgesellschaften und versicherungsgebundenen Wertpapieren finanziert, mit dem Ziel, Unternehmen in ganz Asien „maßgeschneiderte Cyber-Versicherungen” anzubieten. Weltweit ist Singapur laut einer Umfrage von Sophos unter „ ” führend bei der Akzeptanz von Cyberversicherungen: 96 % der Unternehmen sind versichert und 68 % verfügen über eigenständige Policen. Fast alle Unternehmen, die im Vorjahr eine Cyberversicherung abgeschlossen haben, haben auch Ressourcen für die Verbesserung ihrer Cybersicherheitsmaßnahmen bereitgestellt und erheblich in Cyberabwehr investiert. Die prognostizierten Bruttobeiträge für den Markt für Cyber-Haftpflichtversicherungen in Singapur werden voraussichtlich von 108,04 Millionen US-Dollar im Jahr 2024 auf 172,82 Millionen US-Dollar im Jahr 2029 steigen, was einer durchschnittlichen jährlichen Wachstumsrate von 9,85 % im Prognosezeitraum 2024–2029 entspricht.
Die in Singapur behandelten Themen zeigen nicht nur die Notwendigkeit staatlicher Eingriffe zur Stabilisierung und Förderung des Cyberversicherungsmarktes, sondern auch die Methoden, mit denen dies erreicht werden kann. Der Aufbau einer tragfähigen und langfristigen öffentlich-privaten Partnerschaft für Cyberrisiken sollte drei Grundprinzipien folgen. Erstens könnten Regierungen mit Versicherern zusammenarbeiten, um die Einführung von Cyberversicherungen zu fördern und sicherzustellen, dass die marktbasierten Aktivitäten der Versicherer respektiert werden, einschließlich Anreizen wie Risikopreisgestaltung, Verlustbeteiligungsmechanismen (z. B. Selbstbehalte, Mitversicherungsquoten und Deckungsgrenzen) und Ausschlussregeln. So hat beispielsweise die Cyber Security Agency Singapurs das Cybersecurity Certification Scheme ins Leben gerufen, um eine gute Cyberhygiene zu fördern und in Zusammenarbeit mit Versicherern die Akzeptanz von Cyberversicherungen zu steigern. Die Monetary Authority of Singapore (MAS), die Finanzaufsichtsbehörde und Zentralbank, hat außerdem die Cyber Security Regulations and Guidance eingeführt, die sich auf folgende Punkte konzentrieren (a) Hinweise zur Cyberhygiene für Versicherer und Vermittler, die Anforderungen wie die Sicherung von Administratorkonten, die Anwendung von Patches, die Festlegung von Sicherheitsstandards, den Einsatz von Netzwerksicherheitsgeräten, den Einsatz von Anti-Malware-Software und die Verbesserung der Benutzerauthentifizierung umfassen; (b) Hinweise zum technologischen Risikomanagement für Versicherer, die die Identifizierung kritischer Systeme, die Gewährleistung der Systemverfügbarkeit und -wiederherstellung, die Meldung von Vorfällen an die MAS und den Schutz von Kundendaten durch IT-Kontrollen vorschreiben; (c) Leitlinien zum technologischen Risikomanagement, die Best Practices für Finanzinstitute zur Verbesserung der technologischen Risikosteuerung und der IT-/Cyber-Resilienz enthalten. Zweitens sollten staatliche Eingriffe nur als letztes Mittel erfolgen, entweder als Kreditgeber der letzten Instanz oder als Anbieter von Rückversicherungen. Dieser Ansatz stellt sicher, dass staatliche Eingriffe den kommerziellen Versicherungsmarkt nicht behindern und die Versicherer ihre führende Rolle im Cyber-Risikomanagement behalten können. Darüber hinaus kann die robuste Kreditkapazität der Regierungen kommerzielle Versicherungszyklen überbrücken, die Solvenz der Versicherer sichern und ihre Bedenken verringern, wodurch die Bereitstellung von Cyber-Versicherungsprodukten erleichtert wird. In Singapur gingen Direktversicherer davon aus, dass Ansprüche im Zusammenhang mit affirmativen und nicht-affirmativen (stillen) Cyber-Deckungen dank bestehender Rückversicherungsvereinbarungen in einem überschaubaren Rahmen bleiben würden. Drittens sollten nationale Akteure mit internationalen Partnern zusammenarbeiten. Die Fallstudie Singapur wirft die Frage auf: Wie genau kann ein kleines Land einen Backstop für globale Cyberrisiken schaffen? Angesichts der eskalierenden Bedrohung durch Cyberangriffe untersucht die Regierung Singapurs eine gemeinsame Strategie zur Bewältigung des Problems und setzt sich für eine einheitliche globale Vorgehensweise zur Bekämpfung von Cyberangriffen ein. Angesichts des transnationalen Charakters der Ransomware-Bedrohung reichen die Maßnahmen Singapurs innerhalb seiner eigenen Gerichtsbarkeit nicht aus, um Cyberangriffe wirksam zu bekämpfen. Daher ist es von entscheidender Bedeutung, dass die Bemühungen zur Bekämpfung von Cyberangriffen eine konzertierte globale Initiative zur Bewältigung dieser Bedrohung unterstützen und sich daran beteiligen.
Schlussbemerkungen
Cyberkriege sind eine der größten Bedrohungen für die Sicherheit der elektronischen Kommunikation und können zu enormen Verlusten führen. Wir haben zunächst die Kriterien für die Versicherbarkeit von Cybersicherheit erörtert und dargelegt, dass es nicht verwunderlich ist, dass Versicherer etwas zögern, Cyberrisiken zu versichern. Das grundlegende Problem ist die hohe Unsicherheit, sowohl hinsichtlich der Wahrscheinlichkeit eines Angriffs als auch hinsichtlich des potenziellen Schadens, der dadurch entstehen kann. Folglich ist es für Versicherer auch schwierig, Maßnahmen zur Risikominderung zu verlangen. Da Cyberrisiken relativ neu sind, verfügen Versicherer möglicherweise nicht über die Kapazitäten, um wirksame Maßnahmen zur Erhöhung der Cybersicherheit zu identifizieren.
Infolgedessen ist die Verfügbarkeit von Cybersicherheitsversicherungen minimal, und es stellt sich die Frage, ob umfangreiche Cyberangriffe unter die in vielen Versicherungsverträgen enthaltene Kriegsklausel fallen würden. Wir haben gezeigt, dass die Justiz generell zögert, Kriegsklauseln weit auszulegen, was bedeutet, dass allgemeine Policen de facto Cyberrisiken abdecken können, wenn sie nicht ausdrücklich ausgeschlossen sind. Und genau das tun Versicherer zunehmend, beispielsweise im LMA-Modell für Cyberkriegsklauseln.
Wir haben argumentiert, dass dieser generelle Ausschluss von Cyberkriegen einerseits aus Sicht der Versicherer nachvollziehbar ist, andererseits aber problematisch ist, da er den Schutz der gefährdeten Parteien vor Risikoscheu aufheben könnte. Es gibt jedoch noch ein weiteres Problem mit dem Ausschluss von Cyberrisiken aus Versicherungen. In der Literatur wird darauf hingewiesen, dass Versicherer eine wichtige Rolle spielen können und oft auch spielen, wenn es darum geht, von den Versicherten Präventivmaßnahmen zur Verringerung des moralischen Risikos zu verlangen. Auch wenn diese Form der privaten Governance theoretisch dazu führen könnte, dass Versicherer eine wichtige Rolle bei der Verringerung cyberbezogener Risiken spielen, ist es in der Praxis zweifelhaft, ob Versicherer (in den seltenen Fällen, in denen Versicherungsschutz verfügbar ist) diese Rolle tatsächlich spielen. In der Praxis gibt es oft eine viel geringere Risikodifferenzierung als theoretisch zu erwarten wäre. Die Governance-Effekte von Versicherungen im Bereich der Cybersicherheit sind daher höchstwahrscheinlich bestenfalls begrenzt.
Angesichts dieser Probleme haben wir argumentiert, dass den Regierungen eine wichtige Rolle zukommen könnte. Für andere Katastrophenrisiken (Naturkatastrophen, Terrorismus), bei denen die Kapazitäten der Versicherungsmärkte begrenzt sind, entstehen zunehmend mehrschichtige Systeme, in denen Regierungen als Rückversicherer der letzten Instanz fungieren. Wir argumentieren, dass ein ähnliches Modell eine wichtige Rolle bei der Verbesserung der Versicherbarkeit von Cyberrisiken spielen könnte. Staatliche Interventionen könnten einen doppelten Nutzen bringen: Einerseits könnten zusätzliche finanzielle Kapazitäten geschaffen werden (durch die Bereitstellung einer zusätzlichen Entschädigungsebene), andererseits sind Regierungen möglicherweise besser als Versicherer in der Lage, die Cybersicherheit zu fördern, indem sie ihre Regulierungsbefugnisse zur Verringerung von Cyberrisiken nutzen. Einige Länder (z. B. Singapur) zeigen, dass diese Vorteile tatsächlich erzielt werden könnten, wenn die Regierung eine solche unterstützende Rolle übernehmen würde. Dies ist ein Beispiel für das in der Literatur befürwortete dreidimensionale Modell, bei dem der Schwerpunkt zunächst auf der Förderung der Cybersicherheit durch die Betreiber liegt, und zwar durch doppelte Anstrengungen der Versicherer (über private Governance) und der Regierung (über Regulierungsbefugnisse). Ex post könnte ein mehrschichtiges System, in dem (zunächst) die Versicherer und (anschließend) die Regierung eingreifen würden, ebenfalls eine substanzielle Entschädigung für die potenziell hohen Verluste durch Cyberkriegsangriffe gewährleisten.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Übersetzung BOW
He, Q., Faure, M. & Chen, CY. in: The Geneva Papers on Risk and Insurance – Issues and Practice, Palgrave McMillan, 2025
https://doi.org/10.1057/s41288-025-00346-3
http://creativecommons.org/licenses/by/4.0/
Ganzheitliche Cybersecurity – praxisnah, rechtskonform und auf Ihre Unternehmens-Risiken abgestimmt
Ein dediziertes Team von Cyber- und IT Security-Spezialisten und Penetration Testern unterstützen Sie mit einem breiten Portfolio an Beratungsdienstleistungen und Trainings zum Thema Cyber- und IT Security.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch
Hier geht’s zum unserem Angebot: