Streit um 1,4 Milliarden Dollar Versicherung darf Computerwurm NotPetya nicht als Kriegsakt deuten
Merck & Co.
Foto: Brendan McDermid / REUTERSAls Microsoft vor einer Woche bekannt gab , in zahlreichen ukrainischen Computersystemen einen sogenannten Wiper entdeckt zu haben, weckte das schlimme Erinnerungen. Im Juni 2017 hatte eine solche Art Schadsoftware weltweit Milliardenschäden angerichtet, indem sie Dateien unwiederbringlich überschrieb.
Technisch hat der damals eingesetzte Wiper namens NotPetya nichts mit dem nun von Microsoft gefundenen Schadcode zu tun – schon allein, weil NotPetya ein Wurm war, der sich von selbst verbreitete, während die nun entdeckte, WhisperGate genannte Schadsoftware gezielt platziert wurde und kein Wurm ist.
Aber beide tarnten sich als Ransomware (Verschlüsselungstrojaner), also als Erpresserwerkzeug. Damals wie heute war die Ukraine das offensichtliche Ziel, und damals wie heute vermuten Fachleute russische Täter hinter den Vorfällen. NotPetya soll von der Gruppe Sandworm eingesetzt worden sein, sie wird dem russischen Militärgeheimdienst GRU zugeordnet.
NotPetya wurde der Wiper damals genannt, weil ihr Code auf einer Ransomware namens Petya beruhte, aber eben nicht dazu gedacht war, Opfer zu einer Lösegeldzahlung zu zwingen, um ihre Dateien wieder nutzen zu können. NotPetya war vielmehr auf Zerstörung ausgelegt. Über Updates für die Buchhaltungssoftware M.E.Doc verbreitete sich NotPetya rasend schnell in den Systemen von allen, die in der Ukraine Steuern zahlen oder Geschäfte machen. Und das waren nicht nur ukrainische Unternehmen und Banken, sondern unter anderem auch ein Strahlen-Beobachtungszentrum in Tschernobyl, der Logistikkonzern Maersk, der Dax-Konzern Beiersdorf sowie das US-Pharmaunternehmen Merck & Co.
»Alle Risiken« enthält nicht alle Risiken
Der NotPetya-Befall kostete Maersk rund 300 Millionen Dollar. Wichtige Daten ließen sich nur wiederherstellen, weil ein einziges Back-up in Ghana damals zufällig durch einen Stromausfall vom Netz getrennt war und daher nicht überschrieben wurde.
Merck verzeichnete durch Produktionsausfälle, den Ersatz seiner Computer und die Kosten für IT-Experten sogar einen Schaden in Höhe von 1,4 Milliarden Dollar. Die wollte es von seiner Versicherung Ace American erstattet bekommen. Schließlich hatte Merck sich gegen »alle Risiken« bis zu einer Summe von 1,75 Milliarden Dollar abgesichert, Schäden durch Datenverlust oder -zerstörung eingeschlossen.
Doch Ace American stellte sich quer. NotPetya, argumentierte die Versicherung, sei ein Instrument der Russischen Föderation und Teil der andauernden Feindseligkeiten gegen die Ukraine gewesen. Und in den Ausschlüssen der Versicherung gegen »alle Risiken« heißt es: »Verlust oder Schaden verursacht durch feindselige oder kriegerische Aktionen in Zeiten von Frieden oder Krieg«.
2019 verklagte Merck die Versicherung, nun wurde das Urteil des Superior Court of New Jersey bekannt: Es gab dem Pharmaunternehmen recht.
Für den Umgang von Versicherungen und ihren Kunden mit künftigen Cyberangriffen und ihren Kollateralschäden ist die Entscheidung einerseits von großer Bedeutung. Andererseits ist sie keineswegs das Ende der Geschichte von NotPetya.
Denn erstens ist das Gericht nicht einmal innerhalb New Jerseys die höchste Instanz. Zweitens handelt es sich um ein Zwischenurteil, noch ist Ace American damit nicht zur Zahlung von 1,4 Milliarden Dollar verpflichtet.
Drittens ist auch die Begründung des Gerichts keine, die endgültig klärt, ob so etwas wie NotPetya ein kriegerischer Akt ist. Vielmehr hat es die Versicherung schlicht versäumt, die eigene Definition von kriegerischen Akten an die modernen Zeiten anzupassen. Im Urteil heißt es, die Formulierungen in diesen Policen seien seit vielen Jahren praktisch dieselben. Gleichzeitig wüssten beide Parteien von Cyberattacken in verschiedenen Formen. »Trotzdem haben Versicherungen nichts unternommen, um die Formulierungen zu ändern und die Versicherten darauf aufmerksam zu machen, dass Cyberattacken ein Ausschlusskriterium sind. Die Möglichkeit dazu hätten sie sicherlich gehabt.« Merck sei daher zu Recht davon ausgegangen, dass »Ausschlüsse nur für traditionelle Formen der Kriegsführung gelten«.
Mit anderen Worten: Versicherungen wissen, wie Hackerangriffe heutzutage aussehen, welche Folgen sie haben können und wie schwierig es ist, eine staatliche Beteiligung oder Unterstützung nachzuweisen. Was als »Cyber-Kriegsakt« gilt, müssen sie in ihren Verträgen genau regeln.
Ein weiteres Urteil zu NotPetya steht noch aus
»Cyber-Versicherungen werden künftig begrenzter gelten«, sagte Dr. Lukas Olejnik, unabhängiger IT-Sicherheitsforscher und ehemaliger Berater beim Internationalen Komitee vom Roten Kreuz für Fragen zu Cyberkriegsführung, dem SPIEGEL. So habe zum Beispiel kürzlich der Versicherer Lloyd's vier neue Definitionen eingeführt, »für die Verwendung in kommerziellen Cyber-Versicherungsverträgen«.
In einer davon ist vor allem die Einschätzung der Regierung jenes Staates entscheidend, in dem die betroffenen Rechner stehen, ob ein Hackerangriff von einem fremden Staat oder in dessen Auftrag ausgeführt wurde. Olejnik glaubt, dass dadurch diplomatische und politische Entscheidungen wichtiger werden: »Wenn gewisse Regierungen weiterhin anderen Staaten Cyberoperationen zuschreiben, kann das bald finanzielle Konsequenzen haben, zumindest im eigenen Land.«
Vor allem zwei Unternehmen werden sich das Urteil aus New Jersey nun ganz genau ansehen: der Lebensmittelhersteller Mondelez und die Zurich-Versicherung. Mondelez gehörte ebenfalls zu den NotPetya-Opfern und beziffert seinen Verlust auf 180 Millionen Dollar. Auf 100 Millionen Dollar war der Konzern aber versichert, zunächst zahlte Zurich auch.
Doch dann verweigerte die Versicherung weitere Zahlungen , auch hier unter Verweise auf die Ausnahme bei »kriegsähnlichen Handlungen in Kriegs- oder Friedenszeiten«. Mondelez klagte im Jahr 2018, ein Urteil steht noch aus.
