Mondelez International, Hersteller von Oreos und Ritz Crackers, hat eine Klage gegen seinen Cyber-Versicherer beigelegt, nachdem der Anbieter sich geweigert hatte, eine mehrere Millionen Dollar schwere Bereinigungsrechnung zu übernehmen, die aus dem weitläufigen NotPetya-Ransomware-Angriff im Jahr 2017 stammte.
Ursprünglich der Snack-Riese den Anzug gebracht gegen Zurich American Insurance im Jahr 2018, nachdem NotPetya seine globale Cyber-Durchsuchung großer multinationaler Unternehmen abgeschlossen hatte, und der Fall wurde seitdem fortgesetzt vor Gericht gefesselt. Die Bedingungen des Deals wurden nicht bekannt gegeben, aber eine „Vereinbarung“ würde auf eine Kompromisslösung hindeuten – was zeigt, wie heikel Ausschlussklauseln für Cyber-Versicherungen sein können.
NotPetya: Kriegsakt?
Im Mittelpunkt der Klage standen die Vertragsbedingungen der Cyber-Versicherung – konkret ein Carve-out-Ausschluss für Schäden durch Kriegshandlungen.
NotPetya, den die US-Regierung 2018 als den „zerstörerischsten und teuersten Cyberangriff der Geschichte“ bezeichnete, begann mit der Kompromittierung ukrainischer Ziele, bevor er sich weltweit ausbreitete, letztendlich Unternehmen in 65 Ländern traf und Schäden in Milliardenhöhe verursachte. Es verbreitete sich schnell dank der Verwendung des EternalBlue-Wurm-Exploit in der Angriffskette, bei der es sich um eine durchgesickerte NSA-Waffe handelt, die es Malware ermöglicht, sich selbst von System zu System zu verbreiten, indem Microsoft SMB-Dateifreigaben verwendet werden. Zu den bemerkenswerten Opfern des Angriffs gehörten unter anderem FedEx, der Versandgigant Maersk und der Pharmariese Merck.
Im Fall von Mondelez sperrte die Malware 1,700 seiner Server und unglaubliche 24,000 Laptops, wodurch das Unternehmen handlungsunfähig wurde und von mehr als 100 Millionen US-Dollar an Schäden, Ausfallzeiten, entgangenen Gewinnen und Sanierungskosten heimgesucht wurde.
Als ob das nicht schon schwer genug wäre, erstickte der Lebensmittel-Kahuna bald an der Antwort von Zurich American, als er einen Cyber-Versicherungsanspruch einreichte: Der Versicherer hatte nicht die Absicht, die Kosten zu übernehmen, und berief sich auf die oben erwähnte Ausschlussklausel, die die Sprache „feindliches oder kriegerisches Vorgehen in Friedens- oder Kriegszeiten“ durch eine „Regierung oder souveräne Macht“.
Dank der Zuschreibung von NotPetya durch Weltregierungen an den russischen Staat und der ursprünglichen Mission des Angriffs, einen bekannten kinetischen Gegner Moskaus zu treffen, hatte Zurich American einen Fall – trotz der Tatsache, dass der Mondelez-Angriff sicherlich ein unbeabsichtigter Kollateralschaden war.
Mondelez argumentierte jedoch, dass der Vertrag von Zurich American angesichts der Unklarheit darüber, was bei einem Angriff abgedeckt werden könne und was nicht, sozusagen einige umstrittene Krümel auf dem Tisch liegen lasse. Konkret heißt es in der Versicherungspolice eindeutig, dass sie „alle Risiken des physischen Verlusts oder Schadens“ – Betonung auf „alle“ – „an elektronischen Daten, Programmen oder Software abdecken würde, einschließlich Verluste oder Schäden, die durch die böswillige Einführung eines Maschinencodes verursacht werden oder Anweisung.“ Eine Situation, die NotPetya perfekt verkörpert.
Caroline Thompson, Head of Underwriting bei Cowbell Cyber, einem Anbieter von Cyber-Versicherungen für kleine und mittelständische Unternehmen (KMU), stellt fest, dass das Fehlen einer klaren Formulierung der Cyber-Versicherungspolice die Tür für die Berufung von Mondelez offen gelassen hat – und als warnende Botschaft dienen sollte an andere Verhandlungsabdeckung.
„Der Deckungsumfang und die Anwendung von Kriegsausschlüssen bleiben einer der größten Herausforderungen für Versicherer, da sich Cyber-Bedrohungen weiterentwickeln, Unternehmen ihre Abhängigkeit von digitalen Operationen erhöhen und geopolitische Spannungen weiterhin weitreichende Auswirkungen haben“, sagt sie Dark Lektüre. „Für Versicherer ist es von größter Bedeutung, dass sie mit den Bedingungen ihrer Police vertraut sind und bei Bedarf um Klärung bitten, sich aber auch für moderne Cyber-Policen entscheiden, die sich mit der Geschwindigkeit ihrer Risiken und Risiken weiterentwickeln und anpassen können.“
Kriegsausschlüsse
Es gibt ein eklatantes Problem, wenn Kriegsausschlüsse für Cyberversicherungen gelten: Es ist schwierig zu beweisen, dass Angriffe tatsächlich „Kriegshandlungen“ sind – eine Bürde, die im Allgemeinen die Feststellung erfordert, in wessen Namen sie ausgeführt werden.
Im besten Fall ist die Zuordnung eher eine Kunst als eine Wissenschaft, wobei ein sich ändernder Satz von Kriterien jedem selbstbewussten Fingerzeig zugrunde liegt. Gründe für die Attribution von Advanced Persistent Threats (APT) beruhen oft auf weit mehr als quantifizierbaren Technologieartefakten oder Überschneidungen in Infrastruktur und Tools mit bekannten Bedrohungen.
Squishier-Kriterien können Aspekte wie z Viktimologie (d. h. sind die Ziele mit staatlichen Interessen und politischen Zielen vereinbar?; Gegenstand von Social-Engineering lockt; Programmiersprache; Niveau der Raffinesse (Muss der Angreifer über ausreichende Ressourcen verfügen? Hat er einen teuren Zero Day verwendet?); und Motiv (ist der Angriff beabsichtigt Spionage, Zerstörung, oder finanzieller Gewinn?). Es gibt auch das Problem False-Flag-Operationen, wo ein Gegner diese Hebel manipuliert, um einen Rivalen oder Gegner einzurahmen.
„Was mich schockiert, ist die Idee, zu überprüfen, ob diese Angriffe vernünftigerweise einem Staat zugeschrieben werden können – wie?“ sagt Philippe Humeau, CEO und Mitbegründer von CrowdSec. „Es ist allgemein bekannt, dass man die Operationsbasis eines anständig qualifizierten Cyberkriminellen kaum verfolgen kann, da das Ausspionieren seiner Operationen die erste Linie ihres Spielbuchs ist. Zweitens sind die Regierungen nicht bereit zuzugeben, dass sie Cyberkriminellen in ihren Ländern Deckung bieten. Drittens sind Cyberkriminelle in vielen Teilen der Welt normalerweise eine Mischung aus Korsaren und Söldnern, die der Entität / dem Nationalstaat treu sind, die sie finanzieren, aber völlig erweiterbar und leugnbar sind, wenn es jemals Fragen zu ihrer Zugehörigkeit gibt.“
Aus diesem Grund werden die meisten Threat-Intelligence-Firmen die staatlich geförderte Zuschreibung mit Sätzen wie „Wir stellen mit geringem/mäßigem/hohem Vertrauen fest, dass XYZ hinter dem Angriff steckt“ und Außerdem können verschiedene Firmen unterschiedliche Quellen für einen bestimmten Angriff bestimmen. Wenn es für professionelle Cyber-Bedrohungsjäger so schwierig ist, die Schuldigen ausfindig zu machen, stellen Sie sich vor, wie schwierig es für Cyber-Versicherungssachverständige ist, die mit einem Bruchteil der Fähigkeiten arbeiten.
Wenn der Standard für den Beweis einer Kriegshandlung ein breiter Regierungskonsens ist, wirft dies ebenfalls Probleme auf, sagt Humeau.
„Die genaue Zuordnung von Angriffen zu Nationalstaaten würde eine länderübergreifende juristische Zusammenarbeit erfordern, die sich in der Vergangenheit als schwierig und langsam erwiesen hat“, sagt Humeau. „Die Idee, diese Angriffe Nationalstaaten zuzuschreiben, die es niemals zugeben werden, lässt rechtlich gesehen zu viel Raum für Zweifel.“
Eine existenzielle Bedrohung für Cyber-Versicherungen?
Für Thompson ist eine der Realitäten im heutigen Umfeld das schiere Volumen der staatlich geförderten Cyber-Aktivitäten im Umlauf. Bryan Cunningham, Anwalt und Beiratsmitglied des Datensicherheitsunternehmens Theon Technology, stellt fest, dass es tatsächlich nur sehr wenige Auszahlungen geben könnte, wenn immer mehr Versicherer einfach alle Ansprüche aus solchen Aktivitäten ablehnen. Und letztendlich sehen Unternehmen die Prämien für Cyber-Versicherungen möglicherweise nicht mehr als lohnenswert an.
„Wenn eine beträchtliche Anzahl von Richtern tatsächlich beginnt, Fluggesellschaften zu erlauben, die Deckung für Cyberangriffe auszuschließen, nur weil ein Nationalstaat beteiligt war, wird dies für das Cyberversicherungsökosystem so verheerend sein, wie es der 9. September (vorübergehend) für gewerbliche Immobilien war ," er sagt. „Infolgedessen glaube ich nicht, dass viele Richter dies akzeptieren werden, und der Beweis wird auf jeden Fall fast immer schwierig sein.“
Ilia Kolochenko, Chefarchitekt und CEO von ImmuniWeb, stellt dagegen fest, dass die Cyberkriminellen einen Weg finden werden, die Ausschlüsse zu ihrem Vorteil zu nutzen – was den Wert einer Richtlinie noch weiter untergräbt.
„Das Problem rührt von einer möglichen Nachahmung bekannter Cyber-Bedrohungsakteure her“, sagt er. „Wenn zum Beispiel Cyberkriminelle – unabhängig von irgendeinem Staat – den Schaden, der ihren Opfern zugefügt wird, vergrößern wollen, indem sie den eventuellen Versicherungsschutz ausschließen, können sie einfach versuchen, sich während ihres Eindringens als eine berühmte staatlich unterstützte Hacking-Gruppe auszugeben. Dies wird das Vertrauen in den Cyber-Versicherungsmarkt untergraben, da jede Versicherung in den schwerwiegendsten Fällen, die die Deckung tatsächlich erfordern und die gezahlten Prämien rechtfertigen, nutzlos werden kann.“
Die Frage der Ausschlüsse bleibt ungeklärt
Auch wenn der amerikanische Vergleich zwischen Mondelez und Zürich darauf hinzudeuten scheint, dass der Versicherer zumindest teilweise erfolgreich war (oder vielleicht keine Seite den Mut hatte, weitere Rechtskosten zu tragen), gibt es widersprüchliche Präzedenzfälle.
Ein weiterer NotPetya-Fall dazwischen Merck und ACE American Insurance über die gleiche Angelegenheit wurde im Januar beendet, als das Oberste Gericht von New Jersey entschied, dass sich der Ausschluss von Kriegshandlungen nur auf reale physische Kriegsführung erstreckt, was dazu führte, dass der Versicherer eine gehäufte Portion von 1.4 Milliarden US-Dollar für die Schadensregulierung zahlte.
Trotz der unruhigen Natur des Gebiets sind einige Cyber-Versicherer vorwärts gehen mit Kriegsausschlüssen, vor allem Lloyd's von London. Im August teilte der Marktexperte seinen Syndikaten mit, dass sie die Deckung für staatlich unterstützte Cyberangriffe ab April 2023 ausschließen müssen. Die Idee, so das Memo, sei es, Versicherungsunternehmen und ihre Versicherer vor katastrophalen Verlusten zu schützen.
Trotzdem bleibt der Erfolg einer solchen Politik abzuwarten.
„Lloyd's und andere Fluggesellschaften arbeiten daran, solche Ausschlüsse stärker und absoluter zu machen, aber ich denke, auch das wird letztendlich scheitern, weil die Cyber-Versicherungsbranche solche Veränderungen wahrscheinlich nicht lange überleben könnte“, sagt Cunningham von Theon.
