Cyber / Silent Cyber als Emerging Risk
Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit auf IT-Systeme angewiesen und entsprechend anfällig auf Störungen verursacht durch Cyber-Risiken. Die Komplexität der Informationssicherheit ist im Fluss, und damit einhergehende Risiken werden oft unterschätzt.
Informationssicherheit umfasst unter anderem den Schutz der Vertraulichkeit von Informationen und Daten (Confidentiality), den Schutz vor unbefugter Veränderung von Daten (Integrity) und die Gewährleistung der Verfügbarkeit von kritischen IT-Systemen, wie beispielsweise solche von Zahlungssystemen, Krankenhäusern oder von der Energieversorgung. Folgende Risikobereiche lassen sich identifizieren:
- Ausfall oder Unterbrechung von kritischen Infrastrukturen der Informations- und Kommunikationstechnologie (Critical Information Infrastructure = CII-Breakdown) wie Stromversorgung und Transportbetriebe
- Online Daten- und Informationssicherheit (Online data and information security, z. B. Cloud Computing) in Bezug auf möglichen Datenverlust oder böswillige Datenveränderungen
- Informationsdiebstahl (Cyber Theft)
- Informationsspionage (Cyber Espionage)
- Informationskrieg und Terror (Cyber War and Cyber Terrorism)
Gefahren aus dem Internet sind vielfältig und umfassen traditionelle Viren, Würmer, Trojanische Pferde und Spyware, welche zu unwiederbringlichem Verlust von Daten, zur Beeinträchtigung der Privatsphäre, zum Verlust von Geschäftsgeheimnissen oder Informationen zu Handelspartnern führen können. Zu den Gefahren gehören aber auch Aktivitäten wie Phishing von Daten, die beispielsweise zu Kreditkartenmissbrauch führen können, Spam-Mails, die häufig nur lästig sind und kostbare Arbeitszeit stehlen, sowie «Cryptolocker» – auch Verschlüsselungsviren, Erpressungstrojaner oder Ransomware genannt – welche die Dateien unlesbar machen und meist gegen Be-zahlung eines Lösegelds in Krypto-Währungen wie «Bitcoin», «Ethereum» etc. wieder entschlüsselt werden können. Details zu den einzelnen Gefahren sind in den folgenden Quellen aufgeführt:
Das Nationale Zentrum für Cybersicherheit (NCSC) bietet aktuelle Informationen zur Sicherheit von Computersystemen und des Internets sowie zum Schutz der schweizerischen kritischen Infrastrukturen.
Neben den ausführlichen Halbjahresberichten publiziert das NCSC Newsletters und Blogs zur aktuellen Lage der Cybersicherheit. In der Schweiz wurde ein starker Anstieg von Betrugs-, Phishing- oder Erpressungs-Attacken festgestellt (Halbjahresbericht 2/2021). Daneben sind die nachstehenden Ereignisse illustrativ:
- Manipulationsversuche bei Wasserversorgung in Florida
Im Februar 2021 machte sich der Mauszeiger eines Steuerungscomputers in der Trinkwasseraufbereitung in Oldsmar, Florida, selbstständig. Der diensthabende Techniker konnte gerade noch einschreiten, als ein Eindringling aus der Ferne versuchte, den Natriumhydroxid-Pegel auf gesundheitsgefährdendes Niveau zu heben. Beinahe zum Verhängnis wurde der städtischen Infrastruktur eine ungenügend abgesicherte Fernzugriffsoftware, über die sich der Saboteur Zugang zum Gerät verschaffte, über welches die Steuerung der Trinkwasseraufbereitung bedient wurde. - SITA: Diebstahl von Passagierdaten
Die weltweit führende Anbieterin von Passagierabfertigungssystemen der Luftfahrtindustrie (Société Internationale de Télécommunications Aéronautiques (SITA)) war Ziel eines Cyberangriffs. Dabei wurden Pas-sagierdaten von diversen Fluggesellschaften 'abgegriffen'. Der Vorfall betraf Server, auf denen die Passagierdaten von verschiedensten Fluggesellschaften gespeichert sind.
Beispiele aus dem Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) «Die Lage der IT-Sicherheit in Deutschland 2021»:
- Ransomware-Angriff auf Universitätsklinikum in Nordrhein-Westfalen
Am 10. September 2020 kam es an einem Universitätsklinikum in Nordrhein-Westfalen (NRW) zu einem Ransomware-Angriff mit weitreichenden Folgen. Das Krankenhaus ist eine von sechs Universitätskliniken in NRW, die im bevölkerungsreichsten Bundesland die Grundpfeiler der Patientenversorgung darstellen sowie Forschung und Lehre vorantreiben. Es scheint, dass die Angreifer nicht primär die ambulante und stationäre Patientenversorgung zum Ziel hatten, sondern vielmehr die Universität.
Trotz des Angriffs konnte die medizinische Versorgung am Universitätsklinikum für bereits stationär behandelte Patientinnen und Patienten sichergestellt werden, jedoch musste sich das Krankenhaus an dreizehn aufeinanderfolgenden Tagen aufgrund des Ausfalls zentraler Systeme von der Notfallversorgung abmelden. Planbare und ambulante Behandlungen wurden abgesagt bzw. verschoben, und die Aufnahme neuer Patientinnen und Patienten wurde eingestellt. - Darkside (Ransomware-as-a-Service) Angriff auf US Pipeline-Betreiber Colonial Pipeline Company
Der US Pipeline-Betreiber Colonial Pipeline Company hat am 7. Mai 2021 einen Cyber-Angriff auf seine IT-Infrastruktur festgestellt. Colonial Pipeline Company betreibt nach öffentlicher Darstellung das grösste Pipeline-System für raffinierte Produkte in den USA. Colonial Pipeline Company nimmt eine Schlüsselposition bei der Versorgung von Kunden mit raffinierten Produkten entlang der Ostküste der USA ein. In der Folge des Angriffs schaltete der Pipeline-Betreiber sein Verwaltungsnetz ab und setzte vorsichtshalber den Betrieb der Pipeline aus. Diese Aussetzung sorgte für regionale Engpässe und Hamsterkäufe, beispielsweise von Benzin.
Meldungen über Diebstahl, Verfälschung oder Zerstörung persönlicher, elektronisch gespeicherter Daten, wie Kreditkarten-Informationen oder auch medizinische Daten (z. B. in Spitälern) durch Hacker haben in letzter Zeit zugenommen. So sind gemäss Recherchen des Beobachters im Jahr 2020 knapp 3'000 Unternehmen in der Schweiz Opfer von Cyberattacken gewesen . Neue Technologien, wie beispielsweise Quantum Computing, erlauben eine viel schnellere Entschlüsselung von Sicherheitscodes/Passwörtern und werden in den Händen von Hackern in Zukunft möglicherweise zu einer weiteren Erhöhung von Cyber-Attacken auf Schweizer Firmen führen .
Jedes Unternehmen und generell Organisationen mit einer grossen Menge gespeicherter persönlicher Daten (z. B. Mitarbeiter-, Kunden-, Patientendaten) sind hiervon betroffen. Diese Unternehmen sind verpflichtet, entsprechende Massnahmen zum Schutz der persönlichen Daten, der Datensicherheit und deren Wiederherstellung zu implementieren und zu unterhalten (Sorgfaltspflicht). Dies beinhaltet auch regelmässige Updates oder den Ersatz von Software, um allfällige Sicherheitslücken zu schliessen. Die «Wanna-Cry»-Attacke vom Mai 2017 hat deutlich aufgezeigt, dass es unabdingbar ist, die Software regelmässig zu überprüfen und entsprechende Anpassungen vorzunehmen. Diese Attacke hat Dutzende von Spitälern in Grossbritannien lahmgelegt sowie bei der Deutschen Bahn zu Ausfällen und auch beim Automobilhersteller Renault zu Produktionsbeeinträchtigungen geführt. Beim englischen nationalen Gesundheitsdienst (NHS) laufen knapp 5 Prozent der Computer auf dem praktisch ungeschützten Betriebssystem Windows XP. «NotPetya», ein auf die Zerstörung von Daten ausgerichteter, sogenannter Wurm, der sich von selbst verbreitete, wurde 2017 eingesetzt, um primär die Ukraine zu schädigen. Kollateral wurden aber verschiedene, weltweit tätige Unternehmen massiv geschädigt, wie z. B. der Logistiker Maersk (USD 300 Mio. Schaden) oder das Pharmaunternehmen Merck (USD 1.4 Mia. Schaden). Die Cyber Insurance-Versicherer argumentieren in Deckungsprozessen, dass die Cyberattacke ein Instrument der Russischen Föderation und Teil der andauernden Feindseligkeiten gegen die Ukraine gewesen sei . In der Folge sei dieser Schaden unter Anwendung des Ausschlusses «… verursacht durch feindselige oder kriegerische Aktionen in Zeiten von Frieden oder Krieg» nicht versichert. Abzuwarten ist, wieweit diese Argumentation gerichtlichen Beurteilungen standhält. Dieser Fall zeigt exemplarisch, wie wichtig eine präzise Formulierung von Ausschlüssen ist.
Zudem verschärfen sich die rechtlichen Anforderungen, wie z. B. im Fall eines Datenverlusts vorgegangen werden muss. In Amerika müssen alle betroffenen Personen über einen solchen Vorfall informiert werden, und in vielen Fällen muss ein «Credit Watch» offeriert werden, was den Missbrauch von Kreditkarten verhindern soll. Diese Massnahmen führen zu Folgekosten.
Risikowahrnehmung
Unbestritten ist die Abhängigkeit der Wirtschaft von Informationssystemen. In der Tagespresse werden regelmässig Berichte über Störungen und widerrechtliche Angriffe auf Informationssysteme aller Art publiziert. Neben den Angriffen auf persönliche und unternehmerische Daten stehen ganze Lieferketten im Fokus solcher Attacken oder sind im Sinne von Kollateralschäden davon betroffen.
Haftpflichtrechtliche Relevanz
Es besteht eine Tendenz in den USA bzw. in UK, dass als Folge des Verlustes von (vertraulichen) Daten vermehrt Schadenersatzklagen erhoben werden. Dieser Trend kann auch in Europa (bzw. in der Schweiz) beobachtet werden. Die Haftpflicht aus der absichtlichen rechtswidrigen Beeinträchtigung von kritischen Infrastrukturen, Computern, Netzwerken, Daten etc. ist sicher gegeben, auch wenn die Täter im Falle der Cyberkriminalität schwer zu ermitteln sein werden. Wenn der Versicherte durch sein Verhalten zum Schaden beigetragen hat, wie beispielsweise durch fahrlässigen Umgang mit Daten und/oder aufgrund mangelhafter Datensicherheit, kann auch er haftpflichtig werden.
Die Haftpflicht aus der Sorgfaltspflichtverletzung von Informationssystem-Betreibern und IT-Serviceprovidern (ISP) für Folgeschäden ist ebenfalls gut denkbar (z. B. Personenschäden in Spitälern, aber auch Sachschäden oder Umweltbeeinträchtigungen).
Haftpflichtversicherungstechnische Relevanz
Betriebshaftpflichtversicherung
Personen- und Sachschäden als Folge der Störung von Informationssystemen sind versichert. Es handelt sich aufgrund von Industrie 4.0 und der verbreiteten Vernetzung von Maschinen um ein immer wahrscheinlicheres Szenario, auch wenn mittlerweile die Informationssicherheit einen hohen Stellenwert in der Firmenpolitik aller Art von Unternehmungen hat. Reine Vermögensschäden aus der Unterbrechung von kritischen Infrastruktur- und Informationssystemen (wie z. B. von Elektrizitätswerken) können teilweise versichert werden.
In denjenigen Fällen, in welchen Cyber-Risiken nicht explizit ausgeschlossen sind (z. B. AVB Betriebshaftpflichtversicherung oder ZAB Nutzungsausfall), können Ansprüche aus der gesetzlichen Haftpflicht für Personen-, Sach- oder reine Vermögensschäden mitversichert sein ('silent cyber' cover).
Etwas weniger ausgeprägt als bei den Sachversicherungen, aber dennoch nicht zu unterschätzen, ist das Problem der «beabsichtigten» Cyberdeckungen in der traditionellen Betriebshaftpflichtversicherung. Fehlerhafte Steuerungssoftware oder eine Cyberattacke auf die Steuerungssoftware können beispielsweise dazu führen, dass der Betrieb einer Maschine Personen oder Sachen schädigt. Diese Art von Schäden ist grundsätzlich in den Betriebshaftpflichtversicherungen gedeckt, möglicherweise aber aufgrund fehlender Schadenerfahrung ungenügend in die Prämien eingerechnet.
Anders sieht es aus bei möglichen Deckungserweiterungen – beabsichtigt oder nicht – in den Betriebshaftpflichtversicherungen, welche zu einer Doppeldeckung mit speziellen Cyberversicherungen führen können. Beispielsweise die Erweiterung des Sachschadenbegriffs auf Datenverluste ohne vorangehenden Sachschaden, die Deckung gewisser reiner Vermögensschäden als Folge eines Cyber-Zwischenfalls (wie Verletzung von Persönlichkeitsrechten oder Medienhaftpflicht), Kosten für die Wiederherstellung der eigenen Daten, etc. Solche Deckungserweiterungen können problematisch sein und zu ungewollten Doppeldeckungen führen. Besonderes Augenmerk ist auf die Formulierung der Bedingungen zu legen, um allfällige Deckungsprozesse zu vermeiden.
Berufshaftpflichtversicherung (IT-Dienstleistungsunternehmen, Soft-/Hardware-Herstellung etc.)
Reine Vermögensschäden durch fehlerhaftes Erbringen von Dienstleistungen sind versicherbar. In der Regel sehen die Dienstleistungsverträge aber Haftungsbeschränkungen vor.
Vermehrt werden international, aber auch im schweizerischen Versicherungsmarkt, spezielle Cyber-Versicherungen angeboten. Diese Produkte decken in der Regel die Aufwendungen für die Wiederherstellung der eigenen Daten und Ertragsausfälle aus der Betriebsunterbrechung (First Party-Deckung) sowie Ansprüche Dritter aus der gesetzlichen Haftpflicht (Third Party-Deckung) für Schäden im Zusammenhang mit beispielsweise der Verletzung von Persönlichkeitsrechten und dem Missbrauch von Kreditkarteninformationen.
D&O-Haftpflichtversicherung
Inadäquate Kontrolle und unzureichende Sicherheitsstandards können zu grossen finanziellen Schäden bis hin zum Konkurs des Unternehmens führen. Als Folge davon sind Klagen gegen die Verantwortlichen der Unternehmen denkbar. Die Versicherungspolicen sehen in der Regel keinen Ausschluss für Schäden im Zusammenhang mit mangelhafter Informationssicherheit vor.
Zeithorizont für versicherte Ansprüche
Das Problem ist aktuell. Ansprüche aus all diesen vielfältigen Risiken sind jederzeit zu erwarten.
Definition «Emerging Risks»:
Neue Technologien und die Entwicklung der modernen Gesellschaft bieten neue Chancen, aber auch neue Gefahren. Solche neuartigen zukunftsbezogenen Risiken, die sich dynamisch entwickeln und eben nur bedingt erkennbar und bewertbar sind werden als «Emerging Risks» bezeichnet. Der Begriff «Emerging Risks» ist nicht einheitlich definiert. In der Versicherungsbranche werden damit üblicherweise Risiken bezeichnet, welche sich als mögliche zukünftigen Gefahr mit grossem Schadenpotenzial manifestieren.