Cybercrime oder Cyberwar?

Cyberversicherungen

2017 wurde der amerikanische Lebensmittelkonzern Mondelez (Toblerone, Stimorol, Milka u.v.a.) Opfer einer Cyberattacke mit der Malware Petya bzw. NotPetya. Mondelez hat eine Cyberversicherung bei der Schweizer Versicherungsgesellschaft Zurich. Diese weigert sich jedoch den Schaden von behaupteten US$ 100 Mio. (!) zu übernehmen. Zurich wendet ein, die Police mit Mondelez enthalte einen Passus, der Risiken aus „feindlicher oder kriegsähnlicher Handlung“ durch eine „Regierung oder souveräne Macht“ ausschliesst. In der Folge hat Mondelez bei einem Gericht im US-Bundesstaat Illinois gegen Zurich Klage eingereicht. Gemäss beim Gericht eingereichter Unterlagen wurden bei Mondelez 1’700 Server und 24’000 Laptops dauerhaft beschädigt.

Ueli Grüter zum Cyberstreit zwischen Mondelez und Zurich in der Sendung 10vor10 von SRF vom 07.02.2019

Beweislast liegt bei Zurich

Da es sich um einen Versicherungsausschluss handelt, muss Zurich nun beweisen, dass die Cyberattacke gegen Mondelez ein feindliche oder kriegsähnliche Handlung einer Regierung oder einer souveränen Macht war. Dies dürfte ein sehr schwierig zu erbringender Beweis sein, da er wohl nur mittels Informationen von Geheimdiensten möglich ist, die für einen Zivilprozess wohl schwierig zu bekommen sind. Kann Zurich den Beweis nicht erbringen, wird Zurich wohl zahlen müssen. Bei der Sache Mondelez versus Zurich dürfte es sich um einen Präzedenzfall handeln, wurden doch bis jetzt nur Fälle von Cybercrime und nicht von Cyberwar gerichtlich beurteilt.

Unterschied zwischen Cybercrime und Cyberwar

Der Unterschied zwischen Cybercrime und Cyberwar ist, dass Cybercrime von Privaten begangen wird, währenddem Cyberwar von einem Staat (oder einer Volksgruppe) ausgeht (s. auch Wikipedia zur Definition des Begriffs „Krieg“: https://de.wikipedia.org/wiki/Krieg).

Sind Cyberversicherungen sinnvoll?

Immer, wenn in einem Fall eine Versicherung eine Zahlung verweigert, stelle sich auch die Frage, ob sich ein solche Versicherung denn überhaupt lohnt. Dies kann man sich natürlich auch bei einer Cybersicherung fragen. Bei allen Versicherungen sind für diese Einschätzung folgende Punkte bzw. Fragen wichtig:

Welches sind die konkreten Risiken und sind sie durch die Versicherung wirklich gedeckt bzw. eben nicht ausgeschlossen?

Ist die Summe der Versicherungsdeckung genügend hoch?

Was ist bei Cyberversicherungen besonders zu beachten?

Da die Risiken für die Versicherungen im Bereich Cybercrime besonders hoch sind, neigen sie dazu, diverse Risiken vom Versicherungsschutz auszuschliessen. Aus diesem Grund ist es bei der Cyberversicherung besonders wichtig, genau hinzuschauen und auch das „Kleingedruckte“ zu lesen und kritisch zu hinterfragen. Wenn nicht klar ist, ob ein Risiko wirklich gedeckt ist oder Klauseln nicht klar sind, müssen diese Punkte unbedingt mit der Versicherung erörtert werden. In der Folge sollte sich eine Versicherung auch zur Deckung von strittige Risiken explizit und schriftlich bekennen.

Offensichtlich haben sich weder Mondelez, noch Zürich mit der Ausschlussklausel betreffend Cyberwar ausdrücklich befasst. Sonst würden sie sich jetzt nicht vor Gericht gegenüberstehen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch

Swisscom-Störungs-Debakel

„Dieser Anschluss ist vorübergehend nicht erreichbar. Bitte rufen Sie später wieder an.“

Diese und ähnliche Texte vom Swisscom-Automaten hörten Tausende von Leute, die auf Nummern von Swisscom-Geschäftskunden anriefen. In den letzten zwei Wochen waren Tausende von Unternehmen unter ihren Nummern nicht erreichbar. Durch diese Kommunikations-Blockade hatten einige Unternehemen offenbar sogar Geschäftseinbussen. Diese fragen sich, ob man für diese Telefonpanne die Swisscom belangen könne. Darüber hinaus möchten sie auch eine Rückertattung der Abo-Gebühr für die ungewöhnlich lange Zeit des Verbindungsunterbruchs. Swisscom selber schreibt in ihren Allgemeinen Geschäftsbedingungen (AGB), dass sie einerseits eine ungestörte Nutzung ihrer Infrastruktur nicht gewähren könne. Anderereits schliesst sie die Haftung für Schäden aus Störungen weitgehend aus oder beschränkt sie auf einen relativ geringen Betrag. Die Journalisten der Sendung 10vor10 von Schweizer Radio und Fernsehen SRF wollten von mir wissen, ob diese Wegbedinung von Gewährleistung und Haftung überhaupt durchsetzbar sei und ob sich die Betroffenen nicht trotzdem wehren können.

Reduktion der Abo-Gebühr ist denkbar

Die Gewährleistung bzw. Garantie kann effektiv immer wegbedungen werden. In den AGB der Swisscom wird die Gewährleistung aber nicht generell wegbedungen, sondern lediglich darauf hingewiesen, dass keine Gewähr für die dauernde ungestörte Nutzung der Infrastruktur geleistet werden könne. Dies ist bei jeder technischen Einrichtung naturgemäss so. In der vorliegenden Sache war das Telefonnetz aber nicht nur ein paar Stunden oder kurz zwischendurch gestört, sondern während Tagen. Es ist darum davon auszugehen, dass die Betroffenen für die ungewöhnlich lange Zeit des Unterbruchs auch effektiv eine Preisminderung und damit eine Rückvergütung eines Teils der Abo-Gebühr für den Monat Januar verlangen können.

Wegbedingung der Haftung dürfte nicht wirklich durchsetzbar sein

Gemäss Art. 100 des Schweizerischen Obligationenrechts (OR) kann die Haftung für die Nicht- oder Schlechterfüllung von Verträgen nicht vollumfänglich wegbedungen werden. Insbesondere ist eine Wegbedinung für grobe Fahrlässigkeit (Sorgfaltspflichtverletzung) und Absicht nicht möglich. Kommt bei der Swisscom dazu, dass sie als konzessioniertes Unternehmen gemäss Art. 100 OR die Haftung für den konzessionierten Teil ihrer Tätigkeit überhaupt nicht wegbedingen kann, also auch für leichte Fahrlässigkeit zwingend haftet. Damit ist es in der vorliegenden Sache auch diesbezüglich fraglich, ob die entsprechenden Bestimmungen der AGB der Swisscom überhaupt durchsetzbar sind. Sollten Unternehmen durch die Störungen der Swisscom-Telefon-Infrastruktur effetiv einen belegbaren Schaden erlitten haben, ist diesen zu raten, sich trotz dem Disclaimer in den AGB der Swisscom an diese zu wenden. Ein Prozess lohnt sich zwar erst ab einem Schaden von über CHF 10’000. Aufgrund eigener Erfahrungen kann ich mir aber vorstellen, dass Swisscom diese Fälle durchaus kulant erledigt. Falls die betroffenen Unternehmen eine Rechtsschutzversicherung haben, könnte evtl. auch bei kleineren Schäden ein gewisser Druck zur Kulanz auf Swisscom ausgeübt werden.

Zum Beitrag von 10vor10 von SRF vom 16.01.2018: http://bit.ly/2B80GK7

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch