Versicherer erwarten eine Welle von Entschädigungsansprüchen nach IT-Systemausfall

Versicherer können nach dem Ausfall von IT-Systemen mit einer Welle von Entschädigungsansprüchen von Unternehmen rechnen, die durch Aktualisierungen der Cybersicherheitsprogramme, gestörte Krankenhausbetriebe, stillgelegten Flugverkehr und gestörte Bankgeschäfte beeinflusst wurden, warnen Experten.

Am Freitagmorgen, kurz nach sieben Uhr Mitteleuropäischer Zeit, sendete das amerikanische Cybersicherheitsunternehmen CrowdStrike eine Warnung an seine Kunden, dass sein ‚Falcon Sensor‘-Programm Windows ‚zum Absturz bringt‘, was sich auf Computern als ‚blauer Bildschirm des Todes‘ äußert.

Das Unternehmen erklärte in der Warnung, wie Benutzer das Problem ‚manuell‘ lösen können, berichtet Reuters unter Berufung auf Erkenntnisse aus der Mitteilung von CrowdStrike.

Das Betriebssystem von Microsoft ist in IT-Systeme weltweit integriert, sodass sein Absturz aufgrund des Updates des Programms von CrowdStrike die Krankenhausbetriebe störte, den Flugverkehr und die Fernsehsendungen zum Stillstand brachte und die Bankgeschäfte störte.

– Versicherer bereiten sich auf Hunderte, wenn nicht Tausende von Entschädigungsansprüchen von Organisationen vor, die von dem Vorfall im Zusammenhang mit CrowdStrike betroffen sind – sagte Ryan Griffin, Partner bei McGill und Partners, der für Cyberangriffe verantwortlich ist.

Allerdings werden nicht alle Unternehmen Entschädigungen für verlorene Zeit und Geld erhalten.

Eine Standard-Policy für Betriebsunterbrechungen im Rahmen eines regulären gewerblichen Versicherungsprogramms deckt keine Verluste ab, die durch den Systemausfall am Ende der letzten Woche verursacht wurden, sagte Marcos Alvarez, Leiter der Versicherungen bei DBRS Morningstar. Es ist wahrscheinlich, dass nicht jede Cyber-Versicherungspolice, die Unternehmen separat erwerben, sie ebenfalls abdeckt.

– Einige Cyber-Versicherungspolicen schließen Vorfälle aus, die nicht das Ergebnis einer Absicht sind, Schaden zu verursachen – erklärt Nir Perry, CEO der Cyber-Risiko-Versicherungsplattform CyberWrite.

In solchen Fällen kann der wirtschaftliche Schaden in Milliardenhöhe gemessen werden, betont Perry und weist darauf hin, dass das Ereignis am Ende der letzten Woche eine ‚Versicherungs-Katastrophe‘ auslösen könnte.

Der Vorfall könnte auch rechtliche Schritte gegen CrowdStrike und Microsoft nach sich ziehen.

CrowdStrike und Microsoft haben auf die Anfrage von Reuters nach Kommentaren zu den Ansprüchen des Versicherungssektors nicht sofort reagiert.

Experten von Versicherungsunternehmen betonen, dass der Systemausfall am Ende der letzten Woche nicht als ‚höhere Gewalt‘ klassifiziert werden kann. Eine solche Klausel befreit Unternehmen von der Haftung für eine unvorhersehbare und unvermeidbare Katastrophe, die sie daran gehindert hat, vertragliche Verpflichtungen zu erfüllen.

– Das sollte durch Cyber-Versicherung abgedeckt sein… Ein solches Ereignis liegt nicht außerhalb unserer Kontrolle – erklärt Meredith Schnur, Leiterin der Cyber-Praxis in den USA und Kanada bei der Maklerfirma Marsh.