Der Flugverkehr war vielerorts erheblich eingeschränkt, Millionen von Computern waren ausser Betrieb: Nach der riesigen, weltweiten IT-Panne stellt sich die Frage: Wer bezahlt für die immensen, wirtschaftlichen Schäden?
Bei einem Hackerangriff würde die Cyberversicherung greifen. Doch Auslöser war ein Update einer der weltweit führenden IT-Sicherheitsfirmen: Crowdstrike.
Die Firmen dürfen deshalb nicht damit rechnen, dass die eigene Versicherung für entstandene Schäden einspringt. «In unseren allgemeinen Versicherungsbedingungen für Cyberversicherungen sind Schäden verursacht durch eine Fehlfunktion infolge einer neuen Installation – inklusive Updates, Releases, Patches und so weiter – explizit ausgeschlossen», erklärt man etwa bei den Helvetia-Versicherungen auf Anfrage.
Behebung wird teuer
Manche Versicherungen decken auf Wunsch zusätzlich noch menschliches Versagen im Umgang mit IT-Systemen ab. Doch im aktuellen Fall hat eine Funktion innerhalb des Updates versagt – und das ist kaum versicherbar.
Auch die Behebung des Problems wird Kosten verursachen: Crowdstrike kann die Computer und Systeme bei den betroffenen Unternehmen offenbar nicht aus der Ferne wiederherstellen. Fachleute müssen die Geräte einzeln zurücksetzen. Das kostet Zeit und Geld. Je nach vorhandenen Ressourcen müssen Firmen dafür externe IT-Leute aufbieten.
Kommt die Haftpflichtversicherung zum Zug?
Folglich dürften betroffene Konzerne bei Crowdstrike vorstellig werden. Da die Sicherheitsfirma einen Cyberangriff ausgeschlossen hat, «dürfte es sich bei allfälligen versicherungstechnischen Forderungen vor allem um Haftpflichtforderungen beim betroffenen Anbieter handeln», so die Einschätzung der Helvetia-Versicherungen. Auf die Versicherung von Crowdstrike dürfte einiges zukommen.
Auch bei Schäden durch Hackerangriffe oder menschliche Fehler zahlt eine Cyberversicherung nicht automatisch: Je nach Police kann eine Wartefrist von beispielsweise 10 oder 24 Stunden greifen. Erst danach werden Schäden übernommen. Zu einer langwierigen Einschränkung kann es beispielsweise kommen, wenn Hacker Daten im betriebsinternen System verschlüsselt haben und Lösegeld fordern.
Und dann wären da noch all die Flugpassagiere, die wegen der IT-Panne deutlich verspätet abgeflogen sind oder deren Flug ganz ausgefallen ist. Dank einer EU-Verordnung haben diese Anspruch auf einen Ersatztransport, für den die Airline aufkommen muss.