Rechtsanwalt Christian Drave nennt den Kriegsausschluss in den jüngst vom GDV vorgelegten Musterbedingungen für die Cyberversicherungen sogar eine Kampfansage. Der bisherige Ausschuss wird erheblich erweitert, und zwar mit Aussicht von Drave (Rechtskolumne des Versicherungsmonitor vom 04.03.2024) unklaren Regelungen und Formulierungen. Ausgeschlossen nach den neuen Bedingungen sind Versicherungsfälle oder -schäden aufgrund von Informationssicherheitsverletzungen, die durch einen Staat, im Auftrag oder unter Kontrolle eines Staates verursacht worden sind, wenn dadurch auch kritische Infrastrukturen im Umfang der Regelung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) in diesem oder einem anderen Staat ausgefallen oder beeinträchtigt sind.
Es reicht hier also schon, wenn durch einen solchen Angriff grundsätzlich kritische Infrastruktur betroffen ist. Der Versicherungsnehmer selbst muss eine solche aber gar nicht betreiben.
Auch wird der Versicherer durch die neuen Bedingungen zu einem guten Teil von seiner Beweislast befreit. Zur Beweisführung reicht es jetzt aus, wenn im Ergebnis einer forensischen Untersuchung der betroffenen Systeme objektive Hinweise für die Verbindung der Informationssicherheitsverletzung mit einem Staat vorliegen. Dazu wird es (aus Sicht der Versicherer) wohl schon ausreichen, wenn eine bestimmte Hackergruppe bekanntermaßen eine deutliche Nähe zu einem Staat bzw. dessen Regierung oder Regime hat.
Ob solche Klauseln wirksam sind, insbesondere einer AGB-Kontrolle standhalten können, wird man sehen müssen. Besser wäre es allerdings, wenn man eine solche Klausel gar nicht erst in seinen Versicherungsvertrag Einzug halten lassen würde. Man muss also schauen, ob sich dieser Bedingungsstandard allgemein durchsetzt, oder ob es Versicherer gibt, die (zugunsten der Versicherungsnehmer) hiervon abweichen.