Schweizer Bundesgericht
03.10.2023, 09:22 Uhr
Garmin-Versicherer muss nach Cyber-Erpressung Lösegeld erstatten
Nach einer Cyber-Erpressung von Garmin muss dessen britischer Versicherer für die bezahlte Lösegeldsumme aufkommen. Dies hat das Schweizer Bundesgericht entschieden.
Am 22. Juli 2020 wurde ein Teil der von Garmin betriebenen Systeme durch einen Angriff mit Ransomware (Erpressungs-Software) lahmgelegt. Die Täter forderten ein Lösegeld von 1500 Bitcoins für den Entschlüsselungscode. Dies entsprach damals ungefähr 13,5 Millionen Franken (14 Mio. Euro). Dies geht aus einem am Montag veröffentlichtem Urteil des Bundesgerichts hervor.
Garmin beauftragte eine auf Risikomanagement spezialisierte Firma mit den Verhandlungen und wandte sich an seine Versicherer – unter anderem an die britische Gesellschaft –, um eine Rückerstattung der Lösegeldsumme zu erhalten. Die Garmin-Systeme waren fünf Tage blockiert, was dem Unternehmen einen geschätzten Schaden von 15 Millionen US-Dollar verursachte.
Eine der Versicherungen weigerte sich zu zahlen. Sie berief sich auf einen Vorbehalt im Versicherungsvertrag, der Leistungen ausschliesst, wenn dadurch Sanktionen durch die US-Behörden drohen. Die Versicherung geht davon aus, dass der Angriff von Evil Corp durchgeführt wurde.
Es handelt sich dabei um eine Gruppe russischer Hacker, die auf einer Sperrliste des US-Finanzministeriums standen. Die Versicherung stützte ihre Annahme auf die Software Wasted-Locker, die der von dieser Gruppe verwendeten Software ähnlich ist und auf die an den Tag gelegte Vorgehensweise.
Diese Begründung wurde vom Zürcher Handelsgericht zurückgewiesen. Es erachtete die vom Versicherer herangezogenen Indizien nicht als unwiderlegbare Rückschlüsse auf die Beteiligung von Evil Corp. Zudem sei nicht nachgewiesen, dass eine Versicherungsleistung an Garmin zu einer Sanktion durch die Amerikaner führen würde.
Das Bundesgericht stützt in seinem Entscheid die Argumentation des Handelsgerichts. Es hat die Rügen des Versicherers abgewiesen. (Urteil 4A_206/2023 vom 17.8.2023)