Der erste Versicherer schließt Schäden, die mit "Log4J" oder "Log4Shell" zu tun haben, aus.
„a) Von der Deckung ausgeschlossen sind alle Schäden und Kosten, die direkt oder indirekt durch die, als „Log4J“ oder „Log4Shell“ (CVE-2021-44228) bekannte Sicherheitslücke ausgelöst wurden oder kausal mit dieser in Zusammenhang stehen. Dies schließt auch künftig aus der genannten Sicherheitslücke resultierende Schäden und Kosten mit ein.“
Mit Stand vom 11.01.2022 haben wir noch keinen Cyber-Schaden in Zusammenhang mit dieser Sicherheitslücke bei einem Versicherer mitbekommen. Wir haben uns zudem mit 12 Versicherern ausgetauscht. Aktuell (12.01.22) gibt es "nur" einen Versicherer, der das ausgeschlossen hat.
Diese Sicherheitslücke sollte nicht unterschätzt werden und es wird auch in den Häusern darüber diskutiert, wie man damit umgehen soll.
Das Schadenspotential für bestimmte Unternehmen ist riesig, keine Frage. Die Frage ist, ob man solche Kunden auch im Bestand hat, viele der „normalen“ Standardkunden haben kein erhöhtes Risiko. Es kommt auf die eingesetzte Technik und die installierten Patches an.
Und auch hier stellt sich wieder die Frage, wenn es Pflicht ist Updates und Patches zu installieren, wäre die Sicherheitslücke damit geschlossen. Wird der Patch nicht installiert, dann könnte es dann dazu führen, dass es keinen Versicherungsschutz gibt, oder?
Wir sind gespannt, wie es in den nächsten Wochen weitergehen wird.
