Zusammenfassung

  • Merck gab bekannt, dass der Cyberangriff auf das Netzwerk am 27. Juni 2017 die weltweiten Betriebsabläufe, einschließlich Produktion, Forschung und Vertrieb, störte. Der Form-10-K-Bericht von 2017 gab an, dass der Angriff einen negativen Umsatzeffekt von etwa 260 Millionen US-Dollar hatte und Produktions- und Sanierungskosten in Höhe von 285 Millionen US-Dollar verursachte, abzüglich etwa 45 Millionen US-Dollar an Versicherungsentschädigungen.
  • Mercks Form 10-K von 2018 gab später an, dass die Umsätze 2018 durch den verbleibenden Auftragsstau um etwa 150 Millionen US-Dollar negativ beeinflusst wurden und dass Streitigkeiten mit bestimmten Versicherern über einige Versicherungsleistungen im Zusammenhang mit dem Cyberangriff von 2017 anhielten.
  • Das Berufungsgericht von New Jersey beschrieb das Versicherungsprogramm als 26 Allgefahren-Sachversicherungspolicen mit Gesamtdeckungssummen von 1,75 Milliarden US-Dollar über einem Selbstbehalt von 150 Millionen US-Dollar und gab an, dass die strittige Deckungssumme im Berufungsverfahren 699.475.000 US-Dollar betrug, knapp unter 40 Prozent der Gesamtdeckung von Merck für den Versicherungszeitraum.
  • Das gleiche Urteil bestätigte, dass der Ausschluss für feindselige/kriegerische Handlungen die Deckung unter den vorliegenden Umständen nicht ausschloss. Dies war eine Deckungsentscheidung, keine endgültige öffentliche Abrechnung aller Zahlungen, aller Versicherer oder aller Schadenskategorien.
  • Die Berufung vor dem Obersten Gerichtshof von New Jersey endete später durch Vergleich und Abweisung vor einer Entscheidung in der Sache. Öffentliche Berichte bezeichneten den Vergleich als vertraulich oder nicht offengelegt, daher sollte der Vergleich nicht als endgültige öffentliche Zuteilung der Zahlungen betrachtet werden.
  • Die dauerhafte Lektion zur Rechenschaftspflicht ist enger als die Legende: NotPetya machte Unternehmensresilienz, pharmazeutische Versorgungskontinuität, Verlustbuchhaltung, Zuordnung und Versicherungsgestaltung zu einem Teil desselben Beweisaufnahme.

NotPetya verwandelte gewöhnliche Unternehmensabhängigkeiten in Arzneimittelversorgungsrisiken

Mercks Erfahrung mit NotPetya ist bedeutsam, weil sie eine globale Windows-Domain-Störung mit pharmazeutischen Abläufen und anschließend mit dem Versicherungsschutz verknüpft. Der Vorfall war nicht nur ein Problem der Technologieabteilung. Merck teilte den Anlegern mit, dass der Cyberangriff auf das Netzwerk am 27. Juni 2017 die weltweiten Betriebsabläufe, einschließlich Produktion, Forschung und Vertrieb, störte. Ein Unternehmen, das Impfstoffe, verschreibungspflichtige Medikamente und Tiergesundheitsprodukte herstellt, kann eine solche Störung nicht als routinemäßige Endpunktbereinigung behandeln.

Der Kern des Unternehmensberichts beginnt in MercksForm 10-K von 2017. Merck erklärte, dass der Cyberangriff zu einer Störung der weltweiten Betriebsabläufe, einschließlich Produktion, Forschung und Vertrieb, führte. Es hieß, dass alle Produktionsstandorte zum Zeitpunkt der Einreichung wieder betriebsbereit waren und Wirkstoffe herstellten, formulierten, verpackten und Produkte versandten. Es hieß auch, dass die externe Produktion nicht beeinträchtigt wurde und Merck weiterhin Aufträge erfüllte und Produkte versandte. Diese Aussagen sind wichtig, weil sie Übertreibungen verhindern. Die öffentliche Einreichung besagt nicht, dass Merck die gesamte Arzneimittelversorgung weltweit auf unbestimmte Zeit eingestellt hat. Sie besagt, dass das Unternehmen eine ernsthafte Störung erlitt, während es weiterhin Produkte versandte und später alle Produktionsstandorte wiederherstellte.

Dieselbe Einreichung bezifferte die geschäftlichen Auswirkungen. Merck gab an, dass es nicht in der Lage war, Aufträge für bestimmte Produkte in bestimmten Märkten zu erfüllen, was sich negativ auf die Umsätze von 2017 in Höhe von etwa 260 Millionen US-Dollar auswirkte. Es wurden auch produktionsbezogene Aufwendungen, hauptsächlich ungünstige Produktionsabweichungen, sowie Sanierungsaufwendungen in den Kategorien Verwaltung und Forschung und Entwicklung erfasst, die sich im Jahr 2017 auf insgesamt 285 Millionen US-Dollar beliefen, abzüglich Versicherungsentschädigungen in Höhe von etwa 45 Millionen US-Dollar.

Merck rechnete auch damit, dass der verbleibende Auftragsstau die Umsätze von 2018 in bestimmten Märkten um etwa 200 Millionen US-Dollar negativ beeinflussen würde.

Mercks Kanal für öffentliche Einreichungen ist wichtig, weil dies keine beiläufigen Schätzungen in einem Presseinterview waren. DieSEC-Einreichungsseite für Anleger auf der Merck-Websiteleitet Anleger an den formellen Bericht weiter, und die Jahresberichte ordneten den Cyberangriff in die Diskussion über Risiken, Betriebsergebnisse und Versicherungen ein. Dadurch erhält der Vorfall eine öffentliche Rechenschaftsebene, die vielen Ransomware-Fällen fehlt. Die Einreichungen zeigen nicht die interne Schadensakte, aber sie zeigen die öffentliche Sicht des Managements auf Umsatzauswirkungen, Aufwandsrealisierung, Produktionswiederherstellung, Versicherungsentschädigungen und verbleibende Deckungsstreitigkeiten. Für Vorstände ist diese Kombination die minimal nützliche Form der Cyberverlust-Offenlegung: betriebliche Kategorie, finanzielle Kennzahl, Zeitraum, Wiederherstellungsstatus und Unsicherheit.

Diese erwartete Zahl änderte sich mit der Zeit. In seinemForm 10-K von 2018beschrieb Merck erneut den Cyberangriff von 2017 und sagte, dass die Umsätze von 2018 in bestimmten Märkten durch den Cyberangriff um etwa 150 Millionen US-Dollar negativ beeinflusst wurden. Die Einreichung wiederholte den Umsatzeffekt von etwa 260 Millionen US-Dollar im Jahr 2017 und die Aufwendungen in Höhe von 285 Millionen US-Dollar abzüglich etwa 45 Millionen US-Dollar an Versicherungsentschädigungen. Es hieß auch, dass Merck über Versicherungsschutz gegen Kosten aus Cyberangriffen verfügte, Zahlungen erhalten hatte und Streitigkeiten mit bestimmten Versicherern über die Verfügbarkeit von Versicherungsschutz für Ansprüche im Zusammenhang mit dem Cyberangriff von 2017 hatte. EinForm 10-Q für das dritte Quartal 2018zeigte den Übergang: Die Umsatzauswirkungen in den ersten neun Monaten des Jahres 2018 betrugen etwa 150 Millionen US-Dollar, einschließlich einer unwesentlichen Auswirkung im dritten Quartal, während die Produktions- und Sanierungskosten in den ersten neun Monaten des Jahres 2018 unwesentlich waren.

Diese Einreichungen sind nützlicher als grobe Verlustschätzungen, weil sie das Problem in betriebliche Kategorien unterteilen. Umsatzverluste waren mit unerfüllten Aufträgen in bestimmten Märkten verbunden. Produktionskosten waren mit ungünstigen Abweichungen und Wiederherstellung verbunden. Sanierungskosten waren mit Verwaltungs- und Forschungsarbeiten verbunden. Versicherungszahlungen wurden erhalten, aber nicht alle Deckungen waren unbestritten.

Ein Versorgungsausfall in der Pharmaindustrie wurde daher zu einem Beweisproblem: Was wurde verloren, wo, warum, wie lange, unter welchem Policenwortlaut, mit welchem Selbstbehalt und mit welchen Ausschlüssen?

Das Gerichtsverfahren gab dem Versicherungsstreit ein technisches Rückgrat

Der detaillierteste öffentliche Prozessbericht ist das Urteil der Appellate Division von New Jersey aus dem Jahr 2023, das über dasoffizielle PDF der New Jersey CourtsundJustias Kopie von Merck & Co., Inc. v. ACE American Insurance Co.verfügbar ist. Das Urteil ist kein technischer Vorfallsbericht und sollte nicht als vollständige forensische Akte von Merck gelesen werden. Es ist jedoch ungewöhnlich klar in Bezug auf die Teile der Akte, die für den Versicherungsstreit relevant waren.

Das Gericht beschrieb Merck als Kläger auf Feststellung unter 26 Allgefahren-Sachversicherungspolicen für Verluste durch den Malware-Angriff vom Juni 2017, bekannt als NotPetya. Das Versicherungsprogramm lief vom 1. Juni 2017 bis zum 1. Juni 2018 und hatte Gesamtdeckungssummen von 1,75 Milliarden US-Dollar über einem Selbstbehalt von 150 Millionen US-Dollar. Das Gericht sagte, die Parteien stritten über 699.475.000 US-Dollar Deckung, knapp unter 40 Prozent von Mercks Gesamtdeckung für den Versicherungszeitraum. Diese Zahlen sind nicht Mercks gesamte wirtschaftliche Kosten; sie sind die strittige Deckungssumme in diesem Berufungsverfahren.

Die Unterscheidung ist wichtig, weil ein Schaden größer oder kleiner als der Betrag sein kann, der in einem bestimmten Rechtsmittel verbleibt.

Das Urteil fasste auch zusammen, wie die Malware nach der dem Gericht vorliegenden Akte eindrang und sich verbreitete. Es beschrieb M.E.Doc, eine ukrainische Buchhaltungssoftwareanwendung, die von Merck und anderen in der Ukraine tätigen Unternehmen verwendet wurde, und einen kompromittierten Aktualisierungsmechanismus. Das Urteil sagte, Merck habe bösartige Aktualisierungen über einen in der Ukraine befindlichen Server erhalten, der automatisch nach neuen Versionen von M.E.Doc suchte. Es beschrieb NotPetya als Ransomware, die bestimmte Daten verschlüsselte, Systeme unzugänglich machte und infizierte Systeme funktionsunfähig hinterließ.

Innerhalb von neunzig Sekunden, so das Urteil, wurden etwa 10.000 Rechner in Mercks globalem Netzwerk infiziert; innerhalb von fünf Minuten etwa 20.000 Rechner; letztendlich wurden mehr als 40.000 Rechner infiziert.

Dieses Ausmaß erklärt, warum dies nicht nur ein Problem des lokalen ukrainischen Büros war. Die Malware erreichte ein globales Unternehmensnetzwerk schnell genug, um zentrale Resilienz, Identität, Patchen, Backup und Netzwerksegmentierung zu einem Teil desselben Rechenschaftsprotokolls zu machen. Das Gericht zitierte Mercks Position, dass NotPetya Produktionsanlagen und kritische Anwendungen offline schaltete und den Betrieb, einschließlich Produktion, Forschung und Entwicklung sowie Vertrieb, massiv störte. Dies ist die Sprache des Prozessdokuments, kein Ersatz für werkseitige Betriebsdetails.

Es stimmt jedoch mit Mercks SEC-Einreichungen überein, die Störungen in den Bereichen Produktion, Forschung und Vertrieb beschrieben.

Öffentliche technische Quellen unterstützen den allgemeinen Kontext von NotPetya. DerCISA-Hinweis zur Petya-Ransomwarewarnte im Juni 2017 vor der Kampagne und Schutzmaßnahmen. MicrosoftsAnalyse vom Juni 2017beschrieb die Malware als Kombination von Ransomware-Techniken mit wurmartiger Verbreitung und Missbrauch von Anmeldeinformationen. DasUK National Cyber Security Centreführte NotPetya später auf den russischen Militärgeheimdienst zurück, und dieErklärung des Weißen Hausesbezeichnete NotPetya als Teil eines rücksichtslosen und wahllosen Cyberangriffs. Diese öffentlichen Regierungserklärungen sind für den geopolitischen Kontext wichtig. Sie entschieden nicht automatisch über die versicherungsvertragliche Frage in New Jersey.

Die betrieblichen Kontrollen, die sich aus diesem technischen Kontext ergeben, sind bekannt, aber im großen Maßstab schwierig.NIST SP 800-61 Rev. 2beschreibt die Vorfallsbehandlung als Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung, Wiederherstellung und Nachbereitung. Bei einem Ereignis vom Ausmaß NotPetyas lassen sich diese Phasen nicht sauber trennen. Ein Unternehmen kann noch mit der Erkennung betroffener Hosts beschäftigt sein, während es bereits Netzwerksegmente eindämmt, dringende Geschäftssysteme wiederherstellt, Beweise sichert und die Führungsebene informiert. Der Punkt für Merck ist nicht, dass öffentliche Quellen beweisen, wie es jede Phase durchgeführt hat. Der Punkt ist, dass der Umfang des Ereignisses die Vorfallsbehandlung zu einer Frage der Unternehmensführung machte, nicht zu einer Helpdesk-Warteschlange.

Kontinuitätsrichtlinien unterstreichen dieselbe Lektion.NIST SP 800-34 Rev. 1ordnet die Notfallplanung um geschäftliche Auswirkungen, Wiederherstellungsprioritäten, alternative Verarbeitung und Plänetests an. DerCISA-Ransomware-Leitfadenbetont Vorbereitung, Backups, Eindämmung und Wiederherstellung für Ransomware-Vorfälle, während der zerstörerische Charakter von NotPetya bedeutet, dass es nicht als gewöhnliche wiederherstellbare Ransomware behandelt werden sollte. Diese Quellen weisen Merck keine Schuld zu. Sie helfen zu erklären, warum pharmazeutische Betriebe getestete Wiederherstellungspfade für Identität, Produktionsunterstützung, Freigabedokumentation, Vertriebssysteme und Versandaufzeichnungen benötigen, bevor Malware Zehntausende von Rechnern erreicht.

Die Kriegsausschlussentscheidung betraf den Policenwortlaut, nicht die moralische Zuschreibung

Der Rechtsstreit wird oft vereinfacht als „War NotPetya ein Kriegsakt?“ dargestellt. Das Berufungsurteil war differenzierter. Die Versicherer beriefen sich auf einen Ausschluss für feindselige/kriegerische Handlungen. Sie argumentierten, dass die Deckung ausgeschlossen sei, weil NotPetya angeblich von Akteuren orchestriert wurde, die für oder im Namen der Russischen Föderation handelten. Merck bestritt die Anwendbarkeit des Ausschlusses. Das Prozessgericht erließ ein Teilurteil zugunsten von Merck und stellte fest, dass der Ausschluss nicht anwendbar sei, um die Deckung auszuschließen. Die Appellate Division bestätigte dies.

Die Begründung des Urteils ist wichtig, weil sie die Zuschreibung von der Vertragsauslegung trennt. Das Gericht stellte fest, dass die Parteien über die Zuschreibung stritten und dass das Prozessgericht bei seinem Teilurteil nicht auf die Zuschreibungsfrage eingehen musste. Die Appellate Division erklärte, dass der klare Wortlaut des Ausschlusses die Auslegung der Versicherer nicht stütze. Sie erläuterte, dass der Ausschluss von Schäden durch feindselige oder kriegerische Handlungen einer Regierung oder souveränen Macht, in Kriegs- oder Friedenszeiten, die Beteiligung militärischer Aktionen erfordere.

Der Ausschluss besage nicht, dass Schäden, die aus einer von bösem Willen motivierten Regierungshandlung entstehen, ausgeschlossen seien.

Das Gericht konzentrierte sich auch auf die angemessene Formulierung der Police. Es stimmte mit dem Prozessgericht überein, dass den Versicherern bewusst war, dass Cyberangriffe verschiedener Art, manchmal von Nationalstaaten, häufiger geworden waren, sie jedoch den Policenwortlaut nicht änderten, um den Versicherungsnehmer angemessen darüber zu informieren, dass Cyberangriffe ausgeschlossen würden.

Das Berufungsgericht erklärte, dass der klare Wortlaut des Ausschlusses keinen Cyberangriff auf ein nichtmilitärisches Unternehmen abdecke, das Buchhaltungssoftware für kommerzielle Zwecke an nichtmilitärische Verbraucher bereitstelle, unabhängig davon, ob der Angriff von einem privaten Akteur oder einer Regierung oder souveränen Macht initiiert wurde. Es befand, dass die Versicherer ihrer Beweislast nicht nachgekommen seien, um zu zeigen, dass der Ausschluss auf NotPetya anwendbar sei.

Diese Entscheidung sollte präzise beschrieben werden. Sie besagt nicht, dass Cyberangriffe nie ausgeschlossen werden können. Sie besagt nicht, dass die staatliche Zuschreibung in jeder Police irrelevant ist. Sie besagt nicht, dass Kriegsausschlüsse keine zukünftige Anwendung auf Cyberoperationen haben. Sie macht Merck nicht schuldlos bei jeder Entscheidung zur Resilienz. Sie besagt, dass unter den Policen und Umständen vor diesem Gericht die Versicherer nicht gezeigt haben, dass der Ausschluss für feindselige/kriegerische Handlungen die Deckung ausschließt.

Diese Unterscheidung ist der Punkt, an dem die Versicherungsrechenschaft betrieblich wird. Versicherer kontrollieren die Ausarbeitung, Ausschlüsse, Unterlimits, Endorsements, Underwriting-Fragen und die Prämiengestaltung. Versicherungsnehmer kontrollieren, wie sie Vermögenswerte, Unterbrechungsrisiken, Wiederherstellungsziele und Cyberabhängigkeiten beschreiben. Gerichte kontrollieren die Auslegung des Policenwortlauts nach einem Streitfall.

Wenn eine vor dem Schaden verkaufte Police staatlich gesteuerte Cyberoperationen nicht klar ausschließt, kann ein Versicherer dem Risiko ausgesetzt sein, dass die gewöhnliche Allgefahren-Sachversicherungssprache mehr abdeckt als später beabsichtigt. Wenn ein Versicherungsnehmer sich auf die Sachversicherung als Instrument zur Übertragung von Cyberverlusten verlässt, kann er jahrelang Rechtsstreitigkeiten ausgesetzt sein, bevor das Geld sicher ist.

Der Fall Merck fragte daher nicht nur, ob NotPetya schlimm war. Alle waren sich einig, dass es zerstörerisch war. Er fragte, wer dieses Cyberrisiko in ein vertraglich zugewiesenes Sachrisiko umgewandelt hatte und ob der Ausschlusswortlaut klar genug war, um den Schaden auf Merck zurückzuverlagern. Die Antwort des Gerichts fiel zu Gunsten von Merck zu diesem Ausschluss aus. Der spätere Vergleich beendete den verbleibenden Rechtsstreit ohne eine endgültige öffentliche Zahlungsaufteilung.

Der Vergleich beendete die Berufung, nicht die öffentliche Beweislücke

Nach der Entscheidung der Appellate Division beantragten die Versicherer die Überprüfung durch den Obersten Gerichtshof von New Jersey. Öffentliche Berichte vom Januar 2024 besagten, dass Merck und die Versicherer vor der geplanten mündlichen Verhandlung einen Vergleich geschlossen hätten.Reuters berichtete, dass Merck sich mit Versicherern über den NotPetya-Cyberangriffsanspruch geeinigt habe, undInsurance Journal berichtete, dass die Vergleichsbedingungen nicht offengelegt wurden.Cybersecurity Dive berichtete ebenfalls, dass die Parteien den hochkarätigen Versicherungsstreit beigelegt hätten, bevor der Oberste Gerichtshof von New Jersey entscheiden konnte. Öffentliche Rechtsberichterstattung und das Gerichtsprotokoll beschrieben die Abweisung nach einem Vergleich, nicht eine Sachentscheidung des höchsten Gerichts des Bundesstaates.

Dieser Endzustand ist wichtig. Das Urteil der Appellate Division bleibt eine bedeutende veröffentlichte Deckungsentscheidung, aber der Oberste Gerichtshof erließ keine endgültige Sachentscheidung. Der Vergleich offenbarte nicht öffentlich, wie viel jeder Versicherer zahlte, ob jede strittige Deckungskategorie bezahlt wurde, wie Verteidigungskosten und Zinsen behandelt wurden oder ob eine Seite nichtöffentliche Positionen beibehielt. Für die öffentliche Rechenschaftspflicht ist der Vergleich ein Beweis dafür, dass die Parteien den Streit beigelegt haben, nicht ein Beweis einer vollständigen öffentlichen Schadensverteilung.

Deshalb ist es riskant, sich auf eine einzelne Schlagzahl als „Mercks NotPetya-Kosten“ zu beziehen. Die Gerichtsakte beschrieb 699.475.000 US-Dollar strittige Deckung im Berufungsverfahren. Nachrichtenberichte beschrieben einen breiteren Anspruch, den öffentliche Berichte oft auf etwa 1,4 Milliarden US-Dollar rundeten. Mercks Einreichungen gaben separat Umsatz- und Aufwandsauswirkungen für 2017 und 2018 an und beschrieben Versicherungsentschädigungen. Diese hängen zusammen, sind aber nicht dasselbe Maß. Ein Versicherungsanspruch kann Sachschaden, Betriebsunterbrechung, Mehrkosten und andere versicherte Kategorien umfassen.

Ein Umsatzeffekt ist eine Umsatzkennzahl. Produktionsabweichung ist eine buchhalterische Aufwandskategorie. Ein Vergleich ist eine ausgehandelte Lösung. Sie austauschbar zu behandeln, würde die Aufzeichnung sicherer erscheinen lassen, als sie ist.

Die Beweislücke ist besonders wichtig für die Cyberrisikomärkte. Versicherer, Makler, Unternehmensrisikomanager, Vorstände und öffentliche Stellen beobachteten Merck, weil die Entscheidung die Erwartungen an den Cyberverlust unter Sachversicherungen beeinflusste. Der öffentliche Vergleich liefert jedoch keine endgültige gerichtliche Regelung durch den Obersten Gerichtshof von New Jersey und keine öffentliche versicherungsmathematische Abrechnung. Versicherer könnten dennoch durch Änderung des Wortlauts reagieren.

Versicherungsnehmer könnten dennoch durch den Kauf spezieller Cyberdeckungen, die Forderung nach klareren Kriegsausschlüssen oder die sorgfältigere Zuordnung von Sach- und Cyberüberschneidungen reagieren. Die Marktlektion ist nicht, dass Mercks Tatsachenmuster immer eine Deckung ergibt. Es ist, dass mehrdeutiger oder alter Wortlaut eine enorme Cyberverlustallokation jahrelang ungelöst lassen kann.

Pharmazeutische Kontinuität hatte ein anderes öffentliches Interessenprofil

Die NotPetya-Aufzeichnung unterscheidet sich von vielen Unternehmens-Malware-Geschichten, weil Mercks betroffenes Geschäft Impfstoffe und Medikamente umfasste. Öffentliche Einreichungen identifizieren pharmazeutische Produkte und Tiergesundheitsprodukte auf globalen Märkten. Ein pharmazeutischer Hersteller verliert nicht nur die Büroproduktivität, wenn ein Cyberangriff Produktions- und Versandsysteme trifft.

Er kann vor Produktallokationsentscheidungen, Chargenfreigabeverzögerungen, Marktknappheit, Bestandsunsicherheit, Herausforderungen bei temperaturgeführter Logistik, regulatorischen Dokumentationsproblemen und Konsequenzen für Patienten oder Leistungserbringer stehen. Die öffentliche Aufzeichnung erlaubt keine vollständige produktbezogene Schadenskartierung, aber Mercks eigene Einreichungen zeigen, dass bestimmte Aufträge in bestimmten Märkten nicht erfüllt werden konnten.

Der Form 10-K von 2017 gab auch an, dass die vorübergehende Produktionseinstellung zu Mercks Unfähigkeit beitrug, die höhere als erwartete Nachfrage nach Gardasil 9 zu decken. Diese Aussage sollte sorgfältig behandelt werden. Sie bedeutet nicht, dass NotPetya allein das gesamte Nachfrage-Angebots-Ungleichgewicht für diesen Impfstoff verursacht hat. Sie bedeutet, dass Merck die Einstellung als beitragenden Faktor identifizierte. Der Artikel sollte dies nicht zu einer öffentlichen Feststellung von Patientenschäden, regulatorischen Verstößen oder einer umfassenden Impfstoffknappheit aufblähen, die allein durch Malware verursacht wurde.

Der Punkt ist präziser: Malware-Wiederherstellung kann mit Produktionskapazität und -nachfrage auf eine Weise kollidieren, die außerhalb der eigenen Buchhaltung des Unternehmens von Bedeutung ist.

Die Kontinuität des öffentlichen Sektors ist Teil dieser Geschichte, auch wenn Merck ein privates Unternehmen ist. Regierungen, öffentliche Gesundheitsprogramme, Krankenhäuser, Kliniken, Apotheken, Schulen und Patienten können auf eine stetige pharmazeutische Versorgung angewiesen sein. Wenn ein Hersteller bestimmte Aufträge in bestimmten Märkten nicht erfüllen kann, können die Folgen in Beschaffungssysteme und Gesundheitsdienstplanung übergehen. DasFDA-Programm zu Arzneimittelengpässenzeigt, wie die Verfügbarkeit von Arzneimitteln als öffentliches Anliegen behandelt wird, auch wenn die FDA-Seite keine Feststellung zu Mercks NotPetya-Ereignis ist. Die öffentliche Interessenperspektive ist durch die Art der Produkte gerechtfertigt, nicht durch eine öffentliche Feststellung, dass NotPetya einen bestimmten gesetzlichen Engpass verursacht hat.

Kleine und mittlere Unternehmen tauchen ebenfalls nachgelagert auf. Unabhängige Kliniken, Apotheken, Vertriebshändler, Tierarztpraxen und lokale Gesundheitsdienstleister haben möglicherweise keinen direkten Zugang zu Mercks betrieblichen Wiederherstellungsnachweisen. Sie sehen Verfügbarkeit, Substitutionen, Rückstände und Kommunikation. Wenn ein Hersteller sagt, dass Aufträge in bestimmten Märkten nicht erfüllt werden können, benötigen kleinere Gegenparteien transparente Status- und faire Allokationssignale. Sie können kein globales Unternehmenswiederherstellungsprojekt einsehen.

Diese Asymmetrie ist der Grund, warum die Kontinuitätsaufzeichnung für mehr als nur Aktionäre und Versicherer wichtig ist.

Die Sprache der Betriebskontinuität ist hier hilfreich, weil sie die Analyse an der Lieferung und nicht am Drama festmacht.ISO 22301beschreibt das Kontinuitätsmanagement um die Fähigkeit einer Organisation, Produkte und Dienstleistungen innerhalb akzeptabler Zeitrahmen und Kapazitäten weiterhin zu liefern. Für ein pharmazeutisches Unternehmen ist dieses Konzept konkret: Wirkstoffproduktion, Formulierung, Verpackung, Qualitätsfreigabe, Versand, Marktallokation, Kundendienst und regulatorische Dokumentation müssen nach einem störenden Cyberereignis wieder zusammenfinden. Die öffentliche Aufzeichnung beweist nicht, dass jede dieser Funktionen bei Merck ausgefallen ist, aber Mercks eigene Einreichungen bestätigen, dass Produktion, Forschung, Vertrieb, Aufträge und Auftragsbestand ausreichend betroffen waren, um eine Offenlegung zu erfordern.

Die Dimension der öffentlichen Gesundheit verkompliziert auch die Kostenallokation. Wenn ein Unternehmen zusätzliche Ausgaben tätigt, um ein Produkt verfügbar zu halten, kann dies in einer Aufzeichnung wie eine finanzielle Belastung und in einer anderen wie ein Kontinuitätserfolg aussehen. Wenn es Aufträge in bestimmten Märkten nicht erfüllen kann, kann dies als Umsatzverlust erscheinen, während Gegenparteien es als Beschaffungsstress erleben. Wenn die externe Produktion nicht beeinträchtigt ist, wie Merck angab, kann dies zur Aufrechterhaltung der Versorgung beitragen, beseitigt jedoch nicht die internen Wiederherstellungskosten.

Versicherung und öffentliche Rechenschaft stellen daher unterschiedliche Fragen: Der Versicherer fragt, ob die Ausgabe in die Police passt; die Öffentlichkeit fragt, ob wesentliche Produkte mit fairen und genauen Informationen weiterhin bewegt wurden.

Dieser Unterschied sollte die Übungen zur Vorfallsbewältigung prägen. Eine pharmazeutische Cyberübung, die endet, wenn Systeme wiederhergestellt sind, verfehlt die Versorgungsfrage. Die Übung sollte fragen, welche Produkte eingeschränkt sind, welche Märkte gefährdet sind, welche regulatorischen Freigabedokumente verzögert sind, welche Kunden Allokationsrichtlinien benötigen und welche öffentlichen Stellen möglicherweise eine Frühwarnung benötigen. Sie sollte auch fragen, welche Beweise für Versicherer aufbewahrt werden und welche Beweise für die Versorgungssicherheit aufbewahrt werden. Diese hängen zusammen, sind aber nicht identisch.

Ein Versicherer benötigt möglicherweise Rechnungen, Systemwiederherstellungskosten, Berechnungen zur Betriebsunterbrechung und Unterstützung der Kausalität. Ein Interessenträger im öffentlichen Gesundheitswesen oder im Beschaffungswesen benötigt möglicherweise Status, Allokationsbegründung, Ersatzzeitplan und die Gewissheit, dass die Produktqualitätsaufzeichnungen intakt bleiben.

Die getrennte Aufbewahrung dieser Akten verhindert zwei Fehler. Der erste Fehler besteht darin, die Versicherungssprache die öffentliche Geschichte definieren zu lassen. Der Deckungsumfang kann von Policenwortlaut, Selbstbehalten, Ausschlüssen und Beweiskategorien abhängen, die sich nicht sauber auf Patienten- oder Leistungserbringerkonsequenzen abbilden lassen. Der zweite Fehler besteht darin, dass öffentliche Beruhigung die Beweise für den Anspruch zerstört.

Ein Unternehmen, das unter Druck steht zu sagen, „die Versorgung ist in Ordnung“, kann die Aufzeichnung vereinfachen, die es später benötigt, um unerfüllte Aufträge, Produktionsabweichungen oder Mehrkosten zu erklären. Ein ausgereiftes Wiederherstellungsprogramm sollte gleichzeitig sagen können, was über die Produktverfügbarkeit bekannt ist und was noch für die finanzielle Wiederherstellung dokumentiert wird.

Unternehmensresilienz kontrollierte den ersten Verlust; Beweise kontrollierten den zweiten

Die erste Frage zur Rechenschaftspflicht von Merck ist operativer Natur: Warum verbreitete sich NotPetya so schnell und verursachte so viel Schaden? Die öffentliche Aufzeichnung beschreibt eine vertrauenswürdige Drittanbieteranwendung, automatische Aktualisierungen, Command-and-Control-Fähigkeit, die als normale Update-Überprüfungen getarnt war, und schnelle Verbreitung innerhalb des globalen Netzwerks von Merck. Sie beschreibt auch mehr als 40.000 infizierte Rechner.

Dies weist auf häufige Probleme der Unternehmensresilienz hin: Abhängigkeit von vertrauenswürdigen Update-Kanälen, Segmentierung, Gefährdung von Anmeldeinformationen, Windows-Domain-Reichweite, privilegierter Zugriff, Backup-Isolation, Kartierung von Anwendungsabhängigkeiten und die Fähigkeit, Kernabläufe wiederherzustellen, während der Angriff eingedämmt wird.

Öffentliche Quellen liefern nicht genügend Details, um Mercks Kontrollen vor dem Vorfall genau zu bewerten. Sie veröffentlichen nicht die Domänenarchitektur, das Modell für privilegierte Konten, den Patch-Status, die Backup-Topologie, die Zeitleiste zur Endpunkt-Erkennung, die Disaster-Recovery-Tests oder das Segmentierungsdesign der Produktionssysteme. Die Gerichtsakte und Einreichungen zeigen jedoch, dass die Folge Produktion, Forschung und Vertrieb betraf. Dies reicht aus, um die rechenschaftspflichtigen Kontrollkategorien zu identifizieren, ohne vorzugeben, interne Fakten zu kennen.

Ein Unternehmen von Mercks Größe muss wissen, welche Unternehmenspfade Produktionsanlagen und kritische Anwendungen offline schalten können und wie schnell diese Pfade getrennt werden können.

Die zweite Frage zur Rechenschaftspflicht betrifft die Beweisführung: Nachdem der Schaden eingetreten war, wer konnte beweisen, was er war? Merck musste beschädigte Systeme, unterbrochene Abläufe, Mehrkosten, Umsatzauswirkungen, Produktionsabweichungen, Wiederherstellungsarbeiten, Versicherungsentschädigungen und Policendeckung dokumentieren. Versicherer mussten Kausalität, Deckungsumfang, Ausschlüsse, Selbstbehalte, Grenzen und Zuordnung bewerten. Der Streit über den Ausschluss für feindselige/kriegerische Handlungen zeigt, wie technische Beweise und Policenwortlaut miteinander verwoben werden.

Ob NotPetya über M.E.Doc kam, ob es mit einem staatlichen Akteur verbunden war, ob es Daten und Software beschädigte, ob der Schaden direkt war und ob der Policenwortlaut ihn ausschloss, all dies war von Bedeutung.

Diese Beweislast kann das Wiederherstellungsverhalten beeinflussen. Während eines Vorfalls muss ein Unternehmen den Betrieb schnell wiederherstellen. Während eines Versicherungsanspruchs muss es Aufzeichnungen aufbewahren. Diese Ziele können in Konflikt geraten. Systeme müssen möglicherweise wiederhergestellt werden, bevor jedes Artefakt gesichert ist. Manuelle Workarounds erzeugen möglicherweise nicht automatisch gewöhnliche Geschäftsunterlagen. Umsatzauswirkungen können mit Nachfrageänderungen, Bestandsbeschränkungen und Marktverhalten vermischt sein. Produktionsabweichungen können mehrere Ursachen haben.

Die Versicherungserstattung hängt daher von einer Disziplin der Verlustbuchhaltung ab, die vor einem Cyberangriff bereit ist, nicht erst danach erfunden wird.

Die Merck-Einreichungen zeigen im Vergleich zu vielen Vorfällen eine ausgereifte öffentliche Buchhaltungsspur. Sie gaben spezifische Umsatz- und Aufwandsauswirkungen an, identifizierten Versicherungsentschädigungen, revidierten den erwarteten Umsatzeffekt für 2018 im Jahresverlauf und legten Versichererstreitigkeiten offen. Dennoch legte die öffentliche Aufzeichnung die zugrunde liegende Schadensakte nicht offen. Sie sagte nicht, welche Policen welche Beträge zahlten, wie jede Kategorie angepasst wurde oder wie Vergleichserlöse zugeordnet wurden.

Die öffentliche Rechenschaftspflicht kann die Vertraulichkeit respektieren und dennoch fragen, ob Vorstände und Risikomanager genügend nichtöffentliche Beweise haben, um aus dem Vorfall zu lernen.

Diese nichtöffentlichen Beweise sollten reichhaltiger sein als die öffentlichen Zahlen. Sie sollten einen Systemausfall mit einer Produktionsabweichung, einen Rückstand mit einem Markt, eine Mehrkosten mit einer Wiederherstellungsentscheidung und einen Versicherungsanspruch mit dem Policenwortlaut verknüpfen. Sie sollten ausfallbedingte Umsatzverluste von Nachfrageverschiebungen, Bestandseinschränkungen, geplanter Wartung und gewöhnlicher kommerzieller Volatilität unterscheiden.

Sie sollten festhalten, warum ein manueller Workaround verwendet wurde, wer ihn genehmigt hat und ob er das Risiko für die öffentliche Gesundheit oder nur den finanziellen Verlust verringert hat. Ohne dieses Bindegewebe kann die Organisation wissen, dass sie Geld ausgegeben hat, aber nicht, ob die Ausgabe die Widerstandsfähigkeit verbessert hat.

Dieselben Beweise können eine bessere Prävention unterstützen. Wenn die teuersten Verluste aus dem Wiederaufbau von Endpunkten resultierten, rücken Segmentierung und Endpunkt-Wiederherstellungskapazität auf der Investitionsliste nach oben. Wenn das schwierigste Beweisproblem aus dem Auftragsbestand resultierte, benötigen Auftrags- und Allokationsaufzeichnungen eine widerstandsfähigere Erfassung. Wenn der größte Streit aus dem Policenwortlaut resultierte, benötigt der Risikotransfer eine klarere Überprüfung der Platzierung.

Wenn die tiefste öffentliche Besorgnis aus der Arzneimittelverfügbarkeit resultierte, sollten Wiederherstellungsübungen die Kommunikation mit der Versorgungskette und den Kunden umfassen, nicht nur die Serverwiederherstellung. Eine Schadensakte, die nur Rechtsstreitigkeiten unterstützt, ist weniger wertvoll als eine Schadensakte, die auch die Kontrollen des nächsten Jahres verändert.

Die Lektion für die Vorstandsebene ist, dass das Beweisdesign vor dem Schaden festgelegt werden sollte. Die Teams für Recht, Finanzen, Versicherung, Produktion, Versorgung, Cybersicherheit, Qualität und Kommunikation benötigen eine gemeinsame Sprache dafür, was als Ausbruchsbeginn, Funktionswiederherstellung, Produktallokation, Mehrkosten, verlorener Umsatz, manueller Workaround und endgültige Wiederherstellung gilt.

Wenn jedes Team seine Definitionen während einer Krise erfindet, kann das Unternehmen den Betrieb wiederherstellen, verliert aber den roten Faden, der zur Verbesserung der Kontrollen und zur Unterstützung von Ansprüchen erforderlich ist. NotPetya hat gezeigt, dass Wiederherstellungsnachweise kein Papierkram im Nachhinein sind; sie sind Teil der Resilienz selbst. Diese Beweise sollten Führungswechsel, Prozessdruck und Markterinnerung überstehen.

Der Versicherungswortlaut änderte sich, weil der Markt lernte

Ein Grund, warum der Merck-Streit Aufmerksamkeit erregte, ist, dass er eine Diskrepanz zwischen Cyberrisiko und traditionellem Sachversicherungswortlaut aufdeckte. Bevor spezielle Cyber-Policen ausgereift waren, verließen sich viele Unternehmen teilweise auf Sachversicherungsprogramme für Sachschaden, Betriebsunterbrechung, Mehrkosten und Daten- oder Softwareverlust. NotPetya zeigte, dass Malware sachähnliche Schäden in einem Ausmaß verursachen kann, das historisch mit Katastrophen verbunden ist, während sie dennoch über Software und geopolitische Konflikte geliefert wurde.

Die Versicherungsmärkte reagierten im Laufe der Zeit mit expliziteren Cyber- und Kriegsklauseln. Lloyd's veröffentlichte später Marktrichtlinien zu Cyberangriffsausschlüssen, einschließlich staatlich gestützter Cyberangriffssprache, durch öffentliche Marktbulletins wieLloyd's Market Bulletin Y5381. Das Lloyd's-Bulletin ist nicht Teil der gerichtlichen Entscheidung im Fall Merck und entscheidet nicht rückwirkend über Mercks Policen. Es ist relevant, weil es zeigt, dass der Markt versucht, explizitere Allokationsregeln nach Erfahrungen mit schwerwiegenden Cyberverlusten zu entwerfen.

Ein klarerer Wortlaut kann beiden Seiten helfen. Versicherer müssen wissen, welche systemischen Cyberrisiken sie bepreisen. Versicherungsnehmer müssen wissen, ob Sach-, Cyber-, Kriminalitäts- und Spezialpolicen auf Malware reagieren, die Systeme beschädigt und Abläufe unterbricht. Regierungen und kritische Infrastrukturkunden müssen wissen, ob Lieferanten nach einer Cyberkatastrophe über glaubwürdige Risikotransfer- oder Selbstversicherungskapazitäten verfügen. Mehrdeutigkeit kann bei der Platzierung Flexibilität bewahren, nach einem Schaden jedoch zu kostspieliger Unsicherheit werden.

Der Punkt der Rechenschaftspflicht ist nicht, dass die Versicherer falsch daran taten, sich Sorgen um die Kumulierung staatlich gesteuerter Cyberrisiken zu machen. Sie hatten ein echtes Aggregationsproblem: Ein einziges Malware-Ereignis könnte viele Versicherte über Grenzen und Sektoren hinweg treffen. Der Punkt ist, dass die Kumulationsbedenken eines Versicherers in einen spezifischen, klaren, verständlichen und hervorgehobenen Policenwortlaut übersetzt werden müssen. Das Gericht von New Jersey entschied, dass der vorliegende Ausschluss für feindselige/kriegerische Handlungen diese Arbeit für NotPetya nicht leistete.

Für Versicherungsnehmer ist die Lektion ebenso anspruchsvoll. Der Abschluss einer Versicherung ersetzt nicht die Resilienz. Merck musste dennoch den Betrieb wiederherstellen, Aufträge verwalten, Verluste verbuchen, Beweise sichern und weiterhin Produkte liefern. Der Versicherungsrechtsstreit dauerte Jahre. Wenn die Kontinuitätsplanung davon ausgeht, dass eine Versicherungszahlung schnell genug eintrifft, um die betriebliche Störung zu beheben, ist es keine Kontinuitätsplanung. Versicherung ist ein Instrument zur finanziellen Wiederherstellung, kein Werkzeug zum Neustart von Anlagen.

Der Platzierungsprozess benötigt auch technische Beteiligung. Ein Vorstand kann einen Sachversicherungsturm, eine Cyber-Police und eine Captive-Struktur genehmigen, aber die Personen, die die Produktionsabhängigkeiten verstehen, kennen oft die realen Verlustszenarien. Kann Malware Rezept-, Chargen-, Freigabe- oder Versanddaten so beschädigen, dass der Sachversicherungswortlaut dies erkennt? Folgt die Betriebsunterbrechungsdeckung dem Schaden an Software und Daten oder nur an physischer Ausrüstung?

Sind Mehrkosten für alternative Produktion, manuelle Qualitätsarbeit, externe Berater, Endpunkt-Wiederherstellung und Kundenkommunikation klar abgedeckt? Sind staatlich gesteuerte Cyberausschlüsse so formuliert, dass das Risikokomitee sie modellieren kann? Der Merck-Streit zeigte, dass diese Fragen vor der Verlängerung gestellt werden sollten, nicht nach einem zerstörerischen Malware-Ereignis.

Ein besserer Rechenschaftstest für das nächste NotPetya

Die Merck-Aufzeichnung legt eine praktische Checkliste für Organisationen mit kritischen Produktionsrollen nahe. Erstens: Vertrauenswürdige Update-Pfade kartieren. M.E.Doc war in der Gerichtsakte eine vertrauenswürdige Anwendung. Ein vertrauenswürdiger Pfad kann zu einem Angriffspfad werden, wenn er vorgelagert kompromittiert wird. Unternehmen sollten wissen, welche Drittanbieter-Updatesysteme Netzwerkreichweite haben und auf welche Umgebungen sie zugreifen können. Zweitens: Den Explosionsradius kartieren.

Wie weit können Anmeldeinformationen, Domänenvertrauen, Fernverwaltung, gemeinsam genutzter Speicher und Endpunktverwaltungstools Malware tragen, bevor die Segmentierung sie verlangsamt? Drittens: Den minimal lebensfähigen Betrieb kartieren. Welche Produktions-, Freigabe-, Forschungs-, Vertriebs- und Versandfunktionen müssen fortgesetzt werden, und welche sauberen Systeme können sie unterstützen?

Viertens: Die Beweissicherung proben. Vorfallsprotokolle, wiederhergestellte Backups, Wiederherstellungsaufzeichnungen, Produktionsauswirkungsnotizen, Bestandsauswirkungen, Auftragsbestand und Genehmigungen für Mehrkosten sollten erfassbar sein, ohne die dringende Wiederherstellung zu verzögern. Fünftens: Den Versicherungswortlaut mit der technischen Realität in Einklang bringen. Wenn erwartet wird, dass Sachversicherungen Datenkorruption, Systemwiederherstellung, Mehrkosten und Betriebsunterbrechung durch Malware abdecken, sollte diese Erwartung explizit sein.

Wenn Versicherer beabsichtigen, staatlich gestützte zerstörerische Cyberereignisse auszuschließen, sollte dieser Ausschluss explizit genug sein, dass Vorstände das verbleibende Risiko vor dem Schaden verstehen können. Sechstens: Öffentliche Aussagen begrenzt halten. Mercks Einreichungen machten dies besser als viele andere Unternehmen, indem sie spezifische Zahlen verwendeten und Erwartungen revidierten.

Die Öffentlichkeit benötigt auch bessere Unterscheidungen. Eine staatliche Zuschreibungserklärung ist nicht dasselbe wie ein Policenausschluss. Eine erstinstanzliche oder Berufungsentscheidung ist nicht dasselbe wie eine Entscheidung des Obersten Gerichtshofs. Ein Vergleich ist kein öffentliches Schuldeingeständnis. Ein Umsatzeffekt ist nicht dasselbe wie ein versicherter Schaden. Der Name einer Malware-Familie ist nicht dasselbe wie eine vollständige Grundursache. Ein wiederhergestellter Produktionsstandort ist nicht dasselbe wie eine gelöschte nachgelagerte Auswirkung.

Die sorgfältige Behandlung dieser Begriffe ist keine rechtliche Spitzfindigkeit; es ist die Art und Weise, wie Rechenschaftspflicht an Beweise gebunden bleibt.

Mercks NotPetya-Aufzeichnung bleibt eines der klarsten Beispiele dafür, wie Cyberrisiko gleichzeitig zu Unternehmens-, öffentlichem Interessen- und Versicherungsrisiko wird. Das Unternehmen kontrollierte Teile der Unternehmensresilienz und Betriebswiederherstellung. Versicherer kontrollierten die Policenausarbeitung und Deckungspositionen. Gerichte kontrollierten die Auslegung des strittigen Wortlauts. Regierungen kontrollierten öffentliche Zuschreibungserklärungen. Patienten, Leistungserbringer, Vertriebshändler, Mitarbeiter und kleinere Gegenparteien erlebten Konsequenzen, die sie nicht unabhängig diagnostizieren konnten.

Deshalb ist der Fall auch nach dem Vergleich noch von Bedeutung. Der Vergleich beendete den öffentlichen Streit, aber er löschte nicht die betriebliche Lektion. Ein zerstörerisches Malware-Ereignis kann von einem vertrauenswürdigen Software-Update in Minuten Zehntausende von Rechnern erreichen, die pharmazeutische Produktion und den Vertrieb unterbrechen, Hunderte Millionen Dollar quantifizierte Auswirkungen verursachen und anspruchsvolle Parteien jahrelang darüber streiten lassen, ob alter Kriegswortlaut anwendbar ist.

Die nächste Organisation sollte nicht auf diesen Streit warten, um herauszufinden, was ihre Netzwerke, Wiederherstellungspläne und Versicherungsworte tatsächlich bedeuten.