Cyber-Versicherung muss trotz veralteter Systeme leisten

Trotz veralteter Systeme: Cyber-Versicherung muss leisten – ein Urteil des Landgerichts Tübingen

Die Schäden durch Cyber-Kriminalität in Deutschland erreichen jedes Jahr viele Milliarden Euro. Betroffen von Cyber-Attacken sind keineswegs nur Großunternehmen. Gerade mittelständische Unternehmen werden oft Opfer von Angriffen – nicht selten deshalb, weil ihre IT-Systeme nicht „up to date“ sind. Eine Cyber-Versicherung wird immer wichtiger.

Cyber-Schäden können durch eine Cyber-Versicherung abgedeckt werden. Doch leistet die Versicherung auch, wenn ein IT-System nicht auf dem letzten Stand in Sachen Sicherheit ist? Das Landgericht Tübingen hat hierzu vor einigen Monaten ein interessantes Urteil (LG Tübingen, Urteil vom 26.5.2023 – Az. 4 O 193/21) gefällt. Die Versicherung hatte die Leistung wegen einer Verletzung der vorvertraglichen Anzeigepflichten abgelehnt. Hiergegen hatte das betroffene Unternehmen geklagt.

Cyber-Attacke verursacht Schaden von mehr als 4 Mio. Euro

Was war geschehen? Das Unternehmen war im Jahre 2020 Opfer eine Cyber-Attacke geworden. Ein Mitarbeiter hatte auf seinem Dienst-Laptop einen E-Mail-Anhang geöffnet. Vermeintlich sollte es sich um eine Rechnung handeln, tatsächlich enthielt der Anhang einen Verschlüsselungstrojaner – sogenannte Ransomware. Da der Laptop mit dem IT-Netzwerk des Unternehmens verbunden war, gelangte der Trojaner in die Systeme des Unternehmens. Sämtliche Server des Unternehmens wurden verschlüsselt. Die Urheber verlangten von dem Unternehmen Lösegeld für die Entschlüsselung und drohte überdies im Fall der Zahlungsverweigerung mit der Veröffentlichung sensibler interner Informationen.

Das Unternehmen ging darauf nicht ein. Trotz intensiver Bemühungen gelang die Entschlüsselung nicht. Die IT-Infrastruktur musste komplett neu aufgebaut werden. Das dauerte gut fünf Monate, bedeutete eine zeitweise Betriebsunterbrechung und war mit einem enormen Aufwand verbunden. Der entstandene Gesamtschaden wurde von dem Unternehmen auf über 4 Mio. Euro veranschlagt.

Versicherung: Vertragsrücktritt wegen falscher vorvertraglicher Angaben

Das Unternehmen verfügte über eine Cyber-Versicherung mit einer Deckungssumme von 5 Mio. Euro. Die Versicherung bot u.a. „Schutz von Sachen und Daten“, „Schutz vor Cyber-bedingten Kosten einer Betriebsunterbrechung“ und „Schutz in Fällen von Fremdschäden“. Als die Versicherung allerdings in Anspruch genommen werden sollte, erklärte der Versicherer den Rücktritt vom Vertrag mit der Begründung, das Unternehmen habe die Risikofragen beim Versicherungsantrag wahrheitswidrig beantwortet und damit seine vorvertraglichen Anzeigepflichten verletzt. In den Risikofragen war u.a. danach gefragt worden, ob alle stationären und mobilen Rechner des Unternehmens mit aktueller Software zur Schadsoftware-Erkennung ausgestattet seien und ob Sicherheits-Updates stets zeitnah durchgeführt würden. Das Unternehmen hatte dies bejaht.

Der Cyber-Angriff betraf insgesamt 21 Server, die von dem Unternehmen teils betriebsintern, teils extern über einen IT-Dienstleister betrieben wurden. Nachträglich stellte sich heraus, dass von diesen 21 Servern 11 nicht auf dem letzten Sicherheits-Stand waren. Der Versicherer erklärte, wenn er bei der Antragstellung wahrheitsgemäß über den Sicherheits-Status informiert gewesen wäre, hätte er den Vertrag nicht abgeschlossen. Allerdings war der Angriff bei insgesamt 16 Servern erfolgreich – also auch bei Servern, die sicherheitstechnisch „up to date“ waren. Sogar externe Server waren betroffen. Dadurch konnte der Angreifer Administratorenrechte erbeuten, was ihm umfassenden System-Zugang ermöglichte und das Ausmaß des Schadens beträchtlich vergrößerte.

Verletzung der Anzeigepflicht in diesem Fall nicht relevant

Das Gericht kam angesichts dieses Sachverhalts zu der Einschätzung, dass in diesem Fall die Verletzung der vorvertraglichen Anzeigepflicht den Versicherer nicht von der Leistungspflicht entbinde. Durch die Erbeutung der Administratorenrechte sei es für den Angreifer möglich gewesen, unabhängig von der Aktualität von Sicherheits-Updates die Attacke erfolgreich auszuführen. Der Umstand, dass einige Server sicherheitstechnisch nicht auf dem neusten Stand gewesen seien, sei für den Eintritt des Versicherungsfalls und die Leistungspflicht daher nicht relevant gewesen. Auch eine arglistige Täuschung seitens des Unternehmens sahen die Richter nicht als gegeben an. Der Versicherer wurde daher zur Leistung verurteilt. Das Gericht setzte die zu erbringende Leistung mit 2.858.923,54 Euro an.

In diesem Fall kam die Verletzung der vorvertraglichen Anzeigepflicht nicht zum Tragen. In anderen Konstellationen kann das anders aussehen. Die korrekte Beantwortung der Risikofragen ist daher genauso wichtig wie IT-Sicherheit, die „State of the Art“ ist. Das Verfahren vor dem LG Tübingen zeigt aber auch, wie wichtig eine gute Cyber-Versicherung für Unternehmen sein kann. Wir von Behrschmidt & Kollegen beraten Sie gerne zum Cyber-Versicherungsschutz und suchen für Sie nach den besten Lösungen am Markt.