Cyberversicherung muss nicht leisten, wenn Risikofragen falsch beantwortet wurden.
Das Landgericht Kiel (Az. 5 O 128/21) hat am 23.05.2024 entschieden, dass eine Cyberversicherung keine Leistungen erbringen muss, wenn bei Vertragsabschluss wissentlich falsche Angaben gemacht wurden. Das zweite Urteil Deutschlands zu einer Cyberversicherung verdeutlicht einmal mehr die Bedeutung von Risikofragen und unterstreicht, dass die Absicherung von IT-Systemen u.a. davon abhängt, geeignete Maßnahmen zu ergreifen und aufrechtzuerhalten, um den Zugriff durch Hacker zu vermeiden. Dazu gehören mindestens Firewalls, aktuelle Antivirenprogramme und natürlich das unverzügliche Einspielen von verfügbaren Sicherheitsupdates.
Die Klägerin, eine Holzgroßhändlerin mit 16 Standorten in Norddeutschland, hatte im März 2020 eine Cyberversicherung abgeschlossen. Während des Antragsprozesses wurden u.a. die Fragen, ob die Arbeitsrechner mit aktueller Antivirensoftware ausgestattet sind und verfügbare Sicherheitsupdates unverzüglich aufgespielt werden, mit „Ja“ beantwortet. Aufgrund einer gravierenden Sicherheitslücke erhielten Hacker Zugriff auf das IT – System der Klägerin und konnten Daten „erbeuten“. Die Klägerin musste fast 500.000 € aufwenden, um diese Sicherheitslücke zu schließen und die Schadsoftware nachhaltig von ihrem IT–System zu entfernen. Diese Kosten verlangte sie von der Cyberversicherung, worauf diese die Anfechtung des Versicherungsvertrages erklärte.
Zurecht, wie das Landgericht Kiel nunmehr entschieden hat. Entgegen den Angaben im Versicherungsantrag wurden die entscheidenden Arbeitsrechner mit einer veralteten Software betrieben, für die keine Sicherheitsupdates mehr zur Verfügung gestellt wurden. Außerdem waren diese Rechner auch nicht mit einer aktuellen Antivirensoftware geschützt. Da der betreffende Mitarbeiter der Klägerin im Antragsprozess die Risikofragen ins Blaue hinein gleichwohl mit „Ja“ beantwortet, kam das Landgericht zu dem Ergebnis einer arglistigen Täuschung.
„Das Urteil unterstreicht die Notwendigkeit einer sorgfältigen Risikobewertung und die Pflicht der Versicherungsnehmer aber auch der für sie tätigen Versicherungsvermittler, umfassende und wahrheitsgemäße Informationen bereitzustellen.“ so Rechtsanwalt Tobias Strübing der Kanzlei Wirth Rechtsanwälte, „Unternehmen sollten zudem sicherstellen, dass auch nach Abschluss der Cyberversicherung alle Sicherheitsmaßnahmen auf dem neuesten Stand sind, um das Risiko nicht zu erhöhen.“