Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) registrierte im Jahr 2023 rund 250.000 neue Schadprogramm-Varianten pro Tag in Deutschland. Für die IT-Sicherheit in Deutschland gelten Schadprogramme, die den Zugriff auf Daten und System unterbinden (so genannte Ransomware) als die größte Gefahr.
Cyberangriffe verursachen in Deutschland laut dem Statistischen Bundesamt durchschnittliche Kosten von etwa 20.000 €. Weltweit gehen die durchschnittlichen Kosten eines Cyberangriffs sogar in die Millionen. Kosten, die zwischenzeitlich mit einer Cyberversicherung versichert werden können.
Hauptursache für einen erfolgreichen Cyberangriff ist menschliches Versagen, weil beispielsweise versehentlich genau solche Ransomware auf den Rechner heruntergeladen wird und sich im IT-System des Unternehmens verbreiten kann. Es ist statistisch betrachtet also weniger eine Frage ob, sondern vielmehr eine Frage wann ein Unternehmen einen Cyberfall, bspw. durch eine Ransomware hat.
Genau zu einem solchen Cyberversicherungsfall gibt es nun ein erstes Urteil in Deutschland, dass wir in diesem Beitrag einmal genauer betrachten wollen. Neben Altbekanntem enthält das Urteil auch einige rechtliche Aspekte, die vor allen Dingen bei der Cyberversicherung zukünftig eine hohe Bedeutung haben könnten.
Wirth Rechtsanwälte unterstützen Sie als Fachanwälte für Versicherungsrecht bei der Durchsetzung Ihrer Versicherungsansprüche. Kontaktieren Sie uns!
Cyberschaden – Urteil des Landesgericht Tübingen
Der Cybervorfall, den das Landgericht Tübingen in seinem Urteil vom 26. Mai 2023 zum Geschäftszeichen 4 O 193/21 zu bewerten hatte, entspricht exakt dem Risiko, dass wir Eingangs beschrieben haben. Im Ergebnis kostete der Cybervorfall dem klagenden Unternehmen über 3 Millionen Euro. Ein Mitarbeiter der Klägerin hatte unbeabsichtigt einen als Rechnung getarnten E-Mail-Anhang geöffnet, der einen Verschlüsselungstrojaner (Ransomware) enthielt.
Diese Software konnte sich dann über einen geöffneten VPN-Tunnel auf 16 der insgesamt 21 Server ausbreiten und diese unwiderruflich verschlüsseln. Auf Lösegeldforderungen ging die Klägerin nicht ein, sondern stellte ihre IT in mühevoller Kleinarbeit wieder her.
Die Wiederherstellungsarbeiten dauerten jedoch Monate und so ist es wenig verwunderlich, dass dieser Cybervorfall die Klägerin mehrere Millionen Euro kostete. Denn in dieser Zeit konnte sie nicht bzw. nur sehr eingeschränkt arbeiten.
Gerechtigkeit ist unser Antrieb
Erfüllung der Anforderungen an IT-Sicherheit
Um sich gegen solche Schäden abzusichern, hatte die Klägerin eine Cyberversicherung abgeschlossen. Auf der Seite der Cyberversicherung war dafür ein Assekuradeur beauftragt, der auch die Gespräche mit den Mitarbeitern der Klägerin führte. Ein Assekuradeur ist immer ein Versicherungsvertreter, der von der Versicherung mit besonderer Vollmacht ausgestattet ist und bspw. innerhalb vorgegebener Grenzen auch über die Annahme von Versicherungsanträgen entscheiden darf.
Was dieser Assekuradeur gegenüber dem Kunden sagt oder, was er von dem Kunden bei der Antragsaufnahme erfährt, wird der Versicherung zugerechnet. Unter anderem diese gesetzliche Regelung wurde der Cyberversicherung schließlich zum Verhängnis.
Gemäß den Ausführungen des Landgerichtes und nach einer umfangreichen Beweisaufnahme hatte dieser Assekuradeur bei Abschluss der Versicherung den Eindruck erweckt, dass die Anforderungen an die IT-Sicherheit seitens der Versicherung nicht besonders hoch seien. Unter anderem wurde behauptet, dass “jede Fritzbox” ausreichend sei, um die Firewall-Anforderungen zu erfüllen. Die Klägerin wiederum hatte diverse Mitarbeiter unter anderem auch der IT-Abteilung einbezogen, um die Gefahrfragen der Versicherung wahrheitsgemäß zu beantworten.
Vorvertragliche Anzeigeplicht
Gefragt war unter anderem danach, ob „verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt werden, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, lediglich Produkte eingesetzt werden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme).”
Das war nachweislich und auch unstreitig jedoch nicht der Fall. Obwohl zum Zeitpunkt des Vertragsschlusses bereits 11 der 21 Server so veraltet waren, dass Microsoft seit Jahren keine Sicherheitsupdates mehr herausgebracht hatte, antwortete die Klägerin auf diese Frage mit „Ja“.
Zu diesem „Ja“ kam es aber, weil die Mitarbeiter der Klägerin und auch der von ihr beauftragte Versicherungsmakler nach den Feststellungen des Landgerichts durch die recht laxen Ausführungen des Assekuradeurs fehlgeleitet wurden und so glaubten, die oben genannte Fragen zutreffend beantwortet zu haben. Zudem hatten die Mitarbeiter der Klägerin dem Assekuradeur vorab mitgeteilt, dass bei ihr zumindest teilweise entsprechend veraltete Server laufen. Der Assekuradeur konnte also durchaus erkennen, dass ein Problem mit der veralteten Software besteht.
Leistungsverweigerung der Cyberversicherung
Das sah die verklagte Cyberversicherung naturgemäß anders. Sie nutzte die Gunst der Stunde und nahm die vermeintliche Falschbeantwortung als Grund, die Leistung zu verweigern. Zunächst erklärte sie den Rücktritt vom Vertrag, mit der Behauptung, die Klägerin habe die oben genannte Frage absichtlich falsch beantwortet.
Hilfsweise führte sie Leistungsfreiheit aufgrund einer Gefahrerhöhung und Leistungsfreiheit aufgrund vorsätzlicher, mindestens aber grob fahrlässiger Herbeiführung des Versicherungsfalls an. Das sind alles Einwendungen, die wir so oder so ähnlich in vielen Versicherungsstreitigkeiten erleben und auf den ersten Blick scheint der Fall auch klar zu sein. Immerhin war die Software teilweise so veraltet, dass dafür nicht mal mehr Sicherheitsupdates verfügbar waren.
Allerdings scheiterte die Versicherung mit all ihren Einwänden vor dem Landgericht Tübingen und wurde dazu verurteilt, der Klägerin etwa 2,9 Millionen Euro zu zahlen.
Kausalitätsgegenbeweis
Das Landgericht Tübingen stellte zunächst fest, dass die Klägerin die Frage bezüglich der Sicherheitsupdates allenfalls fahrlässig falsch beantwortet hatte, vor allem aufgrund der Äußerungen des Assekuradeurs. Dieser hätte den Eindruck erweckt, dass die Versicherung keine allzu hohen Anforderungen an die IT-Sicherheit stelle.
Entscheidend sei auch gewesen, dass dieser Assekuradeur auf eine Nachricht der Klägerin nicht mehr reagiert, in der sie diesem vor Abschluss des Vertrages mitteilte, auch ältere Server einzusetzen, die nicht mehr upgedatet werden könnten. Da der Assekuradeur ein Versicherungsvertreter mit besonderer Vollmacht ist, hat das Landgericht dessen Handlungen und Aussagen, vor allen Dingen aber dessen Wissen um die alten Server der Versicherung zugrechnet.
Für den weiteren Verlauf unterstellte das Landgericht somit die Kenntnis von den „alten“ Servern und es ging davon aus, dass den Mitarbeitern der Klägerin nur der Vorwurf einer leicht fahrlässigen Verletzung der oben wiedergegebenen Gefahrfrage gemacht werden kann.
Gerechtigkeit ist unser Antrieb
Einsatz von Sachverständigen
Da diese technische Frage vom Landgericht nicht selbst beantwortet werden konnte, holte dieses ein Sachverständigengutachten ein. Mit diesem Gutachten sollte verbindlich und objektiv geklärt werden, ob die fehlenden Sicherheitsupdates den Schaden verursacht oder erhöht haben. Der Sachverständige kam jedoch zu dem Schluss, dass die heruntergeladene Schadsoftware sowohl die alten als auch die neuen Server gleichermaßen betroffen hatte.
Der Ransomware war die Aktualität der Server also egal und die fehlenden Sicherheitsupdates hatten offensichtlich keinen Einfluss auf den Schaden. Damit konnte die Klägerin den Kausalitätsgegenbeweis führen und die beklagte Versicherung blieb damit zur Leistung verpflichtet.
Aus diesem Grund scheiterte die Versicherung auch mit ihrem Einwand, sie sei aufgrund einer Gefahrerhöhung leistungsfrei. Gemäß § 26 Abs. 3 Nr. 1 VVG wird sie nämlich dann nicht wegen einer vermeintlichen Gefahrerhöhung leistungsfrei, wenn der Versicherungsnehmer den Kausalitätsgegenbeweis führen kann.
Ohnehin scheint es in diesem Fall aber fraglich zu sein, ob eine Gefahrerhöhung vorlag. Auch wenn es dem Landgericht im Ergebnis nicht darauf ankam, waren die Server schon bei Vertragsschluss veraltet und hatten keine Sicherheitsupdates bekommen. Eine Gefahrerhöhung liegt aber nur dann vor, wenn sich nach Abschluss des Versicherungsvertrages die Risikosituation zum Nachteil der Versicherung auf Dauer geändert hat. Das war nach den Ausführungen des Landgerichts aber ohnehin nicht der Fall.
Das war schließlich auch der Grund, warum die Versicherung auch mit ihrem Einwand, dass die Klägerin den Versicherungsfall vorsätzlich oder zumindest grob fahrlässig herbeigeführt habe, scheiterte. Obwohl technische Maßnahmen zur Verfügung standen, um den Schaden auch bei veralteter Software zu verhindern oder zu begrenzen, war der Anwendungsbereich für diesen Einwand nicht gegeben, da die Gefahrenlage bereits zum Zeitpunkt des Vertragsabschlusses bestand hatte.
Kontinuierliche Beobachtung technischer und rechtlicher Entwicklungen
Neben dem altbekannten Thema einer vorvertraglichen Anzeigepflichtverletzung zeigt dieses Urteil, was zukünftig in der Cyberversicherung eine besondere Rolle spielen könnte. Um IT-Systeme sicher zu halten, sind verschiedene technische, aber auch datenschutzrechtliche Maßnahmen zu ergreifen, die sich ständig und mit zunehmender Geschwindigkeit weitentwickeln.
Es reicht daher nicht nur Gefahrfragen genau zu lesen und wahrheitsgemäß zu beantworten. Um dem Einwand einer Gefahrerhöhung oder sogar der grob fahrlässigen Herbeiführung des Cyberversicherungsfalles aus dem Weg zu gehen, müssen diese technischen und rechtlichen Weiterentwicklungen ständig beobachtet und angepasst werden.
Anderenfalls riskieren Versicherungsnehmer solcher Versicherungspolicen ihren Versicherungsschutz. So ist es auch möglich, dass Schadsoftware vorhandene Sicherheitslücken ausnutzt, die durch entsprechende technische Maßnahmen nicht oder nicht rechtzeitig geschlossen wurden. Verfolgt man die aktuelle Berichterstattung, dann wird dieses Risiko auch immer größer. In einem solchen Fall dürfte es dann schwierig werden, den oben beschriebenen Kausalitätsbeweis zu führen.
Die Entscheidung des Landgerichts zeigt für Vermittler zudem zweierlei:
Aufgrund der Masse an Schadensoftware in Kombination mit dem Faktor Mensch ist es statistisch betrachtet weniger eine Frage, ob ein Unternehmen einen Cybervorfall hat, sondern eher wann. Die Cyberversicherung sollte daher in der Beratung standardmäßig empfohlen werden, da durch Cybervorfälle für Unternehmen hohe Schäden drohen können.
Zudem fordert die Vermittlung solcher Versicherungen von Vermittlern zumindest ein technisches Grundverständnis zu den zu versichernden Risiken, um Gefahrfragen wahrheitsgemäß mit dem Kunden beantworten zu können. Außerdem sollten Kunden auf die besondere Bedeutung nachvertraglicher Obliegenheiten und dem Risiko etwaige Gefahrerhöhungen etc. hingewiesen werden.
Ihr Recht auf Entschädigung – jetzt beraten lassen!
Sie haben einen Cyberangriff erlebt und stehen vor einem Versicherungsdschungel? Ihre Cyberversicherung verweigert die Leistung im Schadensfall? Das muss nicht sein! Wirth Rechtsanwälte sind hier, um sicherzustellen, dass Ihr Recht auf Entschädigung nicht länger ignoriert wird.
