AssCompact suche
Home
Steuern & Recht
29. Februar 2024
Erstes Urteil zur Cyberversicherung setzt neue Maßstäbe

1 / 2

Justice and law concept. Lawyer businessman using digital technology law innovation interface.

Erstes Urteil zur Cyberversicherung setzt neue Maßstäbe

Das Landgericht Tübingen hat sich als erstes Gericht mit der Leistungspflicht eines Cyberversicherers im Schadenfall auseinandergesetzt. Der Fall beleuchtet, wie die Fehleinschätzung von IT-Sicherheitsrisiken und die Kommunikation zwischen Versicherer und Versichertem die Leistungspflicht beeinflussen können. Das Urteil und seine möglichen Auswirkungen erläutert ein Rechtsexperte.

Ein Artikel von Tobias Strübing, Fachanwalt für Versicherungsrecht der Kanzlei Wirth Rechtsanwälte

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte im Jahr 2023 rund 250.000 neue Schadprogramm-Varianten pro Tag in Deutschland. Für die IT-Sicherheit in Deutschland gelten Schadprogramme, die den Zugriff auf Daten und System unterbinden – sogenannte Ransomware –, als die größte Gefahr. Hauptursache für einen erfolgreichen Cyberangriff ist menschliches Versagen, weil beispielsweise versehentlich genau solche Ransomware auf den Rechner heruntergeladen wird und sich im IT-System des Unternehmens verbreiten kann. Es ist statistisch betrachtet also weniger eine Frage, ob, sondern vielmehr eine Frage, wann ein Unternehmen einen Cyberfall bspw. durch eine Ransomware hat. Cyberangriffe verursachen in Deutschland laut dem Statistischen Bundesamt durchschnittliche Kosten von etwa 20.000 Euro. Weltweit gehen die durchschnittlichen Kosten eines Cyberangriffs sogar in die Millionen. Kosten, die inzwischen mit einer Cyberversicherung versichert werden können.

Genau zu einem solchen Cyberversicherungsfall gibt es nun ein erstes Urteil in Deutschland, das dieser Beitrag genauer betrachten will. Neben Altbekanntem enthält das Urteil auch einige rechtliche Aspekte, die vor allen Dingen bei der Cyberversicherung zukünftig eine hohe Bedeutung haben könnten.

Mitarbeiter aktiviert unbeabsichtigt Ransomware

Der Cybervorfall, den das Landgericht Tübingen in seinem Urteil vom 26.05.2023 (Az. 4 O 193/21) zu bewerten hatte, entspricht exakt dem Risiko, das eingangs beschrieben wurde. Im Ergebnis kostete der Cybervorfall das klagende Unternehmen über 3 Mio. Euro. Ein Mitarbeiter der Klägerin hatte unbeabsichtigt einen als Rechnung getarnten E-Mail-Anhang geöffnet, der einen Verschlüsselungstrojaner (Ransomware) enthielt. Diese Software konnte sich dann über einen geöffneten VPN-Tunnel auf 16 der insgesamt 21 Server ausbreiten und diese unwiderruflich verschlüsseln. Auf Lösegeldforderungen ging die Klägerin nicht ein, sondern stellte ihre IT in mühevoller Kleinarbeit wieder her. Die Wiederherstellungsarbeiten dauerten jedoch Monate und so ist es wenig verwunderlich, dass dieser Cybervorfall die Klägerin mehrere Mio. Euro kostete. Denn in dieser Zeit konnte sie nicht bzw. nur sehr eingeschränkt arbeiten.

Um sich gegen solche Schäden abzusichern, hatte die Klägerin die besagte Cyberversicherung abgeschlossen. Auf der Seite des Cyberversicherers war dafür ein Assekuradeur beauftragt, der auch die Gespräche mit den Mitarbeitern der Klägerin geführt hatte. Zur Erinnerung: Ein Assekuradeur ist ein Versicherungsvertreter, der vom Versicherer mit besonderer Vollmacht ausgestattet ist und bspw. innerhalb vorgegebener Grenzen auch über die Annahme von Versicherungsanträgen entscheiden darf. Was dieser Assekuradeur gegenüber dem Kunden sagt oder was er von dem Kunden bei der Antragsaufnahme erfährt, wird dem Versicherer zugerechnet. Unter anderem diese gesetzliche Regelung wurde dem Cyberversicherer schließlich zum Verhängnis. Gemäß den Ausführungen des Landgerichtes und nach einer umfangreichen Beweisaufnahme hatte dieser Assekuradeur bei Abschluss der Versicherung den Eindruck erweckt, dass die Anforderungen an die IT-Sicherheit seitens des Versicherers nicht besonders hoch seien. Unter anderem wurde behauptet, dass „jede Fritzbox“ ausreichend sei, um die Firewall-Anforderungen zu erfüllen. Die Klägerin wiederum hatte diverse Mitarbeiter, unter anderem auch der IT-Abteilung, einbezogen, um die Gefahrfragen der Versicherung wahrheitsgemäß zu beantworten.

Gefragt war unter anderem danach, ob „verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt werden, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, lediglich Produkte eingesetzt werden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v. a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme)“.

Das war nachweislich und auch unstreitig jedoch nicht der Fall. Obwohl im Zeitpunkt des Vertragsschlusses bereits elf der 21 Server so veraltet waren, dass Microsoft seit Jahren keine Sicherheitsupdates mehr herausgebracht hatte, antwortete die Klägerin auf diese Frage mit „Ja“. Zu diesem „Ja“ kam es aber, weil die Mitarbeiter der Klägerin und auch der von ihr beauftragte Versicherungsmakler nach den Feststellungen des Landgerichts durch die recht laxen Ausführungen des Assekuradeurs fehlgeleitet worden waren und so glaubten, die oben genannte Fragen zutreffend beantwortet zu haben. Zudem hatten die Mitarbeiter der Klägerin dem Assekuradeur vorab mitgeteilt, dass bei ihr zumindest teilweise entsprechend veraltete Server laufen. Der Assekuradeur konnte also durchaus erkennen, dass ein Problem mit der veralteten Software besteht.

Seite 1 Erstes Urteil zur Cyberversicherung setzt neue Maßstäbe

Seite 2 Cyberversicherer scheitert mit Leistungsverweigerung

<
1
2
>
Artikel auf einer Seite
 
Ein Artikel von
Tobias Strübing
  • Anmelden, um Kommentare verfassen zu können

Ähnliche News

Steuern & Recht
Election in European Union - voting at the ballot box. A hand putting an EU flag vote in the ballot box.
Provisionsverbot: EU-Parlament stimmt ECON-Vorschlag zu
Das EU-Parlament tagt diese Woche zu diversen politischen Fragestellungen in der Europäischen Union. Auch Thema: die Kleinanlegerstrategie. Darin wurde ein Abschnitt angepasst, der nun mehr Klarheit bringen soll, für wen ein Provisionsverbot eigentlich gelten soll. weiterlesen
Steuern & Recht
Navigational officer lookout on navigation watch looking through binoculars. Marine industry. COLREG collision regulations
BaFin schickt Sonderbeauftragten zur FNZ und Fondsdepot Bank
Bei der FNZ Bank und der Fondsdepot Bank wurden Mängel in der Geschäftsorganisation festgestellt. Auch gab es vermehrt Kundenbeschwerden bei Wertpapieraufträgen. Jetzt hat die Finanzaufsicht BaFin einen Sonderbeauftragten bestellt, der das Ausmerzen der Mängel überwachen soll. weiterlesen
Steuern & Recht
Vermittlerhaftung – Umdeckungen, Beratungsprotokoll und Corona
Versicherungsmakler stehen in der Verantwortung, sicherzustellen, dass von ihnen vermittelte Versicherungsprodukte den Bedürfnissen und Anforderungen ihrer Kunden entsprechen. Sonst droht insbesondere nach der Einführung der Haftungsnorm im Versicherungsvertragsgesetz die Haftung. weiterlesen