Ein Artikel von Tobias Strübing, Fachanwalt für Versicherungsrecht der Kanzlei Wirth Rechtsanwälte
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte im Jahr 2023 rund 250.000 neue Schadprogramm-Varianten pro Tag in Deutschland. Für die IT-Sicherheit in Deutschland gelten Schadprogramme, die den Zugriff auf Daten und System unterbinden – sogenannte Ransomware –, als die größte Gefahr. Hauptursache für einen erfolgreichen Cyberangriff ist menschliches Versagen, weil beispielsweise versehentlich genau solche Ransomware auf den Rechner heruntergeladen wird und sich im IT-System des Unternehmens verbreiten kann. Es ist statistisch betrachtet also weniger eine Frage, ob, sondern vielmehr eine Frage, wann ein Unternehmen einen Cyberfall bspw. durch eine Ransomware hat. Cyberangriffe verursachen in Deutschland laut dem Statistischen Bundesamt durchschnittliche Kosten von etwa 20.000 Euro. Weltweit gehen die durchschnittlichen Kosten eines Cyberangriffs sogar in die Millionen. Kosten, die inzwischen mit einer Cyberversicherung versichert werden können.
Genau zu einem solchen Cyberversicherungsfall gibt es nun ein erstes Urteil in Deutschland, das dieser Beitrag genauer betrachten will. Neben Altbekanntem enthält das Urteil auch einige rechtliche Aspekte, die vor allen Dingen bei der Cyberversicherung zukünftig eine hohe Bedeutung haben könnten.
Mitarbeiter aktiviert unbeabsichtigt Ransomware
Der Cybervorfall, den das Landgericht Tübingen in seinem Urteil vom 26.05.2023 (Az. 4 O 193/21) zu bewerten hatte, entspricht exakt dem Risiko, das eingangs beschrieben wurde. Im Ergebnis kostete der Cybervorfall das klagende Unternehmen über 3 Mio. Euro. Ein Mitarbeiter der Klägerin hatte unbeabsichtigt einen als Rechnung getarnten E-Mail-Anhang geöffnet, der einen Verschlüsselungstrojaner (Ransomware) enthielt. Diese Software konnte sich dann über einen geöffneten VPN-Tunnel auf 16 der insgesamt 21 Server ausbreiten und diese unwiderruflich verschlüsseln. Auf Lösegeldforderungen ging die Klägerin nicht ein, sondern stellte ihre IT in mühevoller Kleinarbeit wieder her. Die Wiederherstellungsarbeiten dauerten jedoch Monate und so ist es wenig verwunderlich, dass dieser Cybervorfall die Klägerin mehrere Mio. Euro kostete. Denn in dieser Zeit konnte sie nicht bzw. nur sehr eingeschränkt arbeiten.
Um sich gegen solche Schäden abzusichern, hatte die Klägerin die besagte Cyberversicherung abgeschlossen. Auf der Seite des Cyberversicherers war dafür ein Assekuradeur beauftragt, der auch die Gespräche mit den Mitarbeitern der Klägerin geführt hatte. Zur Erinnerung: Ein Assekuradeur ist ein Versicherungsvertreter, der vom Versicherer mit besonderer Vollmacht ausgestattet ist und bspw. innerhalb vorgegebener Grenzen auch über die Annahme von Versicherungsanträgen entscheiden darf. Was dieser Assekuradeur gegenüber dem Kunden sagt oder was er von dem Kunden bei der Antragsaufnahme erfährt, wird dem Versicherer zugerechnet. Unter anderem diese gesetzliche Regelung wurde dem Cyberversicherer schließlich zum Verhängnis. Gemäß den Ausführungen des Landgerichtes und nach einer umfangreichen Beweisaufnahme hatte dieser Assekuradeur bei Abschluss der Versicherung den Eindruck erweckt, dass die Anforderungen an die IT-Sicherheit seitens des Versicherers nicht besonders hoch seien. Unter anderem wurde behauptet, dass „jede Fritzbox“ ausreichend sei, um die Firewall-Anforderungen zu erfüllen. Die Klägerin wiederum hatte diverse Mitarbeiter, unter anderem auch der IT-Abteilung, einbezogen, um die Gefahrfragen der Versicherung wahrheitsgemäß zu beantworten.
Gefragt war unter anderem danach, ob „verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt werden, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, lediglich Produkte eingesetzt werden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v. a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme)“.
Das war nachweislich und auch unstreitig jedoch nicht der Fall. Obwohl im Zeitpunkt des Vertragsschlusses bereits elf der 21 Server so veraltet waren, dass Microsoft seit Jahren keine Sicherheitsupdates mehr herausgebracht hatte, antwortete die Klägerin auf diese Frage mit „Ja“. Zu diesem „Ja“ kam es aber, weil die Mitarbeiter der Klägerin und auch der von ihr beauftragte Versicherungsmakler nach den Feststellungen des Landgerichts durch die recht laxen Ausführungen des Assekuradeurs fehlgeleitet worden waren und so glaubten, die oben genannte Fragen zutreffend beantwortet zu haben. Zudem hatten die Mitarbeiter der Klägerin dem Assekuradeur vorab mitgeteilt, dass bei ihr zumindest teilweise entsprechend veraltete Server laufen. Der Assekuradeur konnte also durchaus erkennen, dass ein Problem mit der veralteten Software besteht.
Cyberversicherer scheitert mit Leistungsverweigerung
Das sah der beklagte Cyberversicherer naturgemäß anders. Er nutzte die Gunst der Stunde und nahm die vermeintliche Falschbeantwortung als Grund, die Leistung zu verweigern. Zunächst erklärte er den Rücktritt vom Vertrag, mit der Behauptung, die Klägerin habe die oben genannte Frage absichtlich falsch beantwortet. Hilfsweise führte der Versicherer Leistungsfreiheit aufgrund einer Gefahrerhöhung und Leistungsfreiheit aufgrund vorsätzlicher, mindestens aber grob fahrlässiger Herbeiführung des Versicherungsfalls an. Es handelt sich also um Einwendungen, die so oder so ähnlich in vielen Versicherungsstreitigkeiten vorkommen. Und auf den ersten Blick scheint der Fall auch klar zu sein. Immerhin war die Software teilweise so veraltet, dass dafür nicht mal mehr Sicherheitsupdates verfügbar waren. Allerdings scheiterte der Versicherer mit all ihren Einwänden vor dem Landgericht Tübingen und wurde dazu verurteilt, der Klägerin etwa 2,9 Mio. Euro zu zahlen.
Das Landgericht Tübingen stellte zunächst fest, dass die Klägerin die Frage bezüglich der Sicherheitsupdates allenfalls fahrlässig falsch beantwortet hatte, vor allem aufgrund der Äußerungen des Assekuradeurs. Dieser hätte den Eindruck erweckt, dass der Versicherer keine allzu hohen Anforderungen an die IT-Sicherheit stellte. Entscheidend sei auch gewesen, dass dieser Assekuradeur auf eine Nachricht der Klägerin nicht mehr reagiert hatte, in der sie ihm vor Abschluss des Vertrages mitgeteilt hatte, auch ältere Server einzusetzen, die nicht mehr upgedatet werden konnten. Da der Assekuradeur ein Versicherungsvertreter mit besonderer Vollmacht ist, hat das Landgericht dessen Handlungen und Aussagen, vor allen Dingen aber dessen Wissen um die alten Server, dem Versicherer zugerechnet. Für den weiteren Verlauf unterstellte das Landgericht somit die Kenntnis von den „alten“ Servern und es ging davon aus, dass den Mitarbeitern der Klägerin nur der Vorwurf einer leicht fahrlässigen Verletzung der oben wiedergegebenen Gefahrfrage gemacht werden kann.
Gericht: Keine Leistungsfreiheit trotz alter Server
Die Folge dieser Wertung des Landgerichtes war, dass die Klägerin den Kausalitätsgegenbeweis führen konnte. Dieser Kausalitätsgegenbeweis kann immer dann geführt werden, wenn die Gefahrfragen nicht arglistig falsch beantwortet wurden. Er führt dann zu einer Leistungsverpflichtung des Versicherers, wenn die Verletzung der Anzeigepflicht – hier die fehlenden Sicherheitsup-dates – weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für die Feststellung oder den Umfang der Leistungspflicht ursächlich geworden ist.
Da diese technische Frage vom Landgericht nicht selbst beantwortet werden konnte, holte es ein Sachverständigengutachten ein. Mit diesem Gutachten sollte verbindlich und objektiv geklärt werden, ob die fehlenden Sicherheitsupdates den Schaden verursacht oder erhöht haben. Der Sachverständige kam jedoch zu dem Schluss, dass die heruntergeladene Schadsoftware sowohl die alten als auch die neuen Server gleichermaßen betroffen hatte. Der Ransomware war die Aktualität der Server also egal und die fehlenden Sicherheitsupdates hatten offensichtlich keinen Einfluss auf den Schaden. Damit konnte die Klägerin den Kausalitätsgegenbeweis führen und der beklagte Versicherer blieb zur Leistung verpflichtet.
Aus diesem Grund scheiterte der Versicherer auch mit dem Einwand, er sei aufgrund einer Gefahrerhöhung leistungsfrei. Gemäß § 26 Abs. 3 Nr. 1 Versicherungsvertragsgesetz (VVG) wird er nämlich dann nicht wegen einer vermeintlichen Gefahrerhöhung leistungsfrei, wenn der Versicherungsnehmer den Kausalitätsgegenbeweis führen kann. Ohnehin scheint es in diesem Fall aber fraglich zu sein, ob eine Gefahrerhöhung vorlag. Auch wenn es dem Landgericht im Ergebnis nicht darauf ankam, waren die Server schon bei Vertragsschluss veraltet und hatten keine Sicherheitsupdates bekommen. Eine Gefahrerhöhung liegt aber nur dann vor, wenn sich nach Abschluss des Versicherungsvertrages die Risikosituation zum Nachteil des Versicherers auf Dauer geändert hat. Das war nach den Ausführungen des Landgerichts aber ohnehin nicht der Fall.
Das war schließlich auch der Grund, warum der Versicherer mit seinem Einwand, dass die Klägerin den Versicherungsfall vorsätzlich oder zumindest grob fahrlässig herbeigeführt habe, scheiterte. Obwohl technische Maßnahmen zur Verfügung standen, um den Schaden auch bei veralteter Software zu verhindern oder zu begrenzen, war der Anwendungsbereich für diesen Einwand nicht gegeben, da die Gefahrenlage bereits zum Zeitpunkt des Vertragsabschlusses bestanden hatte.
Was Vermittler beachten sollten
Neben dem altbekannten Thema einer vorvertraglichen Anzeigepflichtverletzung zeigt dieses Urteil, was zukünftig in der Cyberversicherung eine besondere Rolle spielen könnte. Um IT-Systeme sicher zu halten, sind verschiedene technische, aber auch datenschutzrechtliche Maßnahmen zu ergreifen, die sich ständig und mit zunehmender Geschwindigkeit weitentwickeln. Es reicht daher nicht nur Gefahrfragen genau zu lesen und wahrheitsgemäß zu beantworten. Um dem Einwand einer Gefahrerhöhung oder sogar der grob fahrlässigen Herbeiführung des Cyberversicherungsfalles aus dem Weg zu gehen, müssen diese technischen und rechtlichen Weiterentwicklungen ständig beobachtet und angepasst werden. Ansonsten riskieren Versicherungsnehmer solcher Versicherungspolicen ihren Versicherungsschutz. So ist es genauso gut möglich, dass Schadsoftware vorhandene Sicherheitslücken ausnutzt, die durch entsprechende technische Maßnahmen nicht oder nicht rechtzeitig geschlossen wurden. Verfolgt man die aktuelle Berichterstattung, dann wird dieses Risiko auch immer größer. In einem solchen Fall dürfte es dann schwierig werden, den oben beschriebenen Kausalitätsbeweis zu führen.
Die Entscheidung des Landgerichts zeigt für Vermittler zudem zweierlei: Aufgrund der Masse an Schadsoftware in Kombination mit dem Faktor Mensch sollte eine Cyberversicherung in der Beratung standardmäßig empfohlen werden, da durch Cybervorfälle für Unternehmen hohe Schäden drohen können. Zudem fordert die Vermittlung solcher Versicherungen von Vermittlern zumindest ein technisches Grundverständnis der zu versichernden Risiken, um Gefahrfragen wahrheitsgemäß mit dem Kunden beantworten zu können. Außerdem sollten Kunden auf die besondere Bedeutung nachvertraglicher Obliegenheiten und das Risiko etwaiger Gefahrerhöhungen etc. hingewiesen werden.
Diesen Artikel lesen Sie auch in AssCompact 02/2024 und in unserem ePaper.
Bild: © Funtap – stock.adobe.com
Tobias Strübing 
- Anmelden, um Kommentare verfassen zu können
