Urteil: Wann greift eine Cyberversicherung?

Hackerangriffe, Phishing oder Online-Betrug haben in den vergangenen Jahren stark zugenommen und betreffen längst fast jeden, ob Händler:in oder Privatperson. Für die Strafbehörden ist Internetkriminalität neben Finanzstraftaten die größte Bedrohung. Dabei kann sogar die kleinste Nachlässigkeit große (finanzielle) Schäden verursachen. Die Versicherung schaut sich im Schadensfall natürlich genau an, ob der Schaden nicht hätte verhindert werden können.

Voraussetzungen: Wann greift Cyberversicherung?

Will man eine Versicherung abschließen, sind die Erwartungen auf der einen Seite hoch und die Versprechen auf der anderen Seite meist ebenfalls groß. Kommt es dann jedoch zu einem echten Schaden und die Versicherung soll in Anspruch genommen werden, geht die Litanei los. Dann wird plötzlich jede Menge Kleingedrucktes in Form von Ausschlussgründen aus der Police hervorgekramt. Bei einer Schadenssumme von mehreren Millionen Euro ließ ein Rechtsstreit, hier vor dem Landgericht Tübingen, somit nicht lange auf sich warten.

Ein Unternehmen hatte eine Cyberversicherung abgeschlossen und wollte diese schließlich für den Schaden durch einen Pass-the-Hash-Angriff (Gesamtschadenssumme von rund 4,1 Millionen Euro) in Anspruch nehmen. Mittels einer Phishing-Mail wurde ein Verschlüsselungs-Trojaner (Ransomware) eingeschleust und legte fast die gesamte IT-Infrastruktur des Unternehmens lahm. Die Versicherung verweigerte jedoch die Regulierung.

Cyberversicherung erhob Deckungseinwendungen

Die Beantwortung bestimmter Risikofragen (beispielsweise zu Datensicherungen oder der privaten Nutzung der dienstlichen Geräte im Unternehmen) ist vor Abschluss eines solchen Versicherungsvertrages für die Versicherung von Bedeutung, denn werden diese falsch beantwortet, würde der Versicherungsvertrag ggf. nicht abgeschlossen. Die Versicherung beruft sich genau auf solche eine Verletzung der vorvertraglichen Anzeigepflichten, um die Leistungspflicht abzuwehren. 

Es seien nicht alle Server des betroffenen Unternehmens mit den aktuellen Sicherheits-Updates des Betriebssystems von Microsoft ausgestattet waren, obwohl dies im Vorhinein so angegeben wurde, so der weitere Einwand. Das versicherte Unternehmen habe den Cyber-Angriff wegen fehlender Updates selbst grob fahrlässig verschuldet, was die Leistungspflicht ebenfalls entfallen lassen würde.

Cyber-Schadenfall war vom Versicherungsschutz gedeckt

Das Gericht sieht hierin jedoch generell keine Hinderung an der Eintrittspflicht der Versicherung. Es könne dahin stehen, ob das gehackte Unternehmen die Risikofragen falsch beantwortet hat. Im Prozess konnte das Unternehmen nämlich nachweisen, dass eine möglicherweise falsche Beantwortung der Risikofragen nicht für den Eintritt des Schadens ursächlich gewesen ist (LG Tübingen, Urteil vom 26.05.2023, Az.: 4 O 193/21). Die versäumten Updates hätten den Angriff selbst nicht abgewehrt und auch das Ausmaß des angerichteten Schadens nicht beeinflussen können, weil die Schwachstelle unabhängig von der Aktualität des betroffenen Systems bestanden habe.

Davon hätte sich die Versicherung bei Abschluss des Vertrages selbst überzeugen müssen und ggf. zusätzliche Sicherheitsmaßnahmen abklären oder verlangen müssen. Andernfalls akzeptiere die Versicherung die bestehende Risikolage, so das Gericht. Die Cyberversicherung durfte den Versicherungsschutz demnach nicht versagen. Ob Rechtsmittel eingelegt wurden, ist bisher nicht öffentlich bekannt.