Cyberversicherung: Kunden können nach Hackerattacke auch bei fehlenden Sicherheitsupdates Versicherungsleistungen fordern

Ein Verschlüsselungstrojaner verursacht bei einem Mittelständler mehr als drei Millionen Euro Schaden. Doch die Versicherung des Unternehmens verweigert die Zahlung – unter anderem wegen fehlender Sicherheitsupdates. Vor dem Landgericht Tübingen kommt die Gesellschaft damit aber nicht durch.

Experten warnen seit Jahren vor der wachsenden Bedrohung durch Cyberkriminelle. Wie Recht sie damit haben, erfuhr im Jahr 2020 auch ein Heizungsunternehmen aus Baden-Württemberg.

Ein Mitarbeiter hatte auf seinem Dienst-Laptop einen als Rechnung getarnten E-Mail-Anhang geöffnet. Da dieser Laptop über einen VPN-Tunnel mit dem Netzwerk des Unternehmens verbunden war, konnte der Trojaner ins IT-System der Firma eindringen und sämtliche Server verschlüsseln. Dadurch wurde quasi die gesamte IT-Infrastruktur des Unternehmens lahmgelegt.

Nach einem fehlgeschlagenen Neustart des Systems erschien auf den Bildschirmen eine Nachricht der Angreifer, die ein Lösegeld in Bitcoins forderten und mit der Veröffentlichung sensibler Firmendaten drohten. Das Unternehmen kam den Forderungen zwar nicht nach und wandte sich an die Kriminalpolizei. Die Täter ließen sich jedoch nicht ermitteln.

Entsprechend blieb die IT-Infrastruktur des Heizungsbauers unbrauchbar und musste komplett neu aufgebaut werden. Die Arbeiten nahmen fünf Monate in Anspruch. Der Schaden ging in die Millionen.

Bekannte – aber unwirksame – Einwände der Versicherung

Die Cyberversicherung des Unternehmens fühlte sich für dessen Regulierung allerdings nicht zuständig und trat vom Vertrag zurück. Diesen Schritt begründete sie damit, dass das geschädigte Unternehmen seine vorvertraglichen Anzeigepflichten verletzt und Risikofragen falsch beantwortet habe. Für mehrere Server seien seit Jahren keine Sicherheitsupdates mehr verfügbar gewesen. Das hätten die Verantwortlichen auch gewusst, jedoch nicht angegeben. Hierin sah die Gesellschaft einen Rücktrittsgrund: Da moderne Systeme deutlich widerstandsfähiger seien und das Ausmaß des Angriffs hätten begrenzen können, hätte die Versicherung den Vertrag bei wahrheitsgemäßer Beantwortung der Risikofragen nie geschlossen.

Zudem habe das Unternehmen die Gefahr eines Angriffs zusätzlich erhöht, weil es nach Vertragsschluss die Microsoft Windows Server 2003 nicht ausgetauscht und kostenpflichtige Sicherheitsupdates für die Windows Server 2008 nicht durchgeführt habe.

Ohne klare Vorgaben der Versicherung kein Verlust des Versicherungsschutzes

Das Landgericht Tübingen konnte in konkreten Fall aber weder eine vorvertragliche Anzeigepflichtverletzung noch eine Gefahrerhöhung erkennen. Zum einen hatte das Unternehmen nachweisen können, dass selbst eine etwaige Falschbeantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich war (LG Tübingen, Az. 4 O 193/21).

Ein Sachverständiger kam zudem zu dem Ergebnis, dass bei dem Cyberangriff eine Design-Schwäche von Windows ausgenutzt worden war, die unabhängig von der Aktualität des betroffenen Systems besteht.

Entsprechend hätte die Durchführung der versäumten Updates weder den Angriff selbst verhindern noch das Ausmaß des Schadens mindern können.

Die Versicherung musste zahlen.

Kommentar von Jürgen Wahl, Fachanwalt für Versicherungsrecht:

Die Entscheidung das LG Tübingen ist die erste gerichtliche Entscheidung zur Cyberversicherung. Sie wirft ein Schlaglicht auf typische Einwände der Gesellschaften bei der Regulierung von Cyberschadensfällen. Nun allerdings steht fest: Wenn eine Assekuranz in ihren Versicherungsbedingungen nicht eindeutig regelt, welche IT-Sicherheitsstandard sie von ihren Kunden als Grundlage für den Abschluss und die Dauer des Versicherungsvertrags verlangt, kann sie ihnen das Unterlassen bestimmter Sicherheitsmaßnahmen im Schadensfall nicht entgegenhalten.