AssCompact suche
Home
Steuern & Recht
19. Juli 2023
Fehlendes Update: Muss Cyberversicherer dennoch leisten?
Fehlendes Update: Muss Cyberversicherung dennoch leisten?

Fehlendes Update: Muss Cyberversicherer dennoch leisten?

Ein gegen Hackerangriffe versichertes Unternehmen wird Opfer einer Ransomware-Attacke. Wie sich herausstellte, verfügten einige der Server nicht über aktuelle Sicherheitsupdates. Muss also der Versicherer dennoch für den Schaden leisten?

Das Landgericht Tübingen (LG) hat entschieden, dass ein Versicherer auch dann zur Leistung im Cyberschadenfall verpflichtet ist, wenn nicht alle Server beim Versicherungsnehmer mit aktuellen Sicherheitsupdates ausgestattet sind.

Im konkreten Fall verfügte die interne IT-Infrastruktur eines Unternehmens über verschiedene Server, von denen nicht alle mit den aktuellen Sicherheitsupdates des Betriebssystems von Microsoft Windows ausgestattet waren. Zwischen dem Unternehmen und einem Versicherer kam im April 2020 ein Cyberversicherungsvertrag zustande.

Cyberkriminelle drohen mit Veröffentlichung von Daten

Kurze Zeit später wurde das versicherte Unternehmen Opfer eines Cyberangriffs. Mittels einer Phishing-Mail wurde ein Verschlüsselungstrojaner („Ransomware“) eingeschleust und legte fast die gesamte IT-Infrastruktur des Betriebs lahm. Ein Mitarbeiter hatte nämlich auf seinem Dienst-Laptop einen als Rechnung getarnten E-Mail-Anhang geöffnet. Der Dienst-Laptop war über einen VPN-Tunnel mit dem Netzwerk verbunden, sodass der Trojaner über den VPN-Tunnel in das IT-System des Unternehmens gelangte. Der Trojaner bewirkte, dass sämtliche Server heruntergefahren wurden. Ein Neustart scheiterte an der Verschlüsselung. Die Cyberkriminellen verlangten ein Lösegeld in Bitcoins, andernfalls drohten sie mit der Veröffentlichung sensibler Firmendaten.

Versicherer beruft sich auf fehlende Sicherheitsupdates

Das Unternehmen ging auf die Forderung nicht ein. Eine vom Versicherer veranlasste forensische Sicherung der Daten durch einen externen Dienstleister gelang lediglich teilweise. Die IT-Infrastruktur des Betriebs blieb verschlüsselt und musste wieder neu aufgebaut werden. Gegenüber dem Versicherer machte das Unternehmen daher einen Gesamtschaden in Höhe von rund 3,8 Mio. Euro geltend.

Der Versicherer allerdings lehnte die Leistung mit der Begründung ab, dass das Unternehmen seine vorvertraglichen Anzeigepflichten verletzt habe, da manche Risikofragen falsch beantwortet worden wären. Außerdem seien für mehrere Server des Betriebs seit Jahren keine Sicherheitsupdates mehr verfügbar gewesen, was dem Unternehmen aber bekannt war. Zwar wäre der Cyberangriff nach Ansicht des Versicherers möglicherweise auch dann geschehen, wenn das IT-System aktuell gewesen wäre. Die Defizite hätten sich aber auf den Umfang des eingetretenen Schadens ausgewirkt, da moderne Systeme wie eine Zwei-Faktoren-Authentifizierung deutlich widerstandsfähiger seien und das Ausmaß des Angriffs hätten beschränken können.

Gutachten: Update hätte weder Angriff noch Schadenhöhe beeinflusst

Damit allerdings war das versicherungsnehmende Unternehmen nicht einverstanden und zog vor das LG. Und die Richter am LG waren der Auffassung, dass der Versicherer trotz der fehlenden Updates nicht leistungsfrei geworden sei. So habe ein Sachverständigengutachten für die Kammer nachvollziehbar und überzeugend ausgeführt, dass zwar eine Vielzahl der von der Klägerin eingesetzten Server nicht über aktuelle Sicherheitsupdates verfügten und damit veraltet waren, sich dies aber weder auf den Eintritt des Versicherungsfalls noch auf das Ausmaß des hierdurch ausgelösten Schadens ausgewirkt hat.

Demnach wurde bei dem Cyberangriff eine vorhandene Schwachstelle von Windows ausgenutzt, die unabhängig von der Aktualität des betroffenen Systems bestehe. Das Gutachten kommt daher zu dem Ergebnis, dass auch ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens hätte beeinflussen können. Weder die Anzahl der betroffenen Server noch der Schaden wären verringert worden.

Versicherer hat die Risikofragen nicht eindeutig genug formuliert

Außerdem stellte das LG fest, dass keine Verletzung der vorvertraglichen Anzeigenpflicht vorläge. Die vom Versicherer vermissten weiteren Sicherheitsmaßnahmen wie z. B. eine Zwei-Faktoren-Authentifizierung oder ein Monitoring-System waren nämlich kein Gegenstand der zu beantwortenden Risikofragen. Außerdem sei in den strittigen Risikofragen von stationären und mobilen Arbeitsrechnern und eben nicht von Servern die Rede gewesen, monierte das LG. Der Versicherer habe daher nicht klar genug formuliert.

Allerdings reduzierten die Richter am LG die geschuldete Leistung des Versicherers auf rund 2,6 Mio. Euro, sodass der Betrieb wohl auf rund einem Drittel des Gesamtschadens sitzen bleiben wird. (as)

LG Tübingen, Urteil vom 26.05.2023 – Az. 4 O 193/21

Bild: © Pixel-Shot – stock.adobe.com