Ein Artikel von Tobias Strübing, Fachanwalt für Versicherungsrecht der Kanzlei Wirth Rechtsanwälte
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte im Jahr 2023 rund 250.000 neue Schadprogramm-Varianten pro Tag in Deutschland. Für die IT-Sicherheit in Deutschland gelten Schadprogramme, die den Zugriff auf Daten und System unterbinden – sogenannte Ransomware –, als die größte Gefahr. Hauptursache für einen erfolgreichen Cyberangriff ist menschliches Versagen, weil beispielsweise versehentlich genau solche Ransomware auf den Rechner heruntergeladen wird und sich im IT-System des Unternehmens verbreiten kann. Es ist statistisch betrachtet also weniger eine Frage, ob, sondern vielmehr eine Frage, wann ein Unternehmen einen Cyberfall bspw. durch eine Ransomware hat. Cyberangriffe verursachen in Deutschland laut dem Statistischen Bundesamt durchschnittliche Kosten von etwa 20.000 Euro. Weltweit gehen die durchschnittlichen Kosten eines Cyberangriffs sogar in die Millionen. Kosten, die inzwischen mit einer Cyberversicherung versichert werden können.
Genau zu einem solchen Cyberversicherungsfall gibt es nun ein erstes Urteil in Deutschland, das dieser Beitrag genauer betrachten will. Neben Altbekanntem enthält das Urteil auch einige rechtliche Aspekte, die vor allen Dingen bei der Cyberversicherung zukünftig eine hohe Bedeutung haben könnten.
Mitarbeiter aktiviert unbeabsichtigt Ransomware
Der Cybervorfall, den das Landgericht Tübingen in seinem Urteil vom 26.05.2023 (Az. 4 O 193/21) zu bewerten hatte, entspricht exakt dem Risiko, das eingangs beschrieben wurde. Im Ergebnis kostete der Cybervorfall das klagende Unternehmen über 3 Mio. Euro. Ein Mitarbeiter der Klägerin hatte unbeabsichtigt einen als Rechnung getarnten E-Mail-Anhang geöffnet, der einen Verschlüsselungstrojaner (Ransomware) enthielt. Diese Software konnte sich dann über einen geöffneten VPN-Tunnel auf 16 der insgesamt 21 Server ausbreiten und diese unwiderruflich verschlüsseln. Auf Lösegeldforderungen ging die Klägerin nicht ein, sondern stellte ihre IT in mühevoller Kleinarbeit wieder her. Die Wiederherstellungsarbeiten dauerten jedoch Monate und so ist es wenig verwunderlich, dass dieser Cybervorfall die Klägerin mehrere Mio. Euro kostete. Denn in dieser Zeit konnte sie nicht bzw. nur sehr eingeschränkt arbeiten.
Um sich gegen solche Schäden abzusichern, hatte die Klägerin die besagte Cyberversicherung abgeschlossen. Auf der Seite des Cyberversicherers war dafür ein Assekuradeur beauftragt, der auch die Gespräche mit den Mitarbeitern der Klägerin geführt hatte. Zur Erinnerung: Ein Assekuradeur ist ein Versicherungsvertreter, der vom Versicherer mit besonderer Vollmacht ausgestattet ist und bspw. innerhalb vorgegebener Grenzen auch über die Annahme von Versicherungsanträgen entscheiden darf. Was dieser Assekuradeur gegenüber dem Kunden sagt oder was er von dem Kunden bei der Antragsaufnahme erfährt, wird dem Versicherer zugerechnet. Unter anderem diese gesetzliche Regelung wurde dem Cyberversicherer schließlich zum Verhängnis. Gemäß den Ausführungen des Landgerichtes und nach einer umfangreichen Beweisaufnahme hatte dieser Assekuradeur bei Abschluss der Versicherung den Eindruck erweckt, dass die Anforderungen an die IT-Sicherheit seitens des Versicherers nicht besonders hoch seien. Unter anderem wurde behauptet, dass „jede Fritzbox“ ausreichend sei, um die Firewall-Anforderungen zu erfüllen. Die Klägerin wiederum hatte diverse Mitarbeiter, unter anderem auch der IT-Abteilung, einbezogen, um die Gefahrfragen der Versicherung wahrheitsgemäß zu beantworten.
Gefragt war unter anderem danach, ob „verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt werden, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, lediglich Produkte eingesetzt werden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v. a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme)“.
Das war nachweislich und auch unstreitig jedoch nicht der Fall. Obwohl im Zeitpunkt des Vertragsschlusses bereits elf der 21 Server so veraltet waren, dass Microsoft seit Jahren keine Sicherheitsupdates mehr herausgebracht hatte, antwortete die Klägerin auf diese Frage mit „Ja“. Zu diesem „Ja“ kam es aber, weil die Mitarbeiter der Klägerin und auch der von ihr beauftragte Versicherungsmakler nach den Feststellungen des Landgerichts durch die recht laxen Ausführungen des Assekuradeurs fehlgeleitet worden waren und so glaubten, die oben genannte Fragen zutreffend beantwortet zu haben. Zudem hatten die Mitarbeiter der Klägerin dem Assekuradeur vorab mitgeteilt, dass bei ihr zumindest teilweise entsprechend veraltete Server laufen. Der Assekuradeur konnte also durchaus erkennen, dass ein Problem mit der veralteten Software besteht.
Seite 1 Erstes Urteil zur Cyberversicherung setzt neue Maßstäbe
Seite 2 Cyberversicherer scheitert mit Leistungsverweigerung
- Anmelden, um Kommentare verfassen zu können