In einem Urteil des Landgerichts Hagen (LG) vom 15.12.2024 wurde die Klage eines Unternehmens gegen seinen Cyber-Versicherer abgewiesen. Das Unternehmen hatte aufgrund gefälschter E-Mails 85.000 Euro an Betrüger überwiesen und forderte diesen Betrag von seiner Versicherung zurück. Das Gericht entschied jedoch, dass kein Versicherungsfall vorlag, da keine Verletzung der eigenen IT-Systeme des Unternehmens stattgefunden hatte. Der Betrug resultierte aus einem Angriff auf das System eines Dritten, nämlich des Lieferanten, und fiel daher nicht unter den Versicherungsschutz.
Phishing-Angriff: Unternehmen fällt auf gefälschte E-Mails herein
Das Unternehmen hatte seit Mai 2020 eine Cyberversicherung mit jährlicher Verlängerung, die auch „Cyber-Vertrauensschäden“ abdeckte. Es stand in regelmäßigem Kontakt mit einem polnischen Lieferanten, üblicherweise per E-Mail – auch zur Klärung offener Rechnungen. Eines Tages erhielt das Unternehmen eine Nachricht, in der der vermeintliche Lieferant eine neue Bankverbindung mitteilte. Nach weiteren Mails, in denen Bestellungen und Zahlungen besprochen wurden, überwies das Unternehmen 85.000 Euro auf das neue Konto.
Erst als der echte Lieferant unbezahlte Rechnungen anmahnte, wurde der Betrug erkannt. Die E-Mails waren gefälscht, das Konto gehörte nicht dem Lieferanten. Das Unternehmen erstattete Anzeige und meldete den Schaden der Versicherung.
Es stellte sich heraus, dass der Exchange Server des Lieferanten vermutlich gehackt wurde. Der Versicherer lehnte die Schadensregulierung ab, woraufhin das Unternehmen Klage erhob.
Das Unternehmen argumentierte, dass der Eingriff in den E-Mail-Verkehr und den Zahlungsprozess einem Angriff auf sein eigenes Telekommunikationsnetzwerk gleichkomme. Da der Täter das echte Postfach des Lieferanten nutzte, liege keine bloße Nachbildung einer E-Mail-Adresse vor. Zudem seien die Versicherungsbedingungen zu überprüfen und nach einer Inhaltskontrolle unwirksam.
Der Versicherer widersprach: Die Systeme des Unternehmens seien nicht kompromittiert worden, es handele sich lediglich um einen Täuschungsschaden. Der Erhalt einer betrügerischen E-Mail allein begründe keinen Versicherungsschutz.
Das Gericht folgte der Argumentation des Versicherers und sah keinen Versicherungsfall, da keine Informationssicherheitsverletzung vorlag. Weder wurden Datenschutzbestimmungen verletzt noch die Netzwerksicherheit der Klägerin beeinträchtigt.
Cyber-Betrug ist kein Angriff auf das eigene IT-System
Ein durchschnittlicher Versicherungsnehmer würde die entsprechende Klausel in den Allgemeinen Versicherungsbedingungen so verstehen können, dass sein eigenes Netzwerk betroffen sein muss. Der Empfang täuschend echter E-Mails stellt jedoch keinen direkten Angriff auf die IT-Systeme der Klägerin dar, da deren E-Mail-System normal funktionierte. Der Angriff betraf allein das Netzwerk des Lieferanten.
Zudem bleibt eine Netzwerksicherheitsverletzung beim Versicherungsnehmer Voraussetzung für den Versicherungsschutz, die hier nicht gegeben war. Der Fall ähnele eher einem klassischen Betrug als einem Cyber-Angriff.
Auch ein Vertrauensschaden lag nicht vor, da keine Sicherheitsverletzung durch Mitarbeiter oder Dritte innerhalb des Unternehmens geschah. Das Gericht bestätigte außerdem die Klarheit der Versicherungsbedingungen: Eine Cyber-Versicherung schützt nur das eigene IT-System, nicht weltweite Hacker-Angriffe mit indirekten Folgen. Andernfalls würde jede Teilnahme am E-Mail-Verkehr ein erhebliches Risiko darstellen. (bh)
LG Hagen, Urteil vom 15.10.2024 – Az: 9 O 258/23
- Anmelden, um Kommentare verfassen zu können
