LG Tübingen: Wann greift eine Cyber-Versicherung

Eine Cyber-Versicherung schützt Unternehmen und Privatpersonen vor den finanziellen Folgen von Cyber-Angriffen und Datenverlusten. In einer digitalisierten Welt, in der immer mehr Geschäftsprozesse und persönliche Informationen online abgewickelt und gespeichert werden, steigt das Risiko von Hackerangriffen, Ransomware und Datendiebstahl. Ein solcher Vorfall kann erhebliche finanzielle Schäden verursachen, von Geschäftsausfällen bis hin zu Rechtsstreitigkeiten. Eine Cyber-Versicherung deckt diese unerwarteten Kosten, bietet oft auch Unterstützung durch Experten im Krisenmanagement und minimiert so das finanzielle Risiko. Sie trägt dazu bei, den Geschäftsbetrieb schnell wieder aufzunehmen und das Vertrauen der Kunden wiederherzustellen. – So jedenfalls das Idealbild.

Tritt der Schadensfall ein, so zeigt sich jedoch, dass Versicherungsgeber oftmals versuchen, die Versicherungssumme aufgrund etwaiger Klauseln nicht auszubezahlen. Das Landgericht Tübingen hat nun in einem Urteil aus diesem Jahr festgehalten, welche Aspekte zu berücksichtigen sind, um die versicherte Summe dennoch auszuzahlen.

 

Rahmenbedingungen einer Cyberversicherung

Der Cyber-Versicherungsvertrag im beurteilten Fall umfasste unter anderem verschiedene Risiken wie den „Schutz von Sachen und Daten“, eine „Betriebsunterbrechung“ und den „Schutz in Fällen von Fremdschäden“ bei einer Deckungssumme von 5 Millionen Euro.

Bei Vertragsschluss hatte das Unternehmen verschiedene Fragen – wahrheitsgemäß – zu beantworten:

• „Die IT des Unternehmens wird durch mindestens einen IT-Spezialisten betreut.“
• „Es werden regelmäßig (mind. wöchentlich) Datensicherungen durchgeführt.“
• „Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet.“
• „Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme).“
• „Es werden Hard- und Software (wie Firewalls) zum Schutz des Unternehmensnetzwerks eingesetzt.“

 

Umstände des Einzelfalls

„Die Klägerin wurde ab 29.05.2020 Opfer eines Cyber-Angriffs durch bislang nicht identifizierte Angreifer. Mittels einer sog. Phishing-Mail wurde ein Verschlüsselungs-Trojaner (sog. „Ransomware“) eingeschleust und legte fast die gesamte IT-Infrastruktur der Klägerin lahm. Ein Mitarbeiter hatte auf seinem Dienst-Laptop einen als Rechnung getarnten E-Mail-Anhang geöffnet.“

Die Versicherung wollte nun vom Cyber-Versicherungsvertrag zurücktreten, indem sie vortrug, dass die Risikofragen (insbesondere zur Aktualität von Systemen und entsprechenden Sicherheitsupdates) nicht richtig beantwortet worden seien: „Bei wahrheitsgemäßer Beantwortung der Risikofragen wäre der Versicherungsvertrag von der Beklagten nie abgeschlossen worden.“

Wie von einem Sachverständigen später festgestellt wurde, waren die Sicherheitsupdates und Systeme des Versicherungsnehmers nicht auf dem neuesten Stand: „Nach dem Cyber-Angriff konnten die Daten von insgesamt 21 der von der Klägerin teils betriebsintern, teils extern bei dem IT-Dienstleister eingesetzten Servern forensisch gesichert werden. Von diesen 21 Servern verfügten nach den Feststellungen des Sachverständigen lediglich 10 über die erforderlichen Sicherheits-Updates; dagegen waren 11 Server nicht auf dem aktuellen Stand.“

Problematisch war jedoch, dass der Cyber-Angriff bei insgesamt 16 der 21 Server erfolgreich verlief und folglich auch Systeme betraf, die sich auf dem aktuellen Stand befanden. Verschlüsselt wurden sogar extern ausgelagerte Server, was darauf zurückzuführen war, dass durch die Phishing-Mail die Administratorenrechte erbeutet wurden: „Diese Administratorrechte erlaubten den Angreifern – was insbesondere auch für das Ausmaß des eingetretenen Schadens maßgeblich ist -, mit dem System „alles […] zu machen“.“

Damit kann die Klägerin für diesen Fall aufzeigen, dass trotz veralteter Systeme und verpasster Updates keine Gefahrerhöhung vorliegt, die anzeigepflichtig gewesen wäre und letztlich den Versicherungsfall ausschließen würde.

 

Fazit: Zahlung mangels Kausalität

„Gelingt es, dass bei einem sog. “Pass-the-Hash”-Cyber-Angriff unter Ausnutzung einer bekannten Schwachstelle des Betriebssystems von Microsoft Administratorenrechte für alle Server des geschädigten Unternehmens erbeutet werden, lässt der Umstand, dass nicht alle Server mit den aktuellen Sicherheits-Updates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt, weil eine mögliche Verletzung einer diesbezüglichen Anzeigeobliegenheit weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für Feststellung oder den Umfang der Leistungspflicht ursächlich ist, es sei denn, der Versicherungsnehmer hat arglistig gehandelt.“

Um Risiken frühzeitig feststellen und beheben zu können, empfiehlt sich ein regelmäßiges Audit des Status-Quo in Bezug auf Datenschutz- und IT-Sicherheits-Themen. Als kostengünstige Alternative zu Vor-Ort-Audits bietet die IITR Datenschutz GmbH webbasierte Audits und Zertifizierungen an.