Das erste Urteil eines deutschen Gerichts zur Cyber-Versicherung lässt aufhorchen!
In seinem Urteil vom 26.05.2023, Az. 4 O 193/21, hat sich das Landgericht Tübingen zur Anwendbarkeit des § 81 Abs. 2 VVG geäußert.
Die Entscheidung des LG Tübingen zur Schadenregulierung eines Cyber-Angriffs in Millionenhöhe dominierte Mitte des Jahres die mediale Berichterstattung zur Cyber-Versicherung. Auch wir als spezialisierter Versicherungsmakler schätzen dieses lesenswerte Urteil als wegweisend ein. Täglich beraten wir unsere Kunden zur Berufshaftpflichtversicherung, aber auch zur Absicherung von Cyber-Schäden. Zur Eindeckung solcher Cyber-Versicherungen ist die gewissenhafte und korrekte Beantwortung der Risikofragen notwendig und stellt eine Voraussetzung für die Versicherbarkeit dar.
Die Gerichtsentscheidung bringt diesbezüglich nun mehr Klarheit für die Praxis.
Was war passiert?
Die IT-Systeme – insbesondere die Server – eines Versicherungsnehmers wurden Mitte 2020 durch eine bislang unbekannte Hackergruppe mithilfe einer Phishing-Mail und damit eingeschleuster Ransomware (Verschlüsselungs-Trojaner) verschlüsselt. Der Versuch, die betroffenen Server wieder neu zu starten, blieb aufgrund der Verschlüsselung erfolglos.
Das entscheidende Einfallstor bei diesem sog. „Pass-the- Hash“-Cyber-Angriff* war ein als Rechnung getarnter E-Mail Anhang, welcher von einem Firmenlaptop aus geöffnet wurde und sich durch die VPN-Verbindung auf dem Netzwerk des Versicherungsnehmers verbreiten konnte, da dessen IT-Infrastruktur aus mehreren Servern ohne aktuelle Sicherheitsupdates des Betriebssystems von Microsoft Windows verfügte.
Was war das Ziel des Hackerangriffs?
Ziel des Angriffs war die Zahlung eines Lösegeldes (Forderungshöhe nicht bekannt) in Bitcoin verbunden mit der Drohung, sensible Kundendaten bei Nichtzahlung zu veröffentlichen.
Der Versicherungsnehmer ging auf die Lösegeldforderung nicht ein, sodass ein fünf Monate andauernder Neuaufbau der IT notwendig war.
Wie hoch war der Schaden?
Der Gesamtschaden abzüglich des Selbstbehalts belief sich auf € 3.771.767,12.
Die Schadenhöhe infolge einer Cyber-Attacke setzt sich aus verschiedenen Komponenten zusammen. Der Eigenschaden des Betroffenen setzt sich in der Regel aus Kosten und Umsatzeinbußen zusammen:
- Sachschaden
- Betriebsunterbrechungsschaden
- Schadenminderungsmaßnahmen
- Kosten der Schadenfeststellung
- Kosten des eigenen Sachverständigen
Diese Aufzählung ist selbstverständlich nicht abschließend. Es können beispielsweise auch Kosten für Krisenmanagement (z.B. PR-Beratung, Rechtsberatung wg. Verstoß gegen die DSGVO) oder Kosten in Verbindung mit Cyber-Betrug oder Diebstahl entstehen.
Hat der Cyber-Versicherer den Schaden gezahlt?
Über die bestehende Cyber-Versicherung hat der Versicherungsnehmer den Cyber-Vorfall gemeldet und die oben genannte Schadenhöhe geltend gemacht. Der Cyber-Versicherer verweigerte die Schadenzahlung und erklärte den Rücktritt vom Versicherungsvertrag mit der Begründung, dass der Versicherungsnehmer die vorvertraglichen Anzeigepflichten durch falsch beantwortete Risikofragen verletzt habe. Zudem sei dem Versicherungsnehmer bekannt gewesen, dass für einige Server keine Sicherheitsupdates mehr zur Verfügung standen. Ferner führte der Versicherer an, dass der Umfang des Schadens hätte gemindert werden können, wenn modernere Sicherungsmechanismen, wie eine Zwei-Faktor-Authentifizierung, implementiert gewesen wären.
Führt der Versicherungsnehmer den Versicherungsfall vorsätzlich herbei, ist der Versicherer gemäß § 81 Abs. 1 VVG nicht zur Leistung verpflichtet. Gemäß § 81 Abs. 2 VVG steht dem Versicherer eine verhältnismäßige Kürzung der Leistung zu, wenn der Versicherungsnehmer den Versicherungsfall grob fahrlässig herbeiführt (sog. Quotelung).
Auf diesen Risiko-Ausschluss-Tatbestand berief sich der Versicherer ergänzend zum von ihm erklärten Rücktritt vom Vertrag, um seine Leistungsbefreiung zu begründen.
Der Versicherungsnehmer sah jedoch keine Verletzung der vorvertraglichen Anzeigepflicht und erhob gegen den Versicherer Klage vor dem LG.
Wie hat das LG Tübingen entschieden?
Aufgrund eines Sachverständigengutachtens stellte das LG Tübingen fest, dass selbst wenn zum Zeitpunkt des Cyber-Angriffs die Sicherheitslücken nicht bestanden hätten bzw. Updates eingespielt gewesen wären, der Angriff selbst nicht hätte abgewehrt und auch die Schadenhöhe nicht hätte gemindert werden können.
Des Weiteren stellte das LG Tübingen fest, dass der Versicherungsnehmer bei der Beantwortung der Risikofragen keine Verletzung der vorvertraglichen Anzeigepflicht begangen habe und spezielle Sicherheitsmaßnahmen, wie z.B. eine Zwei-Faktor-Authentifizierung oder die Verwendung von Monitoring-Systemen nicht Gegenstand der Risikofragen waren. Deshalb stellte auch die Nichtimplementierung dieser Absicherungen keine Obliegenheitsverletzung dar.
Ferner sei die Anwendbarkeit des § 81 Abs. 2 VVG dann nicht gegeben, wenn die Gefahrenlage bereits bei Vertragsschluss vorlag.
Das Landgericht sprach dem Versicherungsnehmer einen Anspruch gegen den Cyber-Versicherer in Höhe von € 2.858.923,54 zu.
Managementhinweis – Safety first!
Aufgrund der Gerichtsentscheidung wird deutlich, dass ein Rücktritt des Versicherers vom Versicherungsvertrag nur dann möglich ist, wenn der Versicherer konkret nach bestimmten IT-Sicherheitsmaßnahmen des Versicherungsnehmers fragt. Fragt der Versicherer danach nicht, kann er sich im Schadenfall nicht darauf beziehen oder von einer Verletzung der vorvertraglichen Anzeigepflicht sprechen. Der Versicherungsschutz erlischt somit nicht, nur weil bei Antragsstellung eine Risikofrage nicht richtig beantwortet wurde.
Im Hinblick auf § 81 Abs. 2 VVG, der eine Quotelung der Versicherungsleistung zulasten des Versicherungsnehmers bei grobfahrlässiger Herbeiführung des Versicherungsfalls vorsieht, ist zu beachten, dass es im Markt Versicherer gibt, die in ihren Versicherungsbedingungen auf § 81 Abs. 2 VVG verzichten. Die Auswahl eines solchen Versicherungsproduktes ermöglicht es, eventuellen Diskussionen über eine Quotelung von vorneherein aus dem Weg zu gehen.
Nichtsdestoweniger ist eine Absicherung vor Cyber-Schäden wichtiger denn je. Die Frage lautet nicht mehr, ob Sie Opfer eines Cyber-Angriffs werden, sondern wann und wie hoch der Schaden sein wird.
Wir stehen Ihnen als spezialisierter Versicherungsmakler mit unserem Knowhow zum Abschluss oder zur Überprüfung Ihrer Cyber-Versicherung gerne zur Verfügung.
*Bei einem „PasstheHashAngriff (auch PtH genannt) handelt es sich um eine Angriffsmethode, wodurch Administratorenrechte für alle Server des betroffenen Unternehmens erlangt werden.
