Veraltete Server und fehlende Sicherheits-Updates führen auch in der Cyber-Versicherung nicht zwangsläufig dazu, dass der Versicherer nicht zahlen muss. Das hat das Landgericht Tübingen in einem Urteil zu einer Cyber-Versicherung am 26. Mai 2023 zum Geschäftszeichen 4 O 193/21 entschieden. Es verurteilte die beklagte Cyber-Versicherung zur Zahlung von knapp 3 Millionen Euro, obwohl die betroffenen Server der Klägerin zum Teil schon so alt waren, dass Microsoft dafür keine Sicherheits-Updates mehr auslieferte.

Da es sich deutschlandweit um die erste Gerichtsentscheidung zu einem Cyber-Versicherungsfall handelt, lohnt es sich, diese genauer zu betrachten.

Der Fall: ein Cyber-Angriff

In dem Fall war das passiert, was statistisch betrachtet die Hauptursache für einen Cyber-Vorfall ist: menschliches Versagen. Ein Mitarbeiter der Klägerin hatte versehentlich den Anhang einer E-Mail geöffnet, die einen Verschlüsselungstrojaner (Ransomware) enthielt. Diese Software breitete sich über einen geöffneten VPN-Tunnel auf 16 der insgesamt 21 Server aus und verschlüsselte sie unwiderruflich.

Die Wiederherstellung dauerte Monate und kostete die Klägerin mehrere Millionen Euro, insbesondere auch aufgrund der längeren Betriebsunterbrechung.

Gegen Schäden dieser Art hatte die Klägerin eine Cyber-Versicherung abgeschlossen. Für die Versicherung ist dabei ein sogenannter Assekuradeur tätig geworden. Dieser soll nach dem Ergebnis einer umfangreichen Beweisaufnahme bei Vertragsabschluss den Eindruck erweckt haben, dass „seitens der Beklagten keine hohen Anforderungen hinsichtlich der IT-Sicherheit gestellt werden“.

Dabei soll sogar die Äußerung gefallen sein, dass dem Versicherer „hinsichtlich der Firewall ‚jede Fritzbox‘ ausreichen würde“.

Die Klägerin hatte vor Vertragsabschluss unter anderem die folgende Gefahrfrage vorgelegt bekommen: „Verfügbare Sicherheits-Updates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheits-Updates bereitgestellt werden (dies betrifft vor allem Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme).“

Gefahrfrage arglistig falsch beantwortet?

Diesen Punkt beantwortete die Klägerin mit „Ja“ – obwohl bereits zu diesem Zeitpunkt elf ihrer insgesamt 21 Server so veraltet waren, dass Microsoft dafür zum Teil seit Jahren keine Sicherheits-Updates mehr herausgebracht hatte.

Dies nahm die verklagte Cyber-Versicherung zum Anlass, die Leistung zu verweigern. Zunächst einmal erklärte sie den Rücktritt vom Vertrag: Die Klägerin habe die genannte Frage arglistig falsch beantwortet. Hilfsweise wandte sie Leistungsfreiheit wegen einer Gefahrerhöhung und wegen vorsätzlicher Herbeiführung des Versicherungsfalls ein.

Mit allen Einwendungen scheiterte sie jedoch vor dem Landgericht und muss nun etwa 2,9 Millionen Euro zahlen. Das Landgericht stellte nämlich zunächst fest, dass die Klägerin die Gefahrfrage allenfalls fahrlässig falsch beantwortet hat. Wegen der beschriebenen Äußerungen des Assekuradeurs war der Eindruck entstanden, dass die Versicherung an die IT-Sicherheit keine besonders hohen Anforderungen stellte.

Außerdem wusste der Assekuradeur von den alten Servern. Da er streng genommen ein Versicherungsvertreter mit besonderer Vollmacht ist, hat das Landgericht seine Äußerungen und Kenntnisse der Versicherung zugerechnet.

Alte und neue Server gleichermaßen betroffen

Aus diesem Grund stand der Klägerin der sogenannte Kausalitätsgegenbeweis offen. In der Frage, ob die fehlenden Sicherheits-Updates den Schaden erst möglich gemacht oder erhöht hätten, holte das Landgericht ein Sachverständigengutachten ein. Ergebnis: Die alten und die neuen Server waren von der heruntergeladenen Schadsoftware gleichermaßen betroffen. Daher hatten die fehlenden Sicherheits-Updates offensichtlich keinen Einfluss auf den Eintritt oder die Höhe des Schadens. Die Klägerin konnte somit den Kausalitätsgegenbeweis führen.

Aus diesem Grund scheiterte die Versicherung auch mit dem Einwand, sie sei wegen einer Gefahrerhöhung leistungsfrei. Gemäß Paragraf 26 Abs. 3 Nr. 1 VVG (Versicherungsvertragsgesetz) ist sie nämlich zur Leistung verpflichtet, wenn der Versicherungsnehmer den Kausalitätsgegenbeweis führen kann. Dabei ließ das Gericht ausdrücklich offen, ob die Klägerin nach Vertragsschluss überhaupt eine etwaige Gefahr hätte erhöhen können – was mehr als zweifelhaft sein dürfte.

Schlussendlich scheiterte die Versicherung auch mit ihrem Einwand, die Klägerin hätte den Versicherungsfall vorsätzlich oder zumindest grob fahrlässig herbeigeführt. Zwar hätten technische Maßnahmen zur Verfügung gestanden, die den Schaden auch bei veralteter Software verhindert oder verringert hätten. Allerdings ist der Anwendungsbereich für diesen Einwand dann nicht eröffnet, wenn die Gefahrenlage bereits bei Vertragsschluss bestand. Das war hier der Fall.

Auch wenn die Klägerin hier etwas Glück hatte: Kunden sollten die Gefahrfragen – wie bei anderen Versicherungen ebenso – auch bei Cyber-Versicherungen sehr genau lesen und sie sehr genau beantworten.

Tobias Strübing © Wirth Rechtsanwälte

Über den Autor:

Tobias Strübing ist Fachanwalt für Versicherungsrecht bei der Berliner Kanzlei Wirth Rechtsanwälte.