Rücktritt und Gefahrerhöhung in der Cyberversicherung

Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) registrierte im Jahr 2023 rund 250.000 neue Schadprogramm-Varianten pro Tag in Deutschland. Für die IT-Sicherheit in Deutschland gelten Schadprogramme, die den Zugriff auf Daten und System unterbinden (sogenannte Ransomware), als die größte Gefahr.

Ein Beitrag von Tobias Strübing, Rechtsanwalt, Wirth–Rechtsanwälte Rechtsanwälte in Partnerschaft mbB

Hauptursache für einen erfolgreichen Cyberangriff ist menschliches Versagen, weil beispielsweise versehentlich genau solche Ransomware auf den Rechner heruntergeladen wird und sich im IT-System des Unternehmens verbreiten kann. Es ist statistisch betrachtet also weniger eine Frage, ob, sondern vielmehr wann ein Unternehmen einen Cybervorfall, beispielsweise durch eine Ransomware, hat. Cyber-angriffe verursachen in Deutschland laut dem Statistischen Bundesamt durchschnittliche Kosten von etwa 20.000 Euro. Kosten, die inzwischen mit einer Cyberversicherung versichert werden können.

Der Cybervorfall, den das Landgericht Tübingen in seinem Urteil vom 26. Mai 2023 zum Geschäftszeichen 4 O 193/21 zu bewerten hatte, entspricht exakt dem Risiko, das wir eingangs beschrieben haben, und kostete das klagende Unternehmen über drei Millionen Euro. Ein Mitarbeiter der Klägerin hatte unbeabsichtigt einen als Rechnung getarnten E-Mail-Anhang geöffnet, der einen Verschlüsselungstrojaner (Ransomware) enthielt.

Diese Software konnte sich dann über einen geöffneten VPN-Tunnel auf 16 der insgesamt 21 Server ausbreiten und diese unwiderruflich verschlüsseln. Auf Lösegeldforderungen ging die Klägerin nicht ein, sondern stellte ihre IT in mühevoller Kleinarbeit wieder her. Die Wiederherstellungsarbeiten dauerten jedoch Monate und kosteten die Klägerin mehrere Millionen Euro, insbesondere aufgrund der längeren Betriebsunterbrechung.

Um sich gegen solche Schäden abzusichern, hatte die Klägerin die besagte Cyberversicherung abgeschlossen. Für den Abschluss des Versicherungsvertrages hatte die Cyberversicherung einen Assekuradeur beauftragt, der auch die Gespräche mit den Mitarbeitern der Klägerin geführt hatte.

Redliche Beantwortung der Gefahrfragen

Gemäß den Ausführungen des Landgerichtes und nach einer umfangreichen Beweisaufnahme hatte dieser Assekuradeur bei Abschluss der Versicherung den Eindruck erweckt, dass die Anforderungen an die IT-Sicherheit seitens der Versicherung nicht besonders hoch seien. Unter anderem wurde behauptet, dass „jede Fritzbox“ ausreichend sei, um die Firewall-Anforderungen zu erfüllen. Die Klägerin wiederum hatte diverse Mitarbeiter, unter anderem auch der IT-Abteilung, einbezogen, um die Gefahrfragen der Versicherung wahrheitsgemäß zu beantworten.

Gefragt war unter anderem danach, ob „verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt werden und für die Software, die für den Betrieb des IT-Systems erforderlich ist, lediglich Produkte eingesetzt werden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft vor allem Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme).“

Das war nachweislich und auch unstreitig jedoch nicht der Fall. Obwohl im Zeitpunkt des Vertragsschlusses bereits 11 der 21 Server so veraltet waren, dass Microsoft seit Jahren keine Sicherheitsupdates mehr herausgebracht hatte, antwortete die Klägerin auf diese Frage mit „Ja“. Zu diesem „Ja“ kam es aber, weil die Mitarbeiter der Klägerin und auch der von ihr beauftragte Versicherungsmakler nach den Feststellungen des Landgerichts durch die recht laxen Ausführungen des Assekuradeurs fehlgeleitet wurden und so glaubten, die oben genannte Frage zutreffend beantwortet zu haben.

Das sah die verklagte Cyberversicherung naturgemäß anders. Sie nutzte die Gunst der Stunde und nahm die vermeintliche Falschbeantwortung als Grund, die Leistung zu verweigern. Zunächst erklärte sie den Rücktritt vom Vertrag, mit der Behauptung, die Klägerin habe die oben genannte Frage absichtlich falsch beantwortet. Hilfsweise führte sie Leistungsfreiheit aufgrund einer Gefahrerhöhung und Leistungsfreiheit aufgrund vorsätzlicher, mindestens aber grob fahrlässiger Herbeiführung des Versicherungsfalls an.

Das sind alles Einwendungen, die wir so oder so ähnlich in vielen Versicherungsstreitigkeiten erleben, und auf den ersten Blick scheint der Fall auch klar zu sein. Immerhin war die Software teilweise so veraltet, dass dafür nicht mal mehr Sicherheitsupdates verfügbar waren. Allerdings scheiterte die Versicherung mit all ihren Einwänden vor dem Landgericht Tübingen und wurde dazu verurteilt, der Klägerin etwa 2,9 Millionen Euro zu zahlen.

Die Entscheidung des LG Tübingen

Das Landgericht Tübingen stellte zunächst fest, dass die Klägerin die Frage bezüglich der Sicherheitsupdates allenfalls fahrlässig falsch beantwortet hatte, vor allem aufgrund der Äußerungen des Assekuradeurs. Dieser hätte den Eindruck erweckt, dass die Versicherung keine allzu hohen Anforderungen an die IT-Sicherheit stelle. Entscheidend sei auch gewesen, dass dieser Assekuradeur auf eine Nachricht der Klägerin nicht mehr reagierte, in der sie diesem vor Abschluss des Vertrages mitteilte, auch ältere Server einzusetzen, die nicht mehr upgedatet werden könnten.

Da der Assekuradeur ein Versicherungsvertreter mit besonderer Vollmacht ist, hat das Landgericht dessen Handlungen und Aussagen, vor allen Dingen aber dessen Wissen um die alten Server der Versicherung zugerechnet.

Kausalitätsgegenbeweis erlaubt

Die Folge dieser Wertung des Landgerichtes war, dass die Klägerin den Kausalitätsgegenbeweis führen konnte. Dieser Kausalitätsgegenbeweis kann immer dann geführt werden, wenn keine arglistige Anzeigepflichtverletzung vorliegt. Er führt zu einer Leistungsverpflichtung der Versicherung, wenn die Verletzung der Anzeigepflicht (hier die fehlenden Sicherheitsupdates) weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für die Feststellung oder den Umfang der Leistungspflicht ursächlich geworden ist.

Da diese technische Frage vom Landgericht nicht selbst beantwortet werden konnte, holte dieses ein Sachverständigengutachten ein. Mit diesem Gutachten sollte verbindlich und objektiv geklärt werden, ob die fehlenden Sicherheitsupdates den Schaden verursacht oder erhöht haben. Der Sachverständige kam jedoch zu dem Schluss, dass die heruntergeladene Schadsoftware sowohl die alten als auch die neuen Server gleichermaßen betroffen hatte.

Dies bedeutete, dass die fehlenden Sicherheitsupdates offensichtlich keinen Einfluss auf den Schaden hatten. Damit konnte die Klägerin den Kausalitätsgegenbeweis führen und die beklagte Versicherung blieb damit zur Leistung verpflichtet.

Aus diesem Grund scheiterte die Versicherung auch mit ihrem Einwand, sie sei aufgrund einer Gefahrerhöhung leistungsfrei. Gemäß § 26 Abs. 3 Nr. 1 VVG wird sie nämlich dann nicht wegen einer vermeintlichen Gefahrerhöhung leistungsfrei, wenn der Versicherungsnehmer den Kausalitätsgegenbeweis führen kann. Ohnehin scheint es in diesem Fall aber fraglich zu sein, ob eine Gefahrerhöhung vorlag.

Auch wenn es dem Landgericht im Ergebnis nicht darauf ankam, waren die Server schon bei Vertragsschluss veraltet und hatten keine Sicherheitsupdates bekommen. Eine Gefahrerhöhung liegt aber nur dann vor, wenn sich nach Abschluss des Versicherungsvertrages die Risikosituation zum Nachteil der Versicherung auf Dauer geändert hat. Das war nach den Ausführungen des Landgerichts aber ohnehin nicht der Fall.

Das war schließlich auch der Grund, warum die Versicherung auch mit ihrem Einwand, dass die Klägerin den Versicherungsfall vorsätzlich oder zumindest grob fahrlässig herbeigeführt habe, scheiterte. Obwohl technische Maßnahmen zur Verfügung standen, um den Schaden auch bei veralteter Software zu verhindern oder zu begrenzen, war der Anwendungsbereich für diesen Einwand nicht gegeben, da die Gefahrenlage bereits zum Zeitpunkt des Vertragsabschlusses bestanden hatte.

Kontinuierliche Weiterentwicklung vonnöten

Neben dem altbekannten Thema einer vorvertraglichen Anzeigepflichtverletzung zeigt dieses Urteil, was zukünftig in der Cyberversicherung eine besondere Rolle spielen könnte. Um IT-Systeme sicher zu halten, sind verschiedene technische, aber auch datenschutzrechtliche Maßnahmen zu ergreifen, die sich ständig und mit zunehmender Geschwindigkeit weiterentwickeln. Es reicht daher nicht, nur Gefahrfragen genau zu lesen und wahrheitsgemäß zu beantworten.

Um dem Einwand einer Gefahrerhöhung oder sogar der grob fahrlässigen Herbeiführung des Cyberversicherungsfalles aus dem Weg zu gehen, müssen diese technischen und rechtlichen Weiterentwicklungen ständig beobachtet und angepasst werden. Ansonsten riskieren Versicherungsnehmer solcher Versicherungspolicen ihren Versicherungsschutz. So ist es genauso gut möglich, dass Schadsoftware vorhandene Sicherheitslücken ausnutzt, die durch entsprechende technische Maßnahmen nicht oder nicht rechtzeitig geschlossen wurden.

Fazit

Die Entscheidung des Landgerichts zeigt für Vermittler zudem zweierlei: Aufgrund der Masse an Schadsoftware in Kombination mit dem Faktor Mensch ist es statistisch betrachtet weniger eine Frage, ob ein Unternehmen einen Cybervorfall hat, sondern eher wann.

Die Cyberversicherung sollte daher in der Beratung standardmäßig empfohlen werden, da durch Cybervorfälle für Unternehmen hohe Schäden drohen. Zudem fordert die Vermittlung solcher Versicherungen vom Vermittler zumindest ein technisches Grundverständnis der zu versichernden Risiken, um Gefahrfragen wahrheitsgemäß mit dem Kunden beantworten zu können. Außerdem sollten Kunden auf die besondere Bedeutung nachvertraglicher Obliegenheiten und das Risiko etwaiger Gefahrerhöhungen et cetera hingewiesen werden.

Bild (2): © Wirth–Rechtsanwälte Rechtsanwälte in Partnerschaft mbB