Photo credit: depositphotos.com
Das Landgericht Kiel (Az. 5 O 128/21) hat am 23.05.2024 entschieden, dass eine Cyberversicherung keine Leistungen erbringen muss, wenn bei Vertragsabschluss wissentlich falsche Angaben gemacht wurden. Das zweite Urteil Deutschlands zu einer Cyberversicherung verdeutlicht einmal mehr die Bedeutung von Risikofragen und unterstreicht, dass die Absicherung von IT-Systemen unter anderem davon abhängt, geeignete Maßnahmen zu ergreifen und aufrecht zu erhalten, um den Zugriff durch Hacker zu vermeiden. Dazu gehören mindestens Firewalls, aktuelle Antivirenprogramme und natürlich das unverzügliche Einspielen von verfügbaren Sicherheitsupdates.
Die Klägerin, eine Holzgroßhändlerin mit 16 Standorten in Norddeutschland, hatte im März 2020 eine Cyberversicherung abgeschlossen. Während des Antragsprozesses wurden unter anderem die Fragen, ob die Arbeitsrechner mit aktueller Antivirensoftware ausgestattet sind und verfügbare Sicherheitsupdates unverzüglich aufgespielt werden mit „Ja“ beantwortet. Aufgrund einer gravierenden Sicherheitslücke erhielten Hacker Zugriff auf das IT-System der Klägerin und konnten Daten „erbeuten“. Die Klägerin musste fast 500.000 Euro aufwenden, um diese Sicherheitslücke zuschließen und die Schadsoftware nachhaltig von ihrem IT-System zu entfernen. Diese Kosten verlangte sie von der Cyberversicherung, worauf diese die Anfechtung des Versicherungsvertrages erklärte.
Zurecht, wie das Landgericht Kiel nunmehr entschieden hat. Entgegen den Angaben im Versicherungsantrag, wurden die entscheidenden Arbeitsrechner mit einer veralteten Software betrieben, für die keine Sicherheitsupdates mehr zur Verfügung gestellt wurden. Außerdem waren diese Rechner auch nicht mit einer aktuellen Antivirensoftware geschützt. Da der betreffende Mitarbeiter der Klägerin im Antragsprozess die Risikofragen ins Blaue hinein gleichwohl mit „Ja“ beantwortet hatte, kam das Landgericht zu dem Ergebnis einer arglistigen Täuschung.
„Das Urteil unterstreicht die Notwendigkeit einer sorgfältigen Risikobewertung und die Pflicht der Versicherungsnehmer aber auch der für sie tätigen Versicherungsvermittler, umfassende und wahrheitsgemäße Informationen bereitzustellen.“ so Rechtsanwalt Tobias Strübing der Kanzlei Wirth Rechtsanwälte, „Unternehmen sollten zudem sicherstellen, dass auch nach Abschluss der Cyberversicherung alle Sicherheitsmaßnahmen auf dem neuesten Stand sind, um das Risiko nicht zu erhöhen.“