Keine Leistung bei falschen Angaben in der Cyberversicherung

Gerichtsurteile zur Cyberversicherung sind – bislang – rar gesät. Umso größer ist folglich die Aufmerksamkeit gegenüber einem aktuellen Urteil des Landgerichts Kiel (Urteil vom 23. Mai 2024, Az: 5 O 128/21) genau zu diesem Thema. Im Fokus stand die Frage, ob die Versicherung die Leistung verweigern kann, wenn der Versicherungsnehmer beim Abschluss der Versicherung falsche Angaben gemacht hat.

Im konkreten Fall ging es um einen Holzgroßhandel aus Norddeutschland, der im März 2020 über seinen Makler eine Cyberversicherung bei einem nicht genannten Versicherer abgeschlossen hatte. 

Im Versicherungsantrag galt es bestimmte Risikofragen zu beantworten. Dazu gehörten unter anderem die Fragen nach der Betreuung der Firmen-IT durch IT-Spezialisten und der regelmäßigen Durchführung von Datensicherungen. Auch die folgenden zwei Fragen waren im Antrag enthalten:

„Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet.“

„Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden.“

Beide Fragen beantwortete der Versicherungsnehmer mit „ja“. Dies entsprach jedoch nicht der Wahrheit: So setzte die Firma zum Betrieb des Webshops eine Web SQL-Server mit dem Windows-Betriebssystem 2008 ein, für das seit Januar 2020 keine Sicherheits- und Softwareupdates mehr angeboten wurden. Über diesen Server bestand somit eine Zugriffsmöglichkeit auf die IT-Systeme des Holzhändlers, ohne dass diese durch eine Firewall geschützt gewesen war.

Zudem gab es im Unternehmen zwei weitere Rechner mit Windows 2003, die als Speicherplatz dienten. Auch für diese Rechner gab es weder Virenschutz noch Sicherheitsupdates. Ein Domain Controller – ein Server zur Authentifizierung von Computer und Benutzern in einem Netzwerk – befand sich zudem im Auslieferungsstatus von 2019, was bedeutet, dass keine Sicherheitsupdates vorgenommen worden waren.

Im September 2020 wurde ein unbefugter Zugriff auf die Systeme des Unternehmens festgestellt – über den oben genannten Windows 2008-Server. Hacker hatten die Schadsoftware „DoublePulsar“ auf die Rechner der Firmen gespielt und deren Rechenleistung zum Bitcoin-Mining genutzt.

Der durch den Angriff entstandene Schaden war beträchtlich: Insgesamt verlangte der Versicherungsnehmer von der Versicherung knapp 425.000 Euro. 

Doch diesen Betrag wollte der Versicherer nicht zahlen. Zu Recht, wie das Landgericht Kiel nun urteilte. Denn das Gericht wertete die falschen Angaben des Versicherungsnehmers als arglistige Täuschung. So habe der beim Holzhändler für die IT zuständige Mitarbeiter die Fragen „im Bewusstsein seiner Unkenntnis ins Blaue hinein“ beantwortete, befand das Gericht. Dabei hätte der Sicherheitszustand des IT-Systems vom Mitarbeiter relativ leicht überprüft werden können. Eine Systemüberprüfung habe er aber nicht durchgeführt. Auch an Rückfragen zu den Risikofragen mit anderen Mitarbeitern konnte sich der IT-Mitarbeiter nicht erinnern.

Die Argumentation des Versicherungsnehmers, dass in den Risikofragen nur nach stationären und mobilen Arbeitsrechnern, nicht aber nach den Servern gefragt werde, ließ das Gericht nicht gelten.

„Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächste Glieder“, argumentierte das Gericht. Für den Versicherungsnehmer sei es ersichtlich, dass mit Arbeitsrechnern alle Computersysteme zu verstehen sind, die in dem Betrieb Funktionen übernehmen. Darunter seien auch Server zu fassen. 

Mit dem Urteil grenzt sich das Kieler Landgericht zum ersten deutschen Cyberurteil des Landgerichts Tübingen ab, das Server nicht als Arbeitsrechner ansah und auch bezüglich Arglist zurückhaltender war, schreibt die Anwaltskanzlei Bach Langheid Dallmayr in einem Linkedin-Post. Das Tübinger Urteil wird derzeit vom Oberlandesgericht Stuttgart überprüft. 

Das Urteil aus Kiel verdeutlicht indes, wie wichtig wahrheitsgemäße Angaben in den Risikofragen sind. Versicherungsnehmer sind gut beraten, sich vor der Beantwortung dieser Fragen über das eigene IT-System zu informieren, schreibt der auf IT-Sicherheit spezialisierte Rechtsanwalt Jens Ferner in einem Blogbeitrag.

Ferner betont, dass es sich beim Kieler Richterspruch um eine Einzelfallentscheidung handelt. Dieser bedeute nicht, dass der Versicherer bei einzelnen fehlenden Updates kategorisch die Leistung verweigern könne. Im vorliegenden Fall befand sich der Domain Controller jedoch immer noch im Ursprungszustand – somit war offensichtlich, dass niemals Updates installiert worden waren.