Das LG Tübingen hat in einem Urteil festgehalten, welche Aspekte dazu führen können, dass trotz vorhandener IT-Mängel die versicherten Summen von den Versicherern dennoch gezahlt werden müssen.
Von Geschäftsausfällen bis hin zu Rechtsstreitigkeiten: Ein Cyber-Angriff kann erhebliche finanzielle Schäden verursachen. Eine Cyber-Versicherung deckt diese Kosten, hilft beim Krisenmanagement und minimiert das finanzielle Risiko. Im Schadensfall zeigt sich jedoch oft, dass die Versicherungen die Versicherungssumme mit Verweis auf Verstöße gegen bestehende Vertragsklauseln nicht zahlen.
Ransomware legt Unternehmensnetzwerk lahm
Am 29.5.2020 wurde ein Hersteller von Komponenten für ökologische Heizungsanlagen Opfer eines Cyber-Angriffs: Cyber-Kriminelle verschafften sich mit einer Pass-the-Hash-Attacke Zugriff auf alle internen und externen Server des Unternehmens und legten einen Großteil davon mit einem Verschlüsselungsprogramm (Ransomware) lahm. Ein Mitarbeiter hatte das Verschlüsselungsprogramm durch Öffnen eines Dateianhangs einer E-Mail in Umlauf gebracht, der als Rechnung getarnt war. Durch die daraus resultierende Betriebsunterbrechung entstand dem Unternehmen ein Schaden von gut 3 Millionen EUR.
Cyber-Versicherung deckt auch Betriebsunterbrechung ab
Das Unternehmen hatte eine Cyber-Versicherung mit einer maximalen Deckungssumme von 5 Millionen EUR abgeschlossen, die neben dem Schutz von Sachen und Daten, dem Schutz in Fällen von Fremdschäden sowie bei Datenschutzvorfällen ausdrücklich auch das Risiko der Betriebsunterbrechung abdeckt. Beim Abschluss des Versicherungsvertrags musste das Unternehmen Fragen zum aktuellen Stand der IT-Sicherheit beantworten. Dabei wurde unter anderem angegeben, dass die IT des Unternehmens durch mindestens einen IT-Spezialisten betreut wird, regelmäßig Datensicherungen erfolgen und verfügbare Sicherheitsupdates „ohne schuldhaftes Zögern durchgeführt“ werden.
Interne und externe Server betroffen
Ein Sachverständiger, der nach dem Eintritt des Schadens mit einem Expertengutachten beauftragt wurde, stellte fest, dass von den insgesamt 21 Servern, die das Unternehmen zum Zeitpunkt der Cyber-Attacke intern und extern bei einem IT-Dienstleister betrieb, nur 10 Server über die erforderlichen Sicherheitsupdates verfügten. 11 Server waren nicht auf dem aktuellen Stand, weil sie entweder bereits so veraltet waren, dass sie nicht mehr mit Sicherheitsupdates versorgt wurden, oder verfügbare aktuelle Sicherheitsupdates nicht durchgeführt worden sind. Auf 16 der 21 Server war der Angriff erfolgreich, dort wurden alle Inhalte verschlüsselt. Da beim Cyber-Angriff auch Administratorenrechte erbeutet wurden, waren von der Verschlüsselung jedoch auch Server betroffen, die auf dem aktuellen Stand waren, sowie externe Server, die regelmäßig gewartet und auf dem aktuellen Stand gehalten wurden. Für den Erfolg des Angriffs waren daher nicht veraltete Server und verpasste Sicherheitsupdates verantwortlich, sondern der Missbrauch der Administratorenrechte.
Versicherung zahlt mit Verweis auf IT-Sicherheitsmängel nicht
Der Versicherer verweigerte dem geschädigten Unternehmen die Zahlung der Versicherungsleistungen mit der Begründung, dass beim Vertragsabschluss die Risikofragen zur Aktualität von Systemen und Sicherheitsupdates nicht korrekt beantwortet wurden. Wären die Risikofragen wahrheitsgemäß beantwortet worden, so die Argumentation der Versicherung, wäre der Versicherungsvertrag mit dem Unternehmen niemals abgeschlossen worden. Das Unternehmen reichte daraufhin Klage beim zuständigen Landgericht in Tübingen ein.
Kein Zusammenhang zwischen IT-Sicherheitsmängeln und Schaden
Das LG Tübingen hat im Sinne des geschädigten Unternehmens entschieden und den Versicherer zur Zahlung von gut 2,8 Millionen EUR verurteilt (LG Tübingen, Urteil v. 26.5.2023, 4 O 193/21). In seiner Urteilsbegründung stellt das Gericht fest, dass es keinen Zusammenhang zwischen den unstreitig vorhandenen IT-Mängeln und dem Schadenseintritt gibt und die Versicherung daher zahlungspflichtig ist: „Gelingt es, dass bei einem sog. „Pass-the-Hash“-Cyber-Angriff unter Ausnutzung einer bekannten Schwachstelle des Betriebssystems von Microsoft Administratorenrechte für alle Server des geschädigten Unternehmens erbeutet werden, lässt der Umstand, dass nicht alle Server mit den aktuellen Sicherheitsupdates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt, weil eine mögliche Verletzung einer diesbezüglichen Anzeigeobliegenheit weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für Feststellung oder den Umfang der Leistungspflicht ursächlich ist, es sei denn, der Versicherungsnehmer hat arglistig gehandelt.“
Das Urteil des LG Tübingen zeigt, dass bei der Zahlungsverweigerung einer Cyber-Versicherung, die Kausalität zwischen vorhandenen IT-Sicherheitsmängeln oder anderen Vertragsverletzungen und dem konkreten Schadensfall genau geprüft werden sollte.
Weitere Beiträge:
Die unterschätzte Gefahr: Strategien zur Stärkung Ihrer IT-Sicherheit gegen Cyberangriffe
EU Cyber Resilience Act für mehr digitale Sicherheit
BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2023