Cyber-Angriffe sind für viele Unternehmen zum Alltag geworden. Oft werden sie abgewehrt, doch ist ein solcher Angriff erfolgreich, sind die damit verbundenen Folgen gravierend. Betriebsausfälle, kostenintensive Beseitigung der Schadsoftware und Neuaufstellung der IT, auch Bußgelder und Schadensersatzansprüche können auf betroffene Unternehmen zukommen. Zukünftig verschärfen sich die Anforderungen und regulatorischen Risiken noch durch die Umsetzung der sog. NIS2-Richtlinie und, im Finanzbereich, den Digital Operational Resilience Act.
Um sich gegen solche Risiken abzusichern, bieten Versicherer spezielle Cyberversicherungen an, die im Falle eines Cyber-Angriffs die dadurch entstandenen Schäden kompensieren sollen. Doch bereits bei Vertragsschluss ist Vorsicht geboten: Unachtsam gemachte Falschangaben gegenüber der Versicherung können dazu führen, dass sich diese wieder vom Vertrag lösen kann – das Unternehmen bleibt dann im Falle eines Angriffs auf den Schäden sitzen.
Mit einem Fall, in dem die Versicherung den Ersatz des entstandenen Schadens mit dem Argument verweigerte, der Versicherungsnehmer habe objektiv falsche Angaben „ins Blaue hinein“ getätigt, hat sich das Landgericht Kiel mit seinem Urteil vom 23. Mai 2024 (5 O 128/21) befasst. Dabei geht es vor allem um die Sorgfalt, die Unternehmen bei der Beantwortung von Fragen der Versicherung zur Risikoeinschätzung anwenden müssen.
Sachverhalt
Mit der Klage vor dem LG Kiel verlangte die Klägerin von einer Cyberversicherung die Regulierung von Schäden von fast einer halben Million Euro, die ihr durch einen Cyber-Angriff entstanden waren. Die beklagte Cyberversicherung verweigerte die Zahlung und berief sich darauf, dass die Klägerin im Rahmen der Risikoeinschätzung falsche Angaben gemacht hätte.
Die Klägerin hatte im März 2020 über ein Onlineportal einen Cyberversicherungsvertrag mit der Beklagten geschlossen. Bei Vertragsschluss musste die Klägerin diverse Fragen zur Risikoeinschätzung beantworten. Vertreten durch ihre Versicherungsmaklerin hatte die Klägerin u.a. angegeben, alle stationären und mobilen Arbeitsrechner seien mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet, verfügbare Sicherheitsupdates würden unverzüglich durchführt und nur solche Produkte würden eingesetzt, für die Sicherheitsupdates bereitgestellt werden. Hierbei stützte sich die Versicherungsmaklerin auf die Angaben des leitenden Mitarbeiters der IT-Abteilung der Klägerin.
Tatsächlich war das IT-System der Klägerin jedoch nicht so sicher, wie die Antworten suggerierten. Insbesondere lief ein zum Betrieb des Webshops eingesetzter Server noch auf Windows 2008, für das es seit 2020 keine Sicherheitsupdates mehr gab. Der Server verfügte darüber hinaus auch nicht über einen Virenscanner oder entsprechende Antiviren-Software.
Im September 2020 wurde die Klägerin Opfer eines Cyber-Angriffs, bei dem der noch mit Windows 2008 laufende Server durch Schadsoftware infiltriert wurde. Zur Behebung des Vorfalls musste die Klägerin ihr gesamtes IT-System herunterfahren und neu aufbauen, sodass der Betrieb stillstand.
Als die Klägerin die daraus entstandenen Kosten von grob EUR 400.000 sowie die Feststellung von Versicherungsschutz für sonstige Schäden verlangte, verweigerte dies die Beklagte unter Berufung auf die falsch beantworteten Risikofragen. Bei wahrheitsgemäßer Beantwortung hätte sie den Vertrag nicht geschlossen. Sie trat vom Vertrag zurück und focht ihn wegen arglistiger Täuschung an, da die Klägerin für die Beantwortung der Fragen zur Sicherheitseinschätzung nicht die erforderlichen Erkundungen eingeholt, sondern unzulässiger Weise Angaben „ins Blaue hinein“ getätigt habe.
Entscheidung
In seinem Urteil folgte das LG Kiel der Beklagten und wies die Klage insgesamt ab. Wegen der erfolgreichen Anfechtung sei der Versicherungsvertrag nichtig.
In den Angaben der Klägerin zur vermeintlichen Sicherheit aller ihrer „Arbeitsrechner“ sah das Gericht eine arglistige Täuschung, weil die Fragen im Bewusstsein der Unkenntnis „ins Blaue hinein“ beantwortet wurden (§§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB). Von den Behauptungen, der den Webshop als zentralen Verkaufskanal des Unternehmens betreibende Server sei bei Beantwortung der Fragen bloß vergessen worden bzw. der die Fragen beantwortende Mitarbeiter habe sich darauf verlassen, dass mit der Betreuung beauftragte Dritte ihre Aufgaben bei der Absicherung des Netzwerks wahrgenommen hätten, war das Gericht nicht überzeugt. Nach Ansicht des Gerichts lag hier keine bloß fahrlässige Unkenntnis, sondern vielmehr bewusste Unkenntnis im „Sinne eines ‚na wenn schon‘“ vor.
Den Einwand der Klägerin, nach ihrem Verständnis der Risikofragen habe es sich bei dem Webshop-Server nicht um einen „Arbeitsrechner“, d.h. einen Arbeitsplatzrechner, gehandelt, ließ das Gericht ebenfalls nicht gelten. Für die Auslegung der Risikofragen ist nach Ansicht des LG Kiel selbst für einen durchschnittlichen, um Verständnis zwar bemühten aber versicherungsrechtlich nicht besonders qualifizierten Versicherungsnehmer zu erkennen, dass vom Begriff des Arbeitsrechners alle Computersysteme umfasst sind, die im Netzwerk des Betriebs eine Funktion wahrnehmen. Dass „die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder“, betrachtet das Gericht als „ohne weiteres ersichtlich“.
Die zum Vertragsschluss eingesetzten Versicherungsmaklerin ordnete das Gericht als Verhandlungsgehilfen ein, sodass sich die Klägerin ihr Verhalten zurechnen lassen musste (§ 123 Abs. 1 S. 1 BGB). Schließlich ergebe sich auch ohne weiteres, dass die positive Beantwortung der Risikofragen für den Vertragsabschluss ursächlich war.
Einordnung & Praxishinweise
Erneut beschäftigt die Inanspruchnahme einer Cyberversicherung die Gerichte. Der vorliegende Fall zeigt, wie bereits die Entscheidung des LG Tübingen vom 26. Mai 2023, dass die hohen Schäden bei Cyberangriffen eine Ab- bzw. Versicherung für Unternehmen attraktiv machen. Aber er verdeutlicht auch, dass Unternehmen zusätzlich auf technisch-organisatorischer Ebene jedenfalls grundlegende Cybersecurity-Maßnahmen treffen müssen, um überhaupt wirksamen Versicherungsschutz zu erhalten. Außerdem sollte der Abschluss einer Cyberversicherung sorgfältig angegangen und ggf. juristisch begleitet, und nicht auf die leichte Schulter genommen werden, um im Ernstfall nicht den vermeintlichen Versicherungsschutz zu verlieren.
Die vom Versicherer gestellten Risikofragen sollten stets wahrheitsgemäß und vollständig beantwortet werden. In den Fragen verwendete Begriffe sollten klar definiert, die Fragen sorgfältig ausgelegt, und ihre Bedeutung im Zweifel mit dem Versicherer geklärt werden. Der Versicherungsnehmer muss sich dafür in manchen Fällen erst selbst ein klares Bild über seine Cybersecurity-Maßnahmen verschaffen, wobei eine extern begleitete sog. Gap-Analyse helfen kann.
Auch nach Abschluss einer Cyberversicherung sollten Unternehmen ein rechtskonformes und den Risiken für das Unternehmen angemessenes IT-Security-System unterhalten. Denn selbst der beste Versicherungsschutz kann letztlich den entstandenen Schaden nur mindern und nicht völlig ausgleichen, etwa das geschädigte Vertrauen von Kunden, Lieferanten und Mitarbeitern reparieren.
Nach dem Entwurf des sog. NIS2-Umsetzungs-und-Cybersicherheitsstärkungsgesetzes werden Geschäftsleitungen von Unternehmen im Anwendungsbereich des Gesetzes zukünftig explizit zur Billigung und Umsetzung angemessener Risikomanagementmaßnahmen (vgl. § 91 Abs. 2 AktG) sowie zur Teilnahme an Cybersecurity-Schulungen verpflichtet. Der Rückzugsbereich des mangelnden Wissens wird so immer kleiner, das Risiko von Angaben „ins Blaue hinein“ und Anfechtungen wegen arglistiger Täuschung immer größer. Das zeigt auch das Urteil des LG Kiel, das Cybersecurity-Weisheiten wie die des „schwächsten Glieds“ als gleichsam selbstverständlich voraussetzt.
Weiterleiten