Wann Schäden durch Hacker nicht gedeckt sind
Ein Unternehmen wird Opfer einer Betrugsmasche mit einer gefälschten E-Mail. Ein Fall für die Cyberversicherung, so scheint es zunächst. Das zuständige Landgericht sah das allerdings anders. Die FOCUS MONEY-Versicherungsprofi-Experten Jem Schyma und Raimund Mallmann erläutern, was das Urteil für versicherte Firmen bedeutet.
(Foto: WILHELM Rechtsanwälte )
Der Fall.
Ein deutsches Unternehmen erhielt – scheinbar von seinem polnischen Zulieferer – eine Mail, die auf den ersten Blick vollkommen unverdächtig aussah. Absendername und die Mailadresse stimmten. Der Lieferant teilte in seiner Nachricht mit, seine Bankverbindung geändert zu haben. In der Folge zahlte der deutsche Kunde insgesamt 85.000 Euro zur Begleichung offener Rechnungen des Lieferanten auf dessen vermeintliches Konto.
Was das Unternehmen nicht ahnte: Unbekannte Täter hatten den Exchange-Server des Lieferanten gehackt und so unter Vorspiegelung des richtigen Absenders die E-Mail mit der geänderten Bankverbindung verschickt. Eine Rückbuchung der 85.000 Euro war unmöglich – das Geld war verschwunden.
Das Unternehmen nahm seinen Cyberversicherer in Anspruch. Der Versicherungsvertrag umfasste unter anderem den Schutz vor Cyber-Vertrauensschäden. Doch der Versicherer lehnte eine Regulierung ab. Daraufhin klagte das Unternehmen.
Das Urteil.
Das Landgericht Hagen wies die Klage des Unternehmens ab (Az. 9 O 258/23). Voraussetzung für den Cyber-Versicherungsschutz sei eine Informationssicherheitsverletzung beim Versicherungsnehmer. Daran fehle es hier, befand das Gericht. Die Netzwerke der Klägerin seien nicht beeinträchtigt. Aufgrund der unautorisierten Verwendung des E-Mail-Exchange-Servers des Lieferanten durch Hacker sei die Klägerin zwar getäuscht worden. Dies allein stelle jedoch keinen direkten Angriff auf die IT-Systeme der Klägerin dar.
Die Klägerin habe E-Mails weiterhin empfangen und versenden können und ihr System wurde nicht durch Schadsoftware manipuliert. Betroffen vom „Hack“ sei lediglich das Netzwerk des Lieferanten. Den Bedingungen zufolge liege jedoch kein Versicherungsfall vor, wenn lediglich Netzwerke Dritter beeinträchtigt seien.
Das klagende Unternehmen sei deshalb nicht Opfer eines Cyber-Angriffs, sondern eines „normalen“ Betrugs geworden, so das Gericht. Dieser sei jedoch unter dem Deckungsbaustein für Cyber-Vertrauensschäden nicht versichert.
Die Bewertung.
Das Urteil verdeutlicht die Bedeutung der Versicherungsbedingungen im Segment Cyber-Versicherungen. Versicherungsvermittler sollten den Deckungsumfang genau prüfen – insbesondere, weil am Markt viele unterschiedliche Cyber-AVB mit unterschiedlich gestalteten Ausschlusskriterien verwendet werden.
Unser Tipp: Neben einer Cyber-Versicherung ist oftmals der Abschluss einer eigenständigen Vertrauensschadenversicherung ratsam, um – wie im konkreten Fall – gegen betrügerische E-Mails abgesichert zu sein.
Weitere Artikel
Was erwartet der „normale“ Versicherungsnehmer?
Kündigungsfrist in der Insolvenz
