Versicherungsschutz trotz veralteter IT
Fehlende Sicherheitsupdates führen laut Landgericht Tübingen nicht automatisch zum Leistungsausschluss bei der Cyberversicherung. Die VP-Experten Schyma und Mallmann erklären, was dieses Urteil für die Versicherten bedeutet – und worauf insbesondere Neukunden achten sollten.
Der Fall.
Ein Unternehmen wurde Ziel eines sogenannten Ramsomware-Angriffs. Dabei erhielten die Cyberkriminellen mittels Phishing-Mail Zugriff auf die IT-Systeme, verschlüsselten alle Daten und forderten ein Lösegeld. Darauf ging die Unternehmensleitung jedoch nicht ein. Die Daten blieben verschlüsselt und der Betrieb kam für eine längere Zeit zum Erliegen. Neben 300 000 Euro Sachschaden erlitt das Unternehmen einen Betriebsunterbrechungsschaden in Höhe von 3,7 Millionen Euro.
Der Rechtsstreit.
Zum Ausgleich des Schadens wandte sich das Unternehmen an seinen Cyberversicherer. Doch der stellte sich quer: Der Kunde habe die vor Vertragsschluss gestellten Risikofragen falsch beantwortet. So habe das Unternehmen angegeben, stets Sicherheitsupdates aufzuspielen, obwohl für einige der Server seit Jahren gar keine Updates mehr verfügbar waren. Der Versicherer trat vom Vertrag zurück und ergänzte, dass selbst ohne diesen Rücktritt kein Versicherungsschutz bestünde, da das Unternehmen durch die versäumten Updates die Gefahr erhöht und den Schaden mit herbeigeführt habe. Die Parteien zogen vor Gericht.
Das Urteil.
Das Landgericht Tübingen (Az. 4 O 193/21) gab dem versicherten Unternehmen überwiegend Recht. Die vorvertraglichen Risikofragen seien unklar formuliert und daher zugunsten des Versicherungsnehmers auszulegen. Ob das Unternehmen die Frage zu den Updates falsch beantwortet habe, sei nicht relevant. Denn zum einen hätte ein Mitarbeiter im Risikodialog auf die veralteten Server hingewiesen. Dabei habe der Assekuradeur den Eindruck erweckt, dass der Versicherer keine hohen Anforderungen stelle. Zum anderen wäre der Angriff auch erfolgreich gewesen, wenn die Updates installiert gewesen wären. Das hatte jedenfalls ein vom Unternehmen in Auftrag gegebenes IT-Gutachten ergeben.
Auch könne ein Versicherer die Leistung nicht wegen grober Fahrlässigkeit kürzen, wenn die IT-Schwachstellen bereits bei Vertragsschluss bestanden und dem Versicherer im Rahmen einer sorgfältigen Risikoanalyse aufgefallen wären. Dieser habe es selbst in der Hand, das Risiko im Vorfeld zu prüfen und Versicherungsschutz anzubieten oder nicht.
Die Folgen.
Wer ein brennendes Haus versichert, kann sich hinterher nicht aus der Zahlungspflicht stehlen – so lässt sich das Urteil zusammenfassen. Unternehmen und ihre Versicherungsvermittler sollten im vorvertraglichen Risikodialog daher unbedingt mit offenen Karten spielen und dabei jeden Informationsaustausch sorgfältig dokumentieren. Es ist zu erwarten, dass Cyberversicherer künftig noch genauer hinschauen werden, was sie versichern.