Deckungsschutz von Cyberversicherungen bei fehlenden Security-Patches

LG Tübingen, 2023-05-26 — 4 O 193/21

Branche/ Lebenslage

Leistungen aus einer Cyberversicherung, Pass-the-Hash-Angriff, Materieller Vermögensschaden durch Cyberangriff,

Akteure

  • Versicherer
  • Versicherungsnehmer

Wer haftet?

  • Versicherer

Haftungsart

versicherungsvertragliche Haftung

Haftungsumfang

Haftungsbegründendes Verhalten

Eintritt eines versicherten Schadenfalles

Technische Umstände

Die Versicherungsnehmerin wurde Opfer eines sog. Pass-the-Hash-Angriff. Mit einer Phishing Mail wurde Ransomware in die IT-Systeme des Unternehmens eingeschleust. Infolge dessen war ein Großteil der Unternehmens-IT nicht mehr nutzbar und verschlüsselt. Da auf Lösegeldforderungen nicht eingegangen wurde, musste die komplette IT-Infrastruktur der Versicherungsnehmerin neu aufgebaut werden.

Persönliche Umstände

Möglichkeiten der Haftungsvermeidung

sorgfältige IT-Forensik zur Führung eines Kausalitätsgegenbeweis + Auswechseln veralteter Server, für die keine Sicherheitsupdates mehr verfügbar waren.

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Unmittelbar nach Eintritt des Schadensfalls bei der Versicherungsnehmerin kündigte der Versicherer den Vertrag und verweigerte seine Leistung. Hiergegen erhob die Versicherungsnehmerin Klage vor das LG Tübingen. Das LG verneinte die Möglichkeit der Versicherung sich vom Vertrag zu lösen.

Folgene drei zentralen Rechtsfragen spielten hierbei eine Rolle:

Erstens verneinte das Gericht eine vorvertragliche Anzeigeobliegenheitsverletzung im Sinne des § 21 Abs. 2 VVG. Der Versicherer machte geltend, dass seine Fragen im Vorfeld des Vertragsschlusses nicht wahrheitsgemäß beantwortet wurden. Das Gericht hingegen stellte klar, dass zu weit formulierte Fragen zulasten des Versicherers auszulegen ist.

Zweitens wurde eine sog. Gefahrerhöhung nach Vertragserklärung nach § 23 Abs. 1 VVG geltend gemacht, wonach ein Rücktritt des Versicherers in Frage kommt, wenn nach Vertragserklärung des Versicherers sich Umstände ergeben, die die Risikokalkulation der Vertrags verändern. Im vorliegenden Fall hat sich jedoch nach Vertragsabschluss nichts wesentliches verändert. Die Server waren bereits zu diesem Zeitpunkt nicht mehr zu patchen.

Drittens stand dem Versicherer auch keine Möglichkeit nach § 81 Abs. 2 VVG zu, die Versicherungsleistung aufgrund grober Fahrlässigkeit zu kürzen, da die Umstände bereits bei Vertragsbeginn bekannt waren.

Das Urteil ist nicht rechtskräftig und unter dem Aktenzeichen 7 U 262/23 beim OLG Stuttgart anhängig.