Veraltete IT-Systeme ohne Sicherheitsupdates und ohne Absicherung durch Virenschutzprogramme
Persönliche Umstände
Möglichkeiten der Haftungsvermeidung
genaue und wahrheitsgemäße Beantwortung von Risikofragen bei Abschluss eines Versicherungsvertrags sowie Absicherung der IT-Systeme nach Stand der Technik
Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung
Das Landgericht Kiel in einem Urteil vom 23.05.2024 (Az. 5 O 128/21) entschieden, dass eine Cyberversicherung aufgrund von Falschangaben des Versicherungsnehmers bei Vertragsschluss, nicht für einen durch einen Hackerangriff entstandenen Schaden zahlen muss. Der Versicherungsnehmer betreibt in Norddeutschland an 16 Standorten einen Großhandel mit der Möglichkeit einer Onlinebestellung, ausschließlich für gewerbliche Kunden. Im Jahr 2020 kam es zum Versicherungsfall: Im Rahmen eines Cyberangriffs ab dem 18. September 2020 konnte Schadsoftware in das IT-System des Versicherungsnehmers gelangen, woraufhin die gesamte IT des Unternehmens vom Netz genommen wurde. Hierdurch kam es zu einem Stillstand des Betriebs, der zu einem Gesamtschaden von ca. 400.000 Euro führte. Die Cyberversicherung verweigerte die Schadensregulierung und das Landgericht wies die darauf gerichtete Klage ebenfalls ab.
Wesentlicher Grund für den Erfolg der Versicherung vor Gericht war, dass diese bei Kenntnis vom Schadensfall wirksam nach §§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB den zuvor geschlossenen Versicherungsvertrag aufgrund arglistiger Täuschung angefochten hatte, weshalb der Vertrag nichtig ist. Grund für die wirksam erklärte Anfechtung, war die Täuschung über vertragsrelevante Risiken bei Abschluss des Cyberversicherungsvertrags. Spezifische Risikofragen nach § 19 VVG zur technischen Sicherheit der Unternehmens-IT wurden in Unkenntnis des zwischengeschalteten Verhandlungsgehilfen des Unternehmens in Blaue hinein falsch beantwortet. Die Frage „alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet?“ und „verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft vor allem Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme)“ wurden beide wahrheitswidrig mit ja beantwortet.
Tatsächlich aber wurde 2020 im Unternehmen ein Rechner mit dem Betriebssystem Windows 2003 betrieben, der über kein Virenschutzprogramm verfügte und für den auch keine Sicherheitsupdates mehr verfügbar waren. Gleiches gilt für einen Rechner mit dem Betriebssystem Windows 2008, der für den Betrieb des Webshops und dem zugehörigen Warenwirtschaftssystem eingesetzt wurde. Nach dem Befall von Schadsoftware wurden die Systeme für Bitcoin Mining verwendet, bevor es heruntergefahren wurde.
Die Entscheidung verdeutlicht, wie wichtig die korrekte Beantwortung der Risikofragen nach § 19 VVG bei Abschluss eines Versicherungsvertrags ist. Soweit ersichtlich, handelt es sich bei der Entscheidung des LG Kiel um die zweite Entscheidung eines deutschen Gerichts zu Cyberversicherungen. Die erste Entscheidung, ein Urteil des LG Tübingen, haben wir bereits in einer der letzten Ausgaben des Briefings vorgestellt. In beiden Fällen geht es um die Deckung von Betriebsunterbrechungsschäden und Kostenschäden aufgrund eines Cyberangriffs. Ganz auf der Linie der obergerichtlichen Rechtsprechung, kommt das Urteil des LG Kiel zur überzeugenden Auffassung, dass Angaben „ins Blaue hinein“ nicht von Arglist entlasten können. Betrachtet man die verwendeten Systeme und die Tatsache, dass keine Sicherheitsupdates gemacht wurden und noch nicht mal ein Virenscanner zum Einsatz kam, sind dem Versicherungsnehmer hier schwerwiegende Versäumnisse vorzuwerfen.
Cookie-Zustimmung verwalten
Um Ihnen ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern bzw. darauf zuzugreifen. Wenn Sie diesen Technologien zustimmen, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn Sie Ihre Zustimmung nicht erteilen oder zurückziehen, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Der Zugriff oder die technische Speicherung ist unbedingt für den rechtmäßigen Zweck erforderlich, um die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Abonnenten oder Nutzer ausdrücklich angefordert wurde, oder für den alleinigen Zweck der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Voreinstellungen erforderlich, die nicht vom Abonnenten oder Nutzer beantragt wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Aufforderung, die freiwillige Zustimmung Ihres Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht zu Ihrer Identifizierung verwendet werden.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.