Cyberversicherung muss nach Hackerangriff bei Falschangaben nicht zahlen

Wann muss die bei fehlenden Updates nicht zahlen: Am 23. Mai 2024 entschied das Landgericht Kiel (Az. 5 O 128/21) über einen spannenden Fall im Bereich des Versicherungsrechts rund um Hackerangriff. Der Fall drehte sich um die Anfechtung eines Versicherungsvertrags aufgrund arglistiger Täuschung durch den Versicherungsnehmer:

Die Versicherung hatte wegen arglistiger Täuschung aufgrund von Falschangaben beim Abschluss der Versicherung den Vertrag im Leistungsfall angefochten – und damit der Zahlung die Grundlage entzogen. Der Versicherungsnehmer werte sich dagegen. Diese Entscheidung ist eine der wenigen zur Einstandspflicht der Cyberversicherung bei einem Hackerangriff und beleuchtet wichtige Aspekte der rechtlichen Anforderungen an die Beantwortung von Risikofragen und die Konsequenzen falscher Angaben im Antragsprozess.

Sachverhalt

Die Klägerin, ein Holzgroßhandel mit 16 Standorten in Norddeutschland, schloss am 12. März 2020 eine Cyber-Versicherung ab. Vermittelt wurde diese Versicherung von einer Assekuradeurin. Bei der Antragstellung wurden Risikofragen beantwortet, die Grundlage für den Vertragsabschluss waren. Später stellte sich heraus, dass einige dieser Antworten falsch waren und relevante Gefahrumstände verschwiegen wurden.

Im Laufe des Versicherungsverhältnisses kam es zu einem Schadensfall, der die Klägerin dazu veranlasste, Ansprüche aus der Cyber-Versicherung geltend zu machen. Die Beklagte verweigerte jedoch die Leistung mit der Begründung, der Versicherungsvertrag sei aufgrund arglistiger Täuschung nichtig.

Rechtliche Analyse

Anfechtung wegen arglistiger Täuschung

Die Kernfrage des Verfahrens war, ob die Beklagte zur Anfechtung des Versicherungsvertrags wegen arglistiger Täuschung berechtigt war. Das Gericht stellte fest, dass die Klägerin die Risikofragen im Antragsprozess falsch beantwortet hatte. Eine solche Täuschungshandlung berechtigt den Versicherer zur Anfechtung des Vertrags gemäß § 123 BGB.

Nichtigkeit des Versicherungsvertrags

Aufgrund der erfolgreichen Anfechtung ist der Versicherungsvertrag von Anfang an nichtig. Dies bedeutet, dass die Beklagte nicht verpflichtet ist, die vereinbarten Versicherungsleistungen zu erbringen. Das Gericht betonte, dass die Anfechtung insbesondere dann gerechtfertigt ist, wenn die falschen Angaben einen erheblichen Einfluss auf die Entscheidung des Versicherers hatten, den Vertrag zu den vereinbarten Bedingungen abzuschließen.

Rechtsfolgen der Anfechtung

Das Gericht wies die insgesamt ab, einschließlich des geltend gemachten Feststellungsantrags und der vorgerichtlichen Rechtsanwaltskosten. Die Klägerin wurde zur Tragung der Kosten des Rechtsstreits verurteilt.

Die Entscheidung ist zu unterscheiden von einer früheren des Landgerichts Tübingen, in der eine Zahlungspflicht einer Versicherung trotz ausgebliebender Updates bejaht wurde: Hier ging es nun um die Frage, ob die Versicherung den Vertrag wegen Täuschung anfechten und sich damit einer eventuellen Leistungspflicht entziehen kann.


Täuschung aus Sicht des Gerichts

Das Gericht kam also zu dem Schluss, dass falsche Angaben gemacht wurden, die auch arglistig erfolgten. Die Klägerin habe die Risiken im IT-System bewusst oder zumindest grob fahrlässig verschwiegen, wodurch der Versicherungsvertrag aufgrund arglistiger Täuschung nichtig sei. Hier lohnt sich ein genauer Blick:

Falschbeantwortung der Risikofragen

Das Landgericht Kiel stellte fest, dass der Versicherungsnehmer (die Klägerin) im Antragsprozess Risikofragen falsch beantwortet hat. Diese betrafen unter anderem die Sicherheitsmaßnahmen und den Zustand der IT-Infrastruktur. Konkret wurden folgende Fragen unrichtig mit „ja“ beantwortet:

  • Frage 3: „Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet.“
  • Frage 4: „Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden“.

Tatsächlich waren im Moment des Angriffs mehrere zentrale Rechner der Klägerin nicht ausreichend geschützt:

  • Ein Windows 2008 Server, der für den Betrieb des Webshops genutzt wurde, hatte keine aktuellen Sicherheitsupdates und keinen Virenschutz.
  • Zwei Windows 2003 Rechner, die als Speicherplatz dienten, verfügten ebenfalls über keinen Virenschutz und keine aktuellen Sicherheitsupdates.
  • Der Domain-Controller DC09 befand sich noch im Auslieferungszustand von 2019 und hatte weder Sicherheitsupdates noch Virenschutz erhalten.

Arglistige Täuschung

Das Gericht bewertete die falschen Angaben als arglistige Täuschung. Der Versicherungsnehmer wusste entweder von den fehlenden Sicherheitsmaßnahmen oder handelte zumindest mit „bewusster Unkenntnis“ im Sinne eines „na wenn schon“ weil er „ins Blaue hinein“ einfach ja gesagt hatte. Der für die IT-Abteilung zuständige der Klägerin hatte die Fragen ohne gründliche Überprüfung der tatsächlichen Zustände beantwortet, obwohl dies mit geringem Aufwand möglich gewesen wäre. Dies zeigte sich beispielsweise daran, dass der Zeuge keine Systemüberprüfung durchführte und sich nicht daran erinnern konnte, Rücksprache mit anderen Mitarbeitern gehalten zu haben.

Verteidigung des Versicherungsnehmers

Der Versicherungsnehmer verteidigte sich gegen den Vorwurf der Falschangaben recht umfassend und führte aus:

  • Es wurde argumentiert, dass der zuständige Zeuge beim Ausfüllen der Risikofragen nicht an bestimmte veraltete Server gedacht habe und dass diese Server zudem keine zentrale Rolle im täglichen Betrieb spielten.
  • Der Versicherungsnehmer behauptete, dass für den Web-SQL-Server mit Windows 2008 ein erweiterter Supportvertrag bestanden habe, was die Beklagte jedoch bestritt.
  • Es wurde darauf hingewiesen, dass die Sicherheitsmaßnahmen durch eine doppelte und eine sogenannte demilitarisierte Zone (DMZ) ausreichend gewesen seien.
  • Zudem behauptete der Versicherungsnehmer, dass keine vorsätzliche Täuschung vorliege und der Zeuge davon ausgegangen sei, dass die erforderlichen Sicherheitsmaßnahmen von den zuständigen Mitarbeitern und externen Dienstleistern durchgeführt worden seien.
  • Schließlich wurde argumentiert, dass die Risikofragen zu stationären und mobilen Arbeitsrechnern nicht die Server umfassen würden, die im Unternehmen als Speicherplatz dienten.

Den letzten Aspekt finde ich besonders spannend und hierauf geht das Landgericht auch recht umfangreich ein. Um es nochmals zu verdeutlichen: Es geht darum, wenn in Frage 3 nach allen „stationären und mobilen Arbeitsrechnern“ gefragt wurde, ob das auch Server umfasst.

Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder.

Der Versicherungsnehmer sah das nicht so, das Gericht legte es aber anders aus:

Nach ständiger Rechtsprechung des Bundesgerichtshofs ist für die Auslegung von allgemeinen Versicherungsbedingungen wie auch für Erklärungen des Versicherers und damit den hier gestellten Risikofragen auf den durchschnittlichen, um Verständnis bemühten Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse abzustellen. In erster Linie ist bei der Auslegung vom Wortlaut auszugehen.

Zudem ist der verfolgte Zweck und der Sinnzusammenhang zu berücksichtigen (BGH Urteil vom 23.06.1993 – IV ZR 135/92). Der Versicherungsnehmer, der eine Cyberversicherung zur Absicherung seines betrieblichen IT-Netzwerkes vor Schäden durch Hackerangriffe oder Ähnlichem absichern möchte, wird hierbei ohne weiteres erkennen, dass die vor dem Versicherungsvertragsschluss erfolgende Risikobewertung durch den Versicherer maßgeblich von verfügbaren Schutzmaßnahmen gegen IT-Angriffe von außen, wie installierten Virenschutzprogrammen und vom Hersteller bereitgestellten und auch abgerufenen Sicherheitsupdates abhängt.

Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder. Er wird daher den Begriff des Arbeitsrechners weiter verstehen als den des bloßen Arbeitsplatzrechners und hierunter alle Computersysteme verstehen, die in dem Betrieb Funktionen, sei es als Eingabegerät oder als Server wahrnehmen, weil bereits durch den Zugriff auf einzelne Komponenten mit Malware das gesamte Netzwerk Schaden nehmen kann.

Er wird aus der Formulierung in Frage 4), in der nach „durchgeführten“ Sicherheitsupdates gefragt wird, des Weiteren erkennen, dass der Versicherer sich hier nach tatsächlich verfügbaren und von dem Anfragenden genutzte Sicherheitsupdates des Herstellers erkundigt.


Fazit

Die Entscheidung des Landgerichts Kiel unterstreicht die Bedeutung wahrheitsgemäßer Angaben bei der Beantwortung von Risikofragen im Versicherungsantragsprozess – andererseits, dass man nicht zu kleinteilig im Verständnis der Fragen denken darf. Vor allem müssen Versicherungsnehmer darauf achten, sich ausreichend vor Abgabe der Antworten über ihr eigenes System zu informieren.

Versicherungen leben davon nicht zu zahlen

RA Jens Ferner

Versicherungsnehmer sollten sich der Konsequenzen bewusst sein, die falsche oder unvollständige Angaben nach sich ziehen können. Für Versicherer stellt das Urteil eine Bestätigung dar, dass sie bei arglistiger Täuschung durch den Versicherungsnehmer zu Recht vom Vertrag zurücktreten können.

Cyberversicherung muss nach Hackerangriff bei Falschangaben nicht zahlen - Rechtsanwalt Ferner

Die Entscheidung muss im Lichte des Einzefalls gesehen werden: Hier fand man u.a. den Domänencontroller noch im Auslieferungszustand vor! Es war also offenkundig so, dass niemals Updates installiert wurden. Auf keinen Fall aber ist es so, dass nur weil man zu Beginn sagt, es werden Updates installiert und dann fehlen einzelne Updates, dass hier dann eine Anfechtung durch den Versicherer im Raum steht. Dass im Fall des Angriffs einzelne Updates nicht vorhanden waren oder kurzfristig Lücken ausgenutzt wurden, wird am Ende gerade der versicherte Umstand sein.

Diese Entscheidung hat am Ende weitreichende Auswirkungen für Unternehmen und Versicherer gleichermaßen, da sie die Notwendigkeit einer sorgfältigen und vollständigen Offenlegung aller relevanten Risikoaspekte bei Vertragsabschlüssen im Versicherungsbereich hervorhebt.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.