Das Landgericht Hagen (Az. 9 O 258/23) hatte über die Klage einer Firma zu entscheiden, die Ersatzansprüche aus einem Cyberversicherungsvertrag geltend machte. Der Kern der Auseinandersetzung lag darin, dass die Versicherung den geltend gemachten Schaden nicht regulieren wollte, da aus ihrer Sicht – mangels insoweit notwendiger IT-Sicherheitsverletzung – eine Cyberversicherung nicht bei Schäden durch betrügerische E-Mails greift.
Die Klage wurde abgewiesen, was auf die Auslegung der Versicherungsbedingungen und den Sachverhalt im konkreten Fall zurückzuführen war.
Sachverhalt
Die Klägerin, ein Unternehmen, hatte bei der Beklagten, einer Cyberversicherung, einen Vertrag abgeschlossen. Dieser Vertrag beinhaltete unter anderem Schutz gegen sogenannte „Cyber-Vertrauensschäden“. Im Schadensfall sah die Versicherungspflicht der Beklagten vor, unter bestimmten Bedingungen Schäden zu übernehmen, die durch Informationssicherheitsverletzungen oder Netzwerksicherheitsverletzungen entstehen.
Die Klägerin meldete einen erheblichen finanziellen Schaden, der durch eine Netzwerksicherheitsverletzung verursacht worden sein soll. Sie behauptete, dass Dritte durch gezielten CEO-Fraud vertrauliche Informationen kompromittiert hätten, was zu einem Verlust von Kunden und Vermögenswerten führte:
Die Klägerin steht in einer regelmäßigen Geschäftsbeziehung zu einem polnischen Lieferanten, der Fa. Y. Sp.z.o.o (Lieferant). Mit dem Lieferanten kommunizierte die Klägerin in der Regel per E-Mail. Kontaktperson der Klägerin bei dem Lieferanten war Herr G. F.. Per E-Mail wurde mit diesem unter anderem die Bezahlung offener Rechnungsbeträge besprochen. Herr F. verwendete die E-Mailadresse R..pl. Zum Jahreswechsel 2022/2023 hatte die Klägerin gegenüber dem Lieferanten aufgrund erfolgter Lieferungen Rechnungen im unteren sechsstelligen Bereich zu begleichen.
Am 25.01.2023 erhielt die Klägerin eine E-Mail, mit welcher der vermeintliche Lieferant eine geplante Änderung seiner Bankmitteilung kommunizierte und dies damit begründete, dass die Kontoführungsgebühren der üblichen Bankverbindung zu hoch seien. Dabei verwendete der Absender die E-Mail-Adresse L..plR..pl. Der Domänenteil des Lieferanten „@L..pl.“ wurde weiterhin verwendet. Die Signatur des Lieferanten und der Name „G. F.“ wurden ebenfalls weiterhin verwendet.
Später wurde die Klägerin erneut über diese E-Mail kontaktiert und erörterte – wie aus der Kommunikation mit der Lieferantin gewohnt – Bestellungen und offene Rechnungen. Insbesondere wurden der Klägerin, wie am 25.01.2023 angekündigt, neue Bankdaten mitgeteilt. Zahlungen der Klägerin an die Lieferantin sollten danach auf das Konto IBAN N02, X., N03 S., W. erfolgen.
Auf Grund dieser Nachricht änderte die Klägerin die bei ihr für den Lieferanten hinterlegten Kontodaten. Die nun folgenden Rechnungen über insgesamt 85.000,00 € zahlte die Klägerin mit insgesamt vier Überweisungen auf das ihr neu mitgeteilte Bankkonto bei der X. in W..
Rechtliche Analyse
1. Versicherungsbedingungen
Das Urteil hob hervor, dass der Vertrag strenge Anforderungen an die Definition und den Nachweis eines Versicherungsfalls stellt. Zentral war die Frage, ob tatsächlich eine „Netzwerksicherheitsverletzung“ vorlag, wie sie in den Versicherungsbedingungen definiert ist. Die Allgemeinen Versicherungsbedingungen (AVB) verlangten hierfür den Nachweis einer „Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit informationstechnischer Systeme“. Die Klägerin konnte jedoch den Ursprung und die genaue Natur der behaupteten Verletzung nicht ausreichend belegen.
2. Obliegenheitsverletzung
Ein weiterer entscheidender Punkt ist ins olchen Fällen – wenn auch hier nicht – die Prüfung einer möglichen Obliegenheitsverletzung. Die AVB sehen vor, dass der Versicherungsnehmer Maßnahmen zur IT-Sicherheit einhalten musste, um einen Schadensfall abzusichern. Dazu gehören:
- Der Einsatz aktueller Schutzsoftware,
- regelmäßige Penetrationstests und
- die Sicherung aller Systeme gegen unbefugte Zugriffe.
Versicherer argumentieren, dass solche Pflichten verletzt wurden weswegen der Schadensfall alleine eintreten konnte.
3. Kausalitätsprüfung
Die Versicherung führte zudem aus, dass der geltend gemachte Schaden nicht eindeutig auf eine versicherte Netzwerksicherheitsverletzung zurückzuführen sei. Es fehlte an einem direkten Nachweis, dass der Angriff der alleinige Auslöser für den finanziellen Verlust war. Die Klägerin konnte diese Kausalitätskette nicht schlüssig darlegen, was das Gericht dazu veranlasste, der Argumentation der Versicherung zu folgen.
Bedeutung der AVB-Cyber 2024
Die Entscheidung des LG Hagen (Az. 9 O 258/23) verdeutlicht die wesentliche Rolle der Allgemeinen Versicherungsbedingungen (AVB) bei der Auslegung und Anwendung von Cyberversicherungsverträgen. Die AVB-Cyber 2024, als aktualisierte Musterbedingungen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV), enthalten wichtige Klarstellungen und Neuerungen, die auch im Kontext der Entscheidung des LG Hagen berücksichtigt werden müssen:
- Vertragsgrundlage und Obliegenheiten: Die AVB-Cyber 2024 formulieren umfassende technische Obliegenheiten für Versicherungsnehmer, wie:
- Identitäts- und Berechtigungsmanagement,Schutzmaßnahmen gegen unberechtigten Zugriff,Schutzmaßnahmen gegen Schadsoftware,Patch-Management undDatensicherungsprozesse.
- Kausalität und Nachweislast: Ein zentraler Punkt des Urteils war der fehlende Nachweis einer adäquaten Kausalität zwischen dem Cyberangriff und dem geltend gemachten Schaden. Die AVB-Cyber 2024 behandeln dies explizit, indem sie eine enge Definition der Informationssicherheitsverletzung sowie spezifische Anforderungen an den Nachweis eines Versicherungsfalls formulieren. Dazu gehört die Forderung nach IT-forensischen Untersuchungen, die objektive Hinweise auf die Verantwortlichkeit eines Angreifers liefern sollen.
- Risikoausschlüsse: Die AVB-Cyber 2024 enthalten eine Reihe klarstellender und erweiternder Risikoausschlüsse. Besonders relevant im Kontext der Entscheidung sind:
- Ausschlüsse für den Abfluss von Vermögenswerten (z. B. durch Social Engineering oder Phishing).Der Ausschluss für Schäden infolge grober Fahrlässigkeit oder vorsätzlicher Pflichtverletzungen des Versicherungsnehmers.
- Beweiserleichterungen für Versicherer: Die AVB-Cyber 2024 enthalten Regelungen, die die Darlegungs- und Beweislast für den Versicherer erleichtern, etwa durch die Möglichkeit, auf staatliche Zuschreibungen von Cyberangriffen zurückzugreifen. Solche Klauseln sind jedoch umstritten, da sie potenziell die Rechte des Versicherungsnehmers beeinträchtigen könnten.
Das Urteil des LG Hagen zeigt die hohe Bedeutung sorgfältiger Präventions- und Nachweispflichten in der Cyberversicherung. Versicherungsnehmer müssen sicherstellen, dass sie alle vertraglichen Obliegenheiten erfüllen und etwaige Schäden detailliert nachweisen können. Andernfalls laufen sie Gefahr, im Schadensfall leer auszugehen.
Fazit
Das Gericht hat die Klage abgewiesen. Entscheidend war, dass die Klägerin den Nachweis einer versicherten Netzwerksicherheitsverletzung und deren Kausalität für den geltend gemachten Schaden nicht erbringen konnte. Die Entscheidung des LG Hagen verdeutlicht die Herausforderungen bei der Anwendung von Cyberversicherungsverträgen und die strengen Anforderungen, die die AVB an den Versicherungsnehmer stellen. Die AVB Cyber 2024 präzisieren und erweitern viele dieser Anforderungen, betonen aber auch die Verantwortung des Versicherungsnehmers für präventive Maßnahmen.
Die Entscheidung macht deutlich, dass Cyberversicherungen nicht als Allheilmittel gegen IT-Sicherheitsprobleme verstanden werden dürfen, sondern als Teil eines umfassenden Risikomanagements. Für Unternehmen bedeutet dies, dass ein fundiertes IT-Sicherheitsmanagement nicht nur in technischer, sondern auch in rechtlicher Hinsicht unabdingbar ist, um Ansprüche gegenüber dem Versicherer erfolgreich durchsetzen zu können.