Zur Eintrittspflicht einer Cyberversicherung bei einem Cyber-Angriff
Die fehlerhafte Beantwortung eines Unternehmens bei Begründung eines Versicherungsvertrags über eine sog. Cyberversicherung (Versicherung, die u.a. Schäden aus Betriebsunterbrechungen, Datenschutzvorfällen, etc. abdeckt) führt im Schadenfall nicht zwingend zur einer Leistungsbefreiung der Versicherung. Gelingt dem versicherten Unternehmen vielmehr der sog. „Kausalitätsgegenbeweis“, d.h. der Nachweis, dass eine mögliche Verletzung einer Anzeigeobliegenheit für den Versicherungsfall nicht ursächlich war, darf der Versicherungsschutz nicht versagt werden, es sei denn der Versicherungsnehmer hat arglistig gehandelt.
Dies hat das Landgericht Tübingen im Rahmen eines Urteils v. 26.05.2023 (4 O 193/21) entschieden. Dem Urteil lag folgender Fall zugrunde:
Sachverhalt
Ein Hersteller für Komponenten ökologischer Heizungsanlagen hatte im Jahr 2020 eine sog. Cyber-Versicherung abgeschlossen. Abgedeckt war insoweit u.a. das Risiko der Betriebsunterbrechung. Die Deckungssumme betrug EUR 5 Mio.
Im Rahmen des Vertragsschlusses stellte das beklagte Versicherungsunternehmen (nachfolgend Beklagte genannt) insgesamt acht Risikofragen. Es wollte insbesondere wissen, ob alle Rechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet seien und ob verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt und lediglich Produkte eingesetzt würden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden. Das Unternehmen beantwortet diese Fragen zustimmend.
Das versicherte Unternehmen wurde im Mai 2020 Opfer eines Cyber-Angriffs. Mittels einer sog. Phishing-E-Mail wurde ein Verschlüsselungstrojaner eingeschleust, die nahezu die gesamte IT-Infrastruktur des versicherten Unternehmens lahmlegte. Der Trojaner bewirkte, dass sämtliche Server heruntergefahren wurden. Ein Neustart scheiterte an der Verschlüsselung. Auf den Bildschirmen wurde eine Mitteilung der Angreifer angezeigt, die ein Lösegeld in Bitcoins verlangen und mit der Veröffentlichung sensibler Firmendaten drohten.
Das Unternehmen ging auf diese Forderung nicht ein, sondern wandte sich an die Kriminalpolizei, die die Täter bis dato nicht ermitteln konnte. Die IT-Infrastruktur des Unternehmen blieb verschlüsselt und musste neu aufgebaut werden. Diese Tätigkeiten waren im Oktober 2020 beendet.
Im Juni 2020 erklärte die beklagte Cyber-Versicherung den Rücktritt vom Versicherungsvertrag mit der Begründung, das versicherte Unternehmen habe seine vorvertraglichen Anzeigepflichten verletzt, indem es die Risikofragen bei Vertragsschluss falsch beantwortet habe, denn für mehrere Server des Unternehmens seien seit Jahren keine Sicherheits-Updates mehr verfügbar gewesen. Die sei auch bekannt gewesen.
Das Unternehmen erhob Klage und forderte von der Versicherung EUR 3.771.767,12 (Sachschaden, Betriebsunterbrechungsschaden, Schadensminderungsmaßnahmen, Kosten der Schadenfeststellung, Kosten des eigenen Sachverständigen).
Es trug vor, die Risikofragen seien nicht geeignet gewesen, das Risiko- und Schadenpotential zutreffend zu ermitteln. Das Risiko einer Fehleinschätzung werde so dem Versicherungsnehmer in unzumutbarer Art und Weise aufgebürdet. Darüber hinaus habe man mündlich auf ältere Systeme (Mircosoft Windows Server 2003) hingewiesen, bei denen aus technischen Gründen keine Updates mehr hätten durchgeführt werden können. Weiter wendete es ein, dass der sog. Kausalitätsgegenbeweis geführt werden könne. Es habe sich um einen „Pass-the-Hash-Angriff“ gehandelt, so dass mögliche Mängel der IT-Struktur weder für den Cyber-Angriff noch für dessen Ausmaß ursächlich gewesen seien. Im Rahmen des „Pass-the-Hash-Angriffs“ seien Anmeldeinformationen (Passwörter) vom Konto des Mitarbeiters abgegriffen worden, so dass sich der Angreifer mit diesen Anmeldeinformationen innerhalb des Netzwerks authentifiziert und somit Zugriff auf Dienste im Namen des Benutzers erhalten habe. Der Angriff sei somit von innerhalb der Firewall der Klägerin ausgegangen. Hierbei handele es sich um eine bekannte gravierende Sicherheitslücke, die bei sämtlichen – auch aktuellen – Microsoft Betriebssystemen bestehe und somit auch bei dem auf dem Laptop verwendeten Betriebssystem Windows 10 Pro.
Das Unternehmen hat seinen Betriebsunterbrechungsschaden zunächst dergestalt ermittelt, dass es den tatsächlich erzielten Rohertrag je geleisteter Personenstunde für den Zeitraum 01.06.2020 bis 30.04.2021 mit den angeblich ausgefallenen Personenstunden multipliziert hat.
Die Beklagte wandte die Falschbeantwortung der Risikofragen ein. Sie listete u.a. folgende Defizite explizit auf:
– Einsatz von Windows-Servern 2003: spätestens seit 2015 kein Support mehr von Microsoft
– Einsatz von Windows-Servern 2008 und 2008 R2:
– keine kostenlos verlängerten Sicherheitsupdates, da keine Migration der Workloads auf Azur
– kein Erwerb kostenpflichtiger Sicherheitsupdates
=> seit dem 14.01.2020 keine Sicherheitsupdates mehr verfügbar
etc..
Sie räumt ein, dass der Cyber-Angriff möglicherweise auch dann geschehen wäre, wenn das IT-System der Klägerin aktuell gewesen wäre und nicht die beschriebenen Defizite aufgewiesen hätte. Die Defizite hätten sich aber auf den Umfang des eingetretenen Schadens ausgewirkt, da moderne Systeme insoweit deutlich widerstandsfähiger seien und das Ausmaß des Angriffs hätten beschränken können. Die Täter hätten bei ihrem Angriff das sog. Empire-Framework eingesetzt, wodurch gezielt bekannte Schwachstellen und Sicherheitslücken ausgenutzt würden, um weitere Teile der IT-Infrastruktur zu befallen und lahmzulegen.
Das Urteil
Das LG Tübingen sprach dem klagenden Unternehmen schließlich EUR 2.858.923,54 zu und urteilte, dass die Beklagte nicht wegen der Verletzung vorvertraglicher Anzeigepflichten oder aufgrund einer Gefahrerhöhung leistungsfrei geworden sei.
Im Hinblick auf die Risikofragen kam es zu dem Ergebnis, dass das Unternehmen nachgewiesen habe, dass die mögliche falsche Beantwortung weder für den Eintritt des Versicherungsfalls noch für den Umfang der Leistung ursächlich gewesen sei (Kausalitätsgegenbeweis). Von einer arglistigen Verletzung der Anzeigepflicht sei die zuständige Kammer nicht überzeugt. Die bewusste Falsch- oder Nichtbeantwortung von Fragen genüge für sich genommen nicht für Arglist. Der Versicherungsnehmer müsse vielmehr in subjektiver Hinsicht bewusst Einfluss auf die Entschließung des Versicherers nehmen. Ihm müsse bewusst sein, dass der Versicherer möglicherweise den Versicherungsantrag gar nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sagt. Eine vorsätzliche, arglistige Falschbeantwortung konnte das Gericht nach dem Ergebnis der Beweisaufnahme nicht feststellen.
Der hinzugezogene Sachverständige habe im Rahmen der Beweisaufnahme ausgeführt, von 21 Servern, seien 11 nicht aus dem aktuellsten Stand gewesen. Der Cyber-Angriff sei jedoch bei insgesamt 16 von 21 Servern erfolgreich gewesen und habe Systeme mit allen Betriebssystemversionen, darunter auch die aktuellen Windows Server 2019 betroffen. Verschlüsselt worden seien darüber hinaus auch die extern ausgelagerten Server, da letztendlich die Administratorrechte u.a. für die Domäne Paradigma erbeutet worden seien. Die Angreifer seien damit in die Lage versetzt worden, mit dem System „alles zu machen“, d.h. auch Virenscanner und Firewalls zu deaktivieren. Nach Feststellungen des Sachverständigen sei eine vorhandene Schwachstelle (sog. Design-Schwäche) von Windows ausgenutzt worden, die unabhängig von der Aktualität des betroffenen Systems bestehe.
Das Gericht kürzte den geltend gemachten Betriebsunterbrechungsschaden und stellte fest, dass die Schadenschätzung anhand der von der Klägerin vorgelegten betriebswirtschaftlichen Auswertung erfolgen müsse. Der Schadenschätzung seien die Geschäftszahlen der Jahre 2020 (mit Betriebsunterbrechung) und 2021 (ohne Betriebsunterbrechung) zugrunde zu legen. Bei der Berechnung des Deckungsbeitrags müssten vom erzielten jährlichen Gesamtumsatz als Kosten ein Teil des Materialaufwands abgezogen werden.