Das Landgericht Tübingen hatte einen Fall auf dem Tisch, in dem sich ein Unternehmen und sein Cyberversicherer, die Cogitanda, stritten. Letztere sollte den Schaden aus einem Cyberangriff zahlen, was sie aber ablehnte.

Damit geht es in dem Fall im Grunde darum, wie weit Obliegenheiten für Versicherungsnehmer reichen. Und wann sie sie fahrlässig verletzen. Und es geht um Risikofragen und darum, wie sie zu beantworten sind. Das Gericht entschied zu Gunsten des Versicherungsnehmers (Aktenzeichen: 4 O 193/21). Den kompletten Bericht dazu lesen Sie hier.

Es ist ein bemerkenswertes Urteil, das die Cyberversicherungsbranche stark prägen wird, weil es die bisherige Logik solcher Verträge außer Kraft setzt. Denn der Kunde, ein Hersteller von ökologischen Heizungen, hatte auf den ersten Blick seine Sorgfaltspflichten verletzt.

Doch der Reihe nach: Das Unternehmen hatte mit der Cogitanda eine Cyberversicherung mit einer Deckungssumme von 5 Millionen Euro abgeschlossen. Im Vorfeld fragte der Versicherer acht Punkte ab, um das Risiko einordnen zu können:

1. Die IT des Unternehmens wird durch mindestens einen IT-Spezialisten betreut.
2. Es werden regelmäßig (mind. wöchentlich) Datensicherungen durchgeführt.
3. Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet.
4. Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme).
5. Es existieren Regelungen zum Umgang mit IT-Zugangsdaten im Unternehmen, deren Umsetzung überwacht wird.
6. Es werden Hard- und Software (wie Firewalls) zum Schutz des Unternehmensnetzwerks eingesetzt.
7. Mitarbeiter dürfen private Geräte für dienstliche Zwecke verwenden.
8. Gab es in den letzten drei Jahren einen Cyberschaden oder einen Datenschutzvorfall im Unternehmen?

Das Unternehmen beantwortete sieben Punkte mit Ja und nur den letzten mit Nein. Allerdings reichten Mitarbeiter der Firma auf einer Veranstaltung noch Informationen nach. Nämlich, dass sie auch noch ältere Systeme nutzten, für die es schon keine Updates mehr gibt. Das geschah allerdings mündlich.

Ein Klick auf den E-Mail-Anhang

Ende Mai 2020 wurde das Unternehmen Opfer eines Cyberangriffs. Ein Mitarbeiter klickte auf seinem dienstlichen Laptop auf einen verseuchten E-Mail-Anhang und ließ damit ein Schadprogramm ein, einen Trojaner. Der gelangte über einen VPN-Tunnel ins IT-System der Firma und verschlüsselte dort Daten und fuhr die Server runter. Anschließend verlangten die Täter Lösegeld. Erst im Oktober 2020 war die IT-Infrastruktur vollständig wieder aufgebaut.

Schon im Juni wollte der Cyberversicherer vom Vertrag zurücktreten und berief sich dabei auf die Punkte 3, 4 und 6, die der Kunde falsch beantwortet habe. Er hätte bei korrekten Antworten den Vertrag nicht abgeschlossen. Der Kunde hielt wiederum dagegen, dass er die Fragen „objektiv richtig beantwortet“ habe und verwies außerdem auf die Äußerungen seiner Mitarbeiter bei der Veranstaltung.

So weit standen also die Argumente gegeneinander. Doch dem Gericht war in erster Linie ein ganz anderer Umstand wichtig: Die IT-Mängel waren seiner Meinung nach gar nicht die Ursache für den Angriff und auch nicht für dessen Ausmaß. Es seien Schwachstellen gewesen, die auch aktuelle Systeme hatten. Oder anders gesprochen: Der Angriff wäre auch erfolgreich gewesen, wenn alle Server neu und aktuell gewesen wären. Denn die Ganoven hatten über einen sogenannten „Pass-the-Hash-Angriff“ die Anmeldeinformationen des Mitarbeiters abgegriffen und konnten sich somit im Netzwerk korrekt ausweisen und einnisten. Der Angriff kam somit von innen.

Zahlreiche Mängel im System

Der Versicherer führte jedoch an, dass moderne Systeme deutlich widerstandsfähiger seien als die vorhandenen alten, somit wäre der Schaden geringer gewesen.

In der Tat wies die IT des Unternehmens einige Mängel auf, wie in der Verhandlung deutlich wurde. Hier ein paar Auszüge: Für manche Server gab es seit 2015 keine Updates von Microsoft mehr. Das letzte Fehlerkorrekturprogramm („Patch“) wurde im Dezember 2018 erfolgreich installiert. Danach gab es nur noch Fehlschläge. Bei einem Server war die Firewall ausgeschaltet, und auf mindestens vier Servern fehlten wichtige Abwehrprogramme.

Hatte also der Kunde den Schadenfall nicht doch fahrlässig herbeigeführt? Laut Gericht nicht. Denn die Mängel und damit die Gefahrenlage hätten bei Vertragsschluss schon bestanden und damit „Grundlage der Risikoprüfung des Versicherers“ sein können. Mit anderen Worten: Selber schuld, wenn er nicht genau hinschaut.

Insbesondere zeigen die verhandelten Zahlen, wie teuer solche Angriffe werden können. Den Sachschaden setzte der Kläger mit rund 322.000 Euro noch vergleichsweise günstig an. Allerdings war der laufende Betrieb unterbrochen, was laut Klage mit fast 3,7 Millionen Euro in die Bücher schlug. Am Ende verlangte das Unternehmen rund 3,8 Millionen Euro nach Selbstbehalt von der Cogitanda. Das Gericht verurteilte sie jedoch zu lediglich 2,9 Millionen Euro plus Zinsen und 69 Prozent der Rechtskosten.

Am Ende zeigt der Prozess insbesondere drei Dinge:

1. Cyberattacken können so teuer und langwierig werden, dass sie die Existenz ganzer Unternehmen gefährden
2. Die Systeme können noch so teuer und aktuell sein, beliebtestes Einfallstor sind und bleiben die Mitarbeiter
3. Selbst wenn Risikofragen falsch beantwortet wurden, können Versicherer zur Zahlung verdonnert werden.

Wir werden sehen, was das mit Prämien, Frageverhalten, Obliegenheiten und der ganzen Vertragskultur von Cyberversicherungen macht. Und ob Cogitanda Berufung einlegen will.