Der Mitarbeiter eines Unternehmens lädt aus Versehen eine Schadsoftware herunter. Diese breitet sich auf 16 der 21 Server aus und verschlüsselt sie unwiderruflich. Um die Daten wiederherzustellen, braucht es Monate – dem Unternehmen entstehen Kosten in Höhe von mehreren Millionen Euro, auch wegen der längeren Betriebsunterbrechung.
Das Unternehmen hat eine Cyberversicherung und will die Leistung abrufen. Da 11 der 21 Server bereits bei Vertragsschluss veraltet waren und zum Teil seit Jahren keine Sicherheitsupdates mehr erhalten hatten, trat die Cyberversicherung aber vom Vertrag zurück und verweigerte die Leistung. Der Fall landet vor Gericht.
Das Landgericht Tübingen entschied zu Gunsten des Unternehmens (Geschäftszeichen 4 O 193/21). Der Cyberversicherer muss rund 2,5 Millionen Euro an die Firma zahlen. Warum? Die Firma habe etwaige Anzeigepflichten bestenfalls fahrlässig verletzt, so die Richter. Zusätzlich konnte sie den „Kausalitätsgegenbeweis“ führen. Das vom Gericht eingeholte Sachverständigengutachten kam nämlich zu dem Ergebnis, dass von der heruntergeladenen Schadsoftware die alten und neuen Server gleichermaßen betroffen waren.
Also hatten die fehlenden Sicherheitsupdates offensichtlich keinen Einfluss auf den Eintritt oder die Höhe des Schadens. Aus diesen Gründen war die Cyberversicherung auch nicht wegen einer Gefahrerhöhung leistungsfrei. Damit scheiterte die Cyberversicherung mit ihren Einwendungen und musste nun für den unstreitigen Versicherungsfall zahlen.
Trotzdem: „Auch wenn die Firma in diesem Fall durchaus etwas ‚Glück hatte‘, so müssen auch in der Cyberversicherung Gefahrfragen richtig beantworten werden“, sagt Tobias Strübing, Fachanwalt für Versicherungsrecht. „Anderenfalls kann es im Leistungsfall zu bösen Überraschungen kommen.“
