Das Wichtigste in Kürze
- Korrekte und wahrheitsgemäße Angaben im Cyberversicherungsantrag sind absolut entscheidend.
- Falschangaben, selbst fahrlässige, können zur Leistungsfreiheit des Versicherers führen.
- Eine externe IT-Sicherheitsanalyse hilft, Schwachstellen zu identifizieren und die Sicherheitslage korrekt darzustellen.
- Das Urteil stärkt die Position von Versicherern bei nachweisbaren Falschangaben.
- Prävention und eine robuste IT-Sicherheit sind trotz Versicherungsschutz unerlässlich.
Cyberversicherung leistungsfrei wegen Falschangaben im Antrag – Urteil des LG Kiel
Das Landgericht Kiel hat in einem Urteil vom 23.05.2024 (Az. 5 O 128/21) entschieden, dass eine Cyberversicherung aufgrund von Falschangaben im Versicherungsantrag leistungsfrei ist. Der Versicherer hatte den Vertrag wegen arglistiger Täuschung angefochten, nachdem es bei dem versicherten Unternehmen, einem Holzgroßhandel, zu einem Hackerangriff mit hohem Schaden gekommen war. Dieses Urteil unterstreicht die enorme Bedeutung korrekter Angaben bei der Beantragung von Versicherungen.
Falschangaben zur IT-Sicherheit als Problem
Im konkreten Fall hatte der betroffene Holzgroßhandel bei Abschluss einer Cyberversicherung im Jahr 2020 verschiedene Angaben zur IT-Sicherheit gemacht. Unter anderem versicherte das Unternehmen, dass alle Arbeitsrechner mit aktueller Schadsoftware-Erkennung ausgestattet seien.
Zudem wurde angegeben, dass verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt würden. Die Realität sah jedoch anders aus und wich erheblich von diesen Zusicherungen ab.
Mängel in der IT-Infrastruktur
Tatsächlich waren mehrere Server mit veralteten, unsicheren Betriebssystemen im Einsatz. Für diese Systeme waren keine Updates mehr verfügbar, was ein erhebliches Sicherheitsrisiko darstellte. Zusätzlich fehlte teilweise ein Virenschutz, was die Angriffsfläche weiter vergrößerte.
Der für die IT zuständige Mitarbeiter des Holzgroßhandels gab im Prozess zu, er habe bei der Beantwortung der Risikofragen die betreffenden Systeme „geflissentlich übersehen“. Es handelte sich dabei nicht um untergeordnete Rechner, sondern um Server mit zentralen Funktionen für den Betriebsablauf. Ein solcher ungeschützter Server mit veraltetem Windows-System diente beispielsweise als Verbindung zwischen dem Webshop und dem Warenwirtschaftssystem des Unternehmens. Über diesen Server erfolgte letztlich auch der entscheidende Hackerangriff.
Empfehlung: Externe Sicherheitsanalyse
Gerade bei Unternehmen mit komplexen IT-Systemen ist es ratsam, externe Sicherheitsexperten mit einer objektiven Überprüfung der Systemlandschaft zu beauftragen. Durch den Blick von außen lassen sich Schwachstellen oft leichter identifizieren. Interne Mitarbeiter sind möglicherweise betriebsblind oder können aus Zeitgründen nicht alle Bereiche umfassend prüfen.
Eine solche Sicherheitsanalyse kann außerdem helfen, die IT-Sicherheit gegenüber Versicherern korrekt darzustellen. Dies vermeidet böse Überraschungen im Schadensfall.
Arglistige Täuschung und ihre Folgen für den Versicherungsschutz
Das Gericht bewertete die falschen Angaben als arglistige Täuschung des Versicherers. Die Fragen wurden „ins Blaue hinein“ unrichtig beantwortet. Der zuständige IT-Leiter hätte die vorhandenen Sicherheitsmängel erkennen können und müssen. Aufgrund dieser arglistigen Täuschung war der Versicherungsvertrag nichtig, wodurch der Versicherer keine Leistung erbringen musste.
Entscheidende Faktoren für das Urteil
Entscheidend für die Einschätzung des Gerichts war die zentrale Bedeutung der unzureichend geschützten Systeme. Der veraltete Windows-Server war als Verbindung zwischen Webshop und Warenwirtschaft von essentieller Bedeutung. Ebenso befand sich der Domain-Controller zur Verwaltung der Zugriffsrechte im Netzwerk noch im unsicheren Auslieferungszustand.
Bei derart wichtigen Systemen konnte das Gericht nicht glauben, dass deren Sicherheitsmängel dem IT-Verantwortlichen verborgen geblieben waren. Ein Blick in die Administrationskonsolen hätte die Probleme schnell offenbart.
Ein Sachverständiger bestätigte zudem, dass der IT-Leiter die Aktualität von Virenschutz und Sicherheits-Updates einfach hätte prüfen können. Dass er dies vor der Beantwortung der Risikofragen versäumt hatte, wertete das Gericht als Indiz für Arglist. Denn gerade bei Abschluss einer Cyberversicherung muss sich der Verantwortliche der Wichtigkeit von Informationen zur IT-Sicherheit bewusst sein.
Bedeutung des Urteils für Unternehmen und Versicherer
Das Urteil verdeutlicht, wie entscheidend die korrekte Beantwortung von Risikofragen bei Cyberversicherungen ist. Unternehmen müssen sicherstellen, dass ihre IT-Sicherheitsstandards den Angaben in Versicherungsanträgen entsprechen. Nur so können sie im Schadenfall tatsächlich abgesichert sein. Falsche Angaben, auch wenn sie nur fahrlässig erfolgen, können zur Leistungsfreiheit des Versicherers führen.
Empfehlungen für Unternehmen
Insbesondere bei größeren Unternehmen mit komplexen IT-Systemen kann es sinnvoll sein, die Beantwortung der Risikofragen durch externe Sicherheitsexperten absichern zu lassen. Dies ermöglicht eine objektive Bewertung und korrekte Darstellung der tatsächlichen Sicherheitslage. Um die IT-Sicherheit insgesamt zu verbessern, sind regelmäßige Penetrationstests und Schwachstellenanalysen durch spezialisierte Dienstleister ratsam.
Sollte es dennoch zu einem Datenleck oder Hackerangriff kommen, ist eine schnelle und korrekte Meldung sowie die Schadensbegrenzung essenziell.
Auswirkungen für Versicherer
Für Versicherer bedeutet die Entscheidung, dass sie sich auf die Arglistanfechtung als „scharfes Schwert“ berufen können. Dies gilt, sofern Falschangaben nachweisbar sind. Angesichts der zunehmenden Bedrohung durch Cyberkriminalität dürften viele Versicherer ihre Risikofragen überarbeiten und konkretisieren. Ziel ist es, Streitigkeiten zu vermeiden und ihr eigenes Risiko zu begrenzen.
Fazit
Das Urteil des LG Kiel ist zu begrüßen, da es die Bedeutung einer wahrheitsgemäßen Risikodeklaration bei Cyberversicherungen unterstreicht. Es ermöglicht Versicherern, ihr Haftungsrisiko kalkulierbar zu halten. Zugleich mahnt es Unternehmen, ihre IT-Sicherheit ernst zu nehmen und sich nicht nur auf den Versicherungsschutz zu verlassen. Denn auch mit einer Cyberpolice gilt: Vorbeugung ist besser als Nachsorge.