Cyberversicherung verweigert Leistung nach Hackerangriff wegen Falschangaben

Das Landgericht Kiel hat in einem Urteil vom 23.05.2024 (Az. 5 O 128/21) entschieden, dass eine Cyberversicherung aufgrund von Falschangaben im Versicherungsantrag leistungsfrei ist. Der Versicherer hatte den Vertrag wegen arglistiger Täuschung angefochten, nachdem es bei dem versicherten Unternehmen, einem Holzgroßhandel, zu einem Hackerangriff mit hohem Schaden gekommen war.

Unzureichende IT-Sicherheit trotz gegenteiliger Angaben

Im vorliegenden Fall hatte der Holzgroßhandel bei Abschluss einer Cyberversicherung im Jahr 2020 unter anderem angegeben, dass alle Arbeitsrechner mit aktueller Schadsoftware-Erkennung ausgestattet seien und verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt würden. Tatsächlich waren jedoch mehrere Server mit veralteten, unsicheren Betriebssystemen im Einsatz, für die keine Updates mehr verfügbar waren. Auch fehlte teilweise ein Virenschutz.Der für die IT zuständige Mitarbeiter des Holzgroßhandels gab im Prozess an, er habe bei Beantwortung der Risikofragen die betreffenden Systeme “geflissentlich übersehen”. Dabei handelte es sich nicht um untergeordnete Rechner, sondern um Server mit zentralen Funktionen für den Betrieb. So diente ein ungeschützter Server mit veraltetem Windows-System als Verbindung zwischen dem Webshop und dem Warenwirtschaftssystem des Unternehmens. Über diesen erfolgte letztlich auch der Hackerangriff.Gerade bei Unternehmen mit komplexen IT-Systemen kann es sinnvoll sein, externe Sicherheitsexperten mit einer objektiven Überprüfung der Systemlandschaft zu beauftragen. Durch den Blick von außen lassen sich Schwachstellen oft leichter identifizieren als durch interne Mitarbeiter, die möglicherweise betriebsblind sind oder aus Zeitgründen nicht alle Bereiche im Blick haben. Eine solche Sicherheitsanalyse kann auch helfen, die IT-Sicherheit gegenüber Versicherern korrekt darzustellen und böse Überraschungen im Schadensfall zu vermeiden.

Arglistige Täuschung führt zur Leistungsfreiheit

Das Gericht sah in den falschen Angaben eine arglistige Täuschung des Versicherers, da die Fragen “ins Blaue hinein” unrichtig beantwortet wurden. Der zuständige IT-Leiter hätte die Sicherheitsmängel erkennen können und müssen. Aufgrund der arglistigen Täuschung war der Versicherungsvertrag nichtig, so dass der Versicherer nicht leisten musste.Entscheidend für die Einschätzung des Gerichts war, dass die unzureichend geschützten Systeme zentrale Funktionen im Unternehmen hatten. So war der veraltete Windows-Server als Verbindung zwischen Webshop und Warenwirtschaft von essentieller Bedeutung. Auch der Domain-Controller zur Verwaltung der Zugriffsrechte im Netzwerk befand sich noch im unsicheren Auslieferungszustand. Bei derart wichtigen Systemen konnte das Gericht nicht glauben, dass deren Sicherheitsmängel dem IT-Verantwortlichen verborgen geblieben waren.Zudem hätte der IT-Leiter laut einem Sachverständigen die Aktualität von Virenschutz und Sicherheits-Updates durch einen Blick in die Administrationskonsolen schnell selbst prüfen können. Dass er dies vor Beantwortung der Risikofragen versäumt hatte, wertete das Gericht als Indiz für Arglist. Denn gerade bei Abschluss einer Cyberversicherung muss sich der Verantwortliche bewusst sein, wie wichtig der Versicherer die Informationen zur IT-Sicherheit nimmt.

Bedeutung für Unternehmen und Versicherungen

Das Urteil zeigt, wie wichtig die korrekte Beantwortung von Risikofragen bei Cyberversicherungen ist. Unternehmen müssen sicherstellen, dass ihre IT-Sicherheitsstandards den Angaben in Versicherungsanträgen entsprechen, um im Schadenfall abgesichert zu sein. Falsche Angaben, auch wenn sie nur fahrlässig erfolgen, können zur Leistungsfreiheit des Versicherers führen.Gerade bei größeren Unternehmen mit komplexen IT-Systemen kann es sinnvoll sein, die Beantwortung der Risikofragen durch externe Sicherheitsexperten absichern zu lassen. So lässt sich die tatsächliche Sicherheitslage objektiv bewerten und korrekt darstellen. Auch um die IT-Sicherheit insgesamt zu verbessern, ist es ratsam, in regelmäßigen Abständen Penetrationstests und Schwachstellenanalysen durch spezialisierte Dienstleister durchführen zu lassen.Für Versicherer bedeutet die Entscheidung, dass sie sich auf die Arglistanfechtung als “scharfes Schwert” berufen können, wenn Falschangaben nachweisbar sind. Angesichts der zunehmenden Bedrohung durch Cyberkriminalität dürften viele Versicherer ihre Risikofragen überarbeiten und konkretisieren, um Streitigkeiten zu vermeiden und ihre Exposure zu begrenzen.Insgesamt ist das Urteil des LG Kiel zu begrüßen, da es die Bedeutung einer wahrheitsgemäßen Risikodeklaration unterstreicht und Versicherern ermöglicht, ihr Haftungsrisiko kalkulierbar zu halten. Es mahnt Unternehmen, ihre IT-Sicherheit ernst zu nehmen und sich nicht nur auf den Versicherungsschutz zu verlassen. Denn auch mit Cyberpolice gilt: Vorbeugung ist besser als Nachsorge.