Soweit ersichtlich, handelt es sich um eine der ersten, wenn nicht die erste deutsche Gerichtsentscheidung zu einer Cyber-Versicherung.

Kurzzusammenfassung des Sachverhalts

Die Versicherungsnehmerin und Klägerin begehrt von dem beklagten Versicherer Leistungen aus einem Cyber-Versicherungsvertrag. Sie wurde Opfer eines Cyber-Angriffs durch nicht identifizierte Angreifer. Mittels einer sog. Phishing-Mail schleusten die Cyber-Angreifer einen Verschlüsselungs-Trojaner (Ransomware) ein und legten fast die gesamte IT-Infrastruktur der Versicherungsnehmerin lahm. Der Trojaner bewirkte, dass sämtliche Server heruntergefahren wurden. Ein Neustart scheiterte an der von dem Trojaner vorgenommenen Verschlüsselung. Die Angreifer forderten ein Lösegeld in Bitcoins und drohten mit der Veröffentlichung sensibler Unternehmensdaten. Die Versicherungsnehmerin ging auf diese Forderung nicht ein. Die IT-Infrastruktur der Versicherungsnehmerin blieb verschlüsselt und musste wieder neu aufgebaut werden. Die IT-Infrastruktur der Versicherungsnehmerin verfügte über mehrere Server, von denen nicht alle mit den aktuellen Sicherheits-Updates des Betriebssystems ausgestattet waren.

Der Versicherer erklärte den Rücktritt vom Vertrag mit der Begründung, die Versicherungsnehmerin habe ihre vorvertraglichen Anzeigepflichten verletzt, indem sie vor Vertragsabschluss Risikofragen falsch beantwortet habe. Für mehrere Server der Klägerin seien seit Jahren keine Sicherheits-Updates mehr verfügbar gewesen, was der Klägerin bekannt gewesen sei. Die Versicherungsnehmerin macht geltend, die Risikofragen seien nicht geeignet, das Risiko- und Schadenspotential zutreffend zu ermitteln und teils so unpräzise und weit gefasst, dass das Risiko einer Fehleinschätzung der Versicherungsnehmerin aufgebürdet werde. Es lägen daher bereits keine relevanten Fragen der vorvertraglichen Anzeigepflicht vor. Zudem habe sie die Risikofragen objektiv richtig beantwortet. Neben der schriftlichen Beantwortung der Risikofragen seien auch die mündlichen Äußerungen zu berücksichtigen, die anlässlich eines Workshops, bei dem unter anderem der technische Stand der IT-Infrastruktur der Versicherungsnehmerin besprochen worden sei, gegenüber dem Vertreter des Versicherungsagenten, der für den Versicherer tätig war, gemacht worden seien. Das Landgericht gab der Klage nach Beweisaufnahme und Einholung eines IT-Sachverständigengutachtens überwiegend statt.

Rechtliche Begründung

Entscheidungserheblich war für das Landgericht, dass nach den Feststellungen des gerichtlichen Sachverständigen bei dem Cyber-Angriff eine vorhandene Schwachstelle des Betriebssystems ausgenutzt wurde, die unabhängig von der Aktualität des betroffenen Systems bestanden habe. Nach dem Sachverständigengutachten hätte auch die Vornahme der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens beeinflussen können. Insofern habe die Versicherungsnehmerin den ihr obliegenden Kausalitätsgegenbeweis geführt.

Der Anspruch der Klägerin sei auch nicht wegen grob fahrlässigen Herbeiführens des Versicherungsfalls zu kürzen. Der gerichtlich eingeschaltete Sachverständige habe mehrere denkbare Maßnahmen aufgeführt, durch die der Cyber-Angriff verhindert oder zumindest erschwert worden wäre (z.B. Zwei-Faktoren-Authentifizierung und sog. Monitoring). § 81 Abs. 2 VVG sei jedoch bereits nicht anwendbar, weshalb eine Kürzung ausscheide. Die Gefahrenlage habe bereits bei Vertragsschluss bestanden und sei bereits Grundlage der Risikoprüfung des Versicherers gewesen bzw. hätte dies sein können. Bei der Klägerin habe sich die Risikolage gegenüber dem Zustand bei Vertragsschluss nicht geändert. Der Versicherer habe es selbst in der Hand gehabt, die Existenz zusätzlicher Sicherheitsmaßnahmen durch Risikofragen abzuklären. Indem er hierauf verzichtet habe, habe er einen Vertragsschluss mit der Klägerin mit der vorhandenen Risikolage akzeptiert und könne von Beginn an bestehende Risiken nicht über § 81 Abs. 2 VVG der Versicherungsnehmerin aufbürden. Zu einer Abänderung, insbesondere Verbesserung der bei Vertragsschluss bestehenden Risikolage sei die Versicherungsnehmerin nicht verpflichtet

Praxishinweis

Das Urteil befasst sich im Wesentlichen mit in der Praxis üblichen und regelmäßig auftretenden versicherungsrechtlichen Fragen, nämlich, ob ein Versicherungsnehmer seine vorvertraglichen Anzeigeobliegenheiten verletzt und ob er den Versicherungsfall vorsätzlich oder grob fahrlässig herbeigeführt hat. Das Urteil zeigt, dass es für die Frage des Versicherungsschutzes entscheidend darauf ankommen kann, welche Umstände und Risiken der Versicherer vor Abschluss des Cyber-Versicherungsvertrages bei dem Versicherungsnehmer abfragt. Die Entscheidung zeigt zudem, dass es im Schadensfall für den Versicherungsschutz darauf ankommen kann, ob versäumte (technische/digitale) Maßnahmen den Cyber-Angriff selbst oder einen dadurch entstandenen Schaden abgewehrt bzw. verhindert hätten und hierdurch der Versicherungsfall vorsätzlich oder grob fahrlässig herbeigeführt wurde. Es bleibt abzuwarten, ob die Entscheidung rechtskräftig oder mittels Berufung angefochten wird.