Kiel, 23. Mai 2024 – Das Landgericht Kiel hat in einem aufsehenerregenden Fall entschieden, dass eine Versicherungsgesellschaft nicht zur Zahlung aus einer Cyber-Versicherung verpflichtet ist. Die Entscheidung fiel, weil die Klägerin, ein Holzgroßhandel mit Sitz in Norddeutschland, bei Abschluss der Versicherung bewusst falsche Angaben zu ihren IT-Sicherheitsvorkehrungen gemacht hatte (Az. 5 O 128/21).
Hintergrund des Falls und Klagebetrag
Die Klägerin betreibt an 16 Standorten einen Holzgroßhandel und ermöglicht ihren gewerblichen Kunden, Bestellungen online aufzugeben. Um sich gegen mögliche Cyberangriffe abzusichern, schloss sie im März 2020 eine Cyber-Versicherung bei der Beklagten ab. Teil des Vertrags waren unter anderem regelmäßige Datensicherungen, aktuelle Sicherheitssoftware und umgehende Sicherheitsupdates. Diese Angaben wurden von einem Mitarbeiter der Klägerin bestätigt. Nach einem Hackerangriff im Oktober 2020 forderte die Klägerin zunächst einen Feststellungsantrag und vorgerichtliche Rechtsanwaltskosten in Höhe von 2.810,19 Euro. Später erweiterte sie ihre Klage und beantragte die Zahlung von 424.985,52 Euro nebst Zinsen in Höhe von 5 % über dem Basiszinssatz. Der gesamte Klagebetrag inklusive der zusätzlichen IT-Kosten und Rechtsanwaltskosten belief sich somit auf mehrere hunderttausend Euro.
Der Abschluss des Versicherungsvertrages
Der Vertragsschluss erfolgte elektronisch über ein Onlineportal. Dabei mussten für den Vertragsabschluss spezifische Felder am Bildschirm ausgefüllt und bestätigt werden. Unter anderem wurden im Schritt 5 des Prozesses verschiedene Risikofragen gestellt, die vom für die Klägerin tätigen Makler beantwortet. Die Klägerin hat diese Fragen ohne nähere Überprüfung des tatsächlichen Zustands der IT-Infrastruktur beantwortet, was später zu Problemen führte.
Vorhandene Sicherheitsmaßnahmen im IT-Bereich
Im Unternehmen der Klägerin wurden zum Betrieb des Webshops ein Web-SQL-Server mit dem Windows-Betriebssystem 2008 sowie mehrere andere Rechner mit veralteten Betriebssystemen (Windows 2003) eingesetzt. Diese Systeme hatten seit Jahren keine Sicherheitsupdates mehr erhalten. Insbesondere der Web-SQL-Server war für Hackerangriffe anfällig, da er weder durch eine Firewall geschützt war, noch über aktuelle Sicherheitssoftware verfügte. Zudem waren Passwörter im IT-System der Klägerin leicht zu knacken, was das Risiko eines erfolgreichen Angriffs erhöhte.
Trotz der veralteten Systeme behauptete die Klägerin, dass sie alle erforderlichen Sicherheitsmaßnahmen getroffen hatte. Regelmäßige Datensicherungen und aktuelle Antivirensoftware wurden als vorhanden angegeben, obwohl dies nicht der Realität entsprach. Eine forensische Analyse nach dem Schadensfall zeigte, dass die IT-Infrastruktur der Klägerin erhebliche Sicherheitslücken aufwies.
Der Schadenfall
Im Oktober 2020 wurde die IT-Infrastruktur der Klägerin Opfer eines Hackerangriffs. Über einen veralteten Webserver, der keine aktuellen Sicherheitsupdates mehr erhielt und nicht durch eine Firewall oder Virenscanner geschützt war, drang Schadsoftware in das System ein. Diese nutzte die Rechnerkapazitäten der Klägerin zum Bitcoin-Mining und legte das IT-System lahm. Der Schaden belief sich auf mehrere hunderttausend Euro.
Reaktion der Versicherung
Nach der Meldung des Schadens ließ die Beklagte eine forensische Analyse durchführen, die den Sicherheitsvorfall bestätigte. Daraufhin erklärte die Versicherungsgesellschaft den Rücktritt vom Vertrag und berief sich auf Leistungsfreiheit wegen arglistiger Täuschung. Die Versicherung führte an, dass die Klägerin bei Vertragsschluss falsche Angaben zu den IT-Sicherheitsmaßnahmen gemacht habe, insbesondere über die regelmäßigen Updates und den Virenschutz.
Gerichtliche Entscheidung
Das Landgericht Kiel wies die Klage der Klägerin ab. In der Urteilsbegründung wurde festgehalten, dass die Klägerin die Beklagte arglistig über den Zustand ihrer IT-Sicherheitsvorkehrungen getäuscht habe. Es stellte sich heraus, dass mehrere wichtige Server des Unternehmens, darunter ein Web-SQL-Server und ein Domain-Controller, keine aktuellen Sicherheitsupdates und keinen Virenschutz aufwiesen. Diese Tatsachen wurden von der Klägerin bei den Risikofragen im Rahmen des Versicherungsabschlusses verschwiegen oder falsch dargestellt.
Das Gericht betonte, dass der Versicherungsvertrag aufgrund der arglistigen Täuschung nichtig sei. Die Klägerin habe die Beklagte durch die falschen Angaben dazu gebracht, einen Vertrag zu schließen, den sie bei Kenntnis der tatsächlichen Umstände entweder gar nicht oder zu anderen Bedingungen abgeschlossen hätte. Daher sei die Versicherungsgesellschaft berechtigt, jegliche Leistungen zu verweigern.
Wichtige Erkenntnisse des Gerichtes
„Nach ständiger Rechtsprechung […] ist für die Auslegung von allgemeinen Versicherungsbedingungen wie auch für Erklärungen des Versicherers und damit den hier gestellten Risikofragen auf den durchschnittlichen, um Verständnis bemühten Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse abzustellen. In erster Linie ist bei der Auslegung vom Wortlaut auszugehen. Zudem ist der verfolgte Zweck und der Sinnzusammenhang zu berücksichtigen (BGH Urteil vom 23.06.1993 – IV ZR 135/92).“
„Der Versicherungsnehmer […] wird hierbei ohne weiteres erkennen, dass die vor dem Versicherungsvertragsschluss erfolgende Risikobewertung durch den Versicherer maßgeblich von verfügbaren Schutzmaßnahmen gegen IT-Angriffe von außen, wie installierten Virenschutzprogrammen und vom Hersteller bereitgestellten und auch abgerufenen Sicherheitsupdates abhängt.“
„Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder. […] Er wird aus der Formulierung in Frage 4), in der nach „durchgeführten“ Sicherheitsupdates gefragt wird, des Weiteren erkennen, dass der Versicherer sich hier nach tatsächlich verfügbaren und von dem Anfragenden genutzte Sicherheitsupdates des Herstellers erkundigt.“
„Der Zeuge … hat die zu Ziffer 3) und 4) gestellten Fragen ins Blaue hinein unrichtig beantwortet und damit arglistig getäuscht.“
„Eine arglistige Täuschung liegt selbst dann vor, wenn vor dem Vertragsschluss gestellte mündliche Fragen objektiv falsch beantwortet worden sind. Dies gilt damit erst recht, wenn die über ein Onlineportal auf dem Bildschirm sichtbaren Fragen falsch beantwortet werden (OLG Celle VersR 2020, 830; OLG Hamm BeckRS 2019, 37498; Langheid/Wandt/Bußmann Münchener Komm. z. VVG § 22 R. 19; Piontek r+s 2019 S. 1 ff (4)).“
„Das Verhalten des Zeugen … muss sich die Klägerin zurechnen lassen. Sie hat sich des Zeugen als Verhandlungsgehilfen bei Abschluss des Versicherungsvertrages bezüglich der Beantwortung der Risikofragen bedient. Er ist daher nicht Dritter im Sinne des § 123 Abs. 2 Satz 1 BGB (Münchener Kommentar Langheid/Wandt/Bußmann VVG § 22 Rn. 37).“
Fazit
Dieses Urteil unterstreicht die Bedeutung der wahrheitsgemäßen Beantwortung von Risikofragen bei Abschluss von Versicherungsverträgen. Es zeigt deutlich, dass Versicherungsnehmer mit erheblichen Konsequenzen rechnen müssen, wenn sie wesentliche Informationen arglistig verschweigen oder falsch angeben.
Überdies verdeutlicht das Urteil die Notwendigkeit, dass IT-Systeme stets auf dem neuesten Stand gehalten werden müssen. Dies umfasst regelmäßige Sicherheitsupdates, die Installation von Antivirensoftware und die Einhaltung strikter Passwortrichtlinien, einschließlich der Nutzung komplexer Passwörter und der regelmäßigen Änderung dieser Passwörter.
Unternehmen sollten sicherstellen, dass ihre IT-Infrastruktur durch geeignete Sicherheitsmaßnahmen geschützt ist, um das Risiko von Cyberangriffen zu minimieren und potenzielle Versicherungskonflikte zu vermeiden.
Lesen Sie hier das gesamte Urteil vom LG Kiel vom 23.05.2024 – 5 O 128/21
Wiener Neustadt, am 21.06.2024
Bild: Freepik, 20.06.2024