Mit der Entscheidung des Landgerichts Tübingen (Urteil vom 26.5.2023, Az. 4 O 193/21) liegt nun ein erstes Urteil zur Cyberversicherung vor. Dabei ging es um Schäden, die durch einen Verschlüsselungstrojaner verursacht wurden. Die Wiederherstellung der Systeme der Klägerin verursachte versicherte Kosten in Höhe von EUR 2.858.923,54. Der Cyberversicherer lehnte die Deckung ab und berief sich unter anderem auf fehlende Sicherheitsupdates und falsch ausgefüllte Fragebögen. Das Landgericht Tübingen gab der Klägerin Recht. Die lesenswerte Entscheidung befasst sich mit typischen Problemen bei der Regulierung von Cyberschäden.
Die gute Nachricht vorweg: Die bisherige Rechtsprechung zu anderen Versicherungssparten gilt auch für die Cyberversicherung. Insofern sind die Allgemeinen Versicherungsbedingungen (AVB) der Cyberversicherung zwar in vielen Punkten noch unklar, aber zumindest ist ihre Auslegung im Lichte der bisherigen Rechtsprechung kein Hexenwerk.
Der zugrunde liegende Sachverhalt
Das gegen den Cyberversicherer klagende Unternehmen wurde im Jahr 2020 Opfer eines Cyberangriffs. Mittels einer sogenannten Phishing-Mail wurde ein Verschlüsselungstrojaner („Ransomware“) eingeschleust, der nahezu die gesamte IT-Infrastruktur der Klägerin lahmlegte. Ein Mitarbeiter hatte auf seinem Dienst-Laptop einen als Rechnung getarnten E-Mail-Anhang geöffnet. Der dienstliche Laptop war über einen VPN-Tunnel mit dem Netzwerk der Klägerin verbunden. Auf diese Weise gelangte der Trojaner in das IT-System und verschlüsselte sämtliche Server. Ein Neustart schlug aufgrund der Verschlüsselung fehl. Auf den Bildschirmen erschien eine Nachricht der Angreifer, die ein Lösegeld in Bitcoins forderten und mit der Veröffentlichung sensibler Firmendaten drohten. Die Klägerin ging auf die Forderung nicht ein und wandte sich an die Kriminalpolizei, die die Täter bis heute nicht ermitteln konnte.
Die IT-Infrastruktur der Klägerin blieb verschlüsselt und musste komplett neu aufgebaut werden. Die Wiederherstellungsarbeiten dauerten nach Angaben der Klägerin fünf Monate. Das Landgericht sprach dem geschädigten Unternehmen einen Anspruch in Höhe von EUR 2.858.923,54 gegen den Cyberversicherer zu.
Vorgeworfene Obliegenheitsverletzungen
Der beklagte Cyberversicherer erklärte unter anderem den Rücktritt vom Vertrag mit der Begründung, das geschädigte Unternehmen habe seine vorvertraglichen Anzeigepflichten als Versicherungsnehmerin verletzt, indem es Risikofragen falsch beantwortet habe. Denn für mehrere Server der Klägerin seien seit Jahren keine Sicherheitsupdates mehr verfügbar gewesen, was der Klägerin bekannt gewesen sei. Diese Defizite hätten sich auf den Umfang des eingetretenen Schadens ausgewirkt, da moderne Systeme in dieser Hinsicht deutlich widerstandsfähiger seien und das Ausmaß des Angriffs hätten begrenzen können. Bei wahrheitsgemäßer Beantwortung der Risikofragen wäre der Versicherungsvertrag von der Beklagten nie abgeschlossen worden.
Darüber hinaus beruft sich die Beklagte auf eine Gefahrerhöhung im Sinne der §§ 23 ff. VVG in Verbindung mit den vereinbarten AVB beziehungsweise auf die grob fahrlässige Herbeiführung des Versicherungsfalls gemäß § 81 Abs. 2 VVG infolge fehlender oder unzureichender Sicherheitsmaßnahmen der Klägerin zur Abwehr eines Cyberangriffs. Eine Gefahrerhöhung liege darin, dass die Klägerin nach Vertragsschluss die Microsoft Windows Server 2003 nicht ausgetauscht und nach Vertragsschluss kostenpflichtige Sicherheitsupdates für die Windows Server 2008 nicht durchgeführt habe.
Schließlich brachte die Beklagte eine der stärksten „Keulen“ ins Spiel, die ein Versicherer seinem Versicherungsnehmer vorwerfen kann, und warf der Klägerin sogar die arglistige Verletzung einer Anzeigepflicht vor.
Die Entscheidung des Landgerichts Tübingen
Nach Auffassung des Landgerichts Tübingen war der beklagte Versicherer weder wegen einer vorvertraglichen Anzeigepflichtverletzung noch wegen einer Gefahrerhöhung leistungsfrei geworden. Hinsichtlich der Anzeigepflichtverletzung gelang der Klägerin ein sogenannter Kausalitätsgegenbeweis. Sie konnte gemäß § 21 Abs. 2 Satz 1 VVG nachweisen, dass eine etwaige Falschbeantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich war.
Die streitige Gefahrerhöhung wurde mithilfe eines Sachverständigen geklärt. Nach dessen Feststellungen wurde bei dem Cyberangriff eine vorhandene Schwachstelle (sogenannte „Design-Schwäche“) von Windows ausgenutzt, die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kam zu dem Ergebnis, dass auch das Einspielen der versäumten Updates weder den Angriff selbst hätte abwehren können noch das Ausmaß des entstandenen Schadens hätte beeinflussen können.
Der Anwendungsbereich des § 81 Abs. 2 VVG war nach Ansicht des Gerichts nicht eröffnet, da die in Rede stehende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war oder hätte sein können.
Auch eine arglistige Anzeigepflichtverletzung lehnte das Landgericht ab. Die Beklagte habe unter anderem im Rahmen einer Veranstaltung vor Vertragsschluss den Eindruck vermittelt, dass keine hohen Anforderungen an die IT-Sicherheit gestellt würden. Ein solches Verhalten des Cyberversicherers schließe „Vorsatz und erst recht Arglist (des Versicherungsnehmers) aus.“ Die Beklagte hätte es selbst in der Hand gehabt, die Existenz zusätzlicher Sicherheitsmaßnahmen durch entsprechende Risikofragen zu klären.
Anmerkung:
Auch mündliche Äußerungen auf (Vertriebs-)Veranstaltungen können vertragsrelevant werden. Um eine umfangreiche Beweisaufnahme durch Zeugenvernehmungen zu vermeiden, sollten Versicherungsnehmer und der betreuende Versicherungsmakler die Kommunikation mit dem Cyberversicherer stets schriftlich festhalten und das gemeinsame Deckungsverständnis dokumentieren.
Berechnung des Betriebsunterbrechungsschadens
Interessante Ausführungen enthält die Entscheidung des Landgerichts auch zur Berechnung eines Betriebsunterbrechungsschadens. Das geschädigte Unternehmen muss darlegen, welche konkreten betriebsbezogenen Einnahmen nicht erzielt werden konnten und welche konkreten betriebsbezogenen Kosten erspart wurden.
Eine in der Praxis leider häufig anzutreffende Schadensberechnung, die von einem Rohertrag pro geleisteter Personenstunde ausgeht und diesen mit den angeblich ausgefallenen Personenstunden multipliziert, reicht nicht aus. Die Annahme, das wegen der Betriebsunterbrechung nicht eingesetzte Personal hätte den gleichen Rohertrag erwirtschaftet, wie das zum Einsatz gelangte Personal, sei nicht nachvollziehbar. Vielmehr sind die betriebswirtschaftlichen Auswertungen des betroffenen Geschäftsjahres (mit Betriebsunterbrechung) und des Vorjahres (ohne Betriebsunterbrechung) zugrunde zu legen.
Bei der Berechnung des Deckungsbetrags folgte die Kammer im Ansatz der Berechnungsweise der Klägerin. Dabei wurde vom erzielten Gesamtjahresumsatz ein Teil des Materialaufwands als Kosten abgezogen. Der in den betriebswirtschaftlichen Auswertungen ausgewiesene Materialaufwand sei nicht nur für die Erzielung der Umsatzerlöse angefallen, sondern auch für die Erhöhung beziehungsweise Verminderung des Bestandes an fertigen und unfertigen Produkten. Dieser durfte jedoch nach den AVB nicht berücksichtigt werden, da dort allein an den Umsatz angeknüpft wurde. Der auf die Bestandsveränderungen entfallende Materialkostenanteil war daher herauszurechnen.
Im Wege der Schätzung nach § 287 ZPO hat das Landgericht zunächst die Gesamtmaterialkosten ins Verhältnis zur Gesamtleistung der Klägerin gesetzt. Diese ergibt sich aus der Summe der Umsatzerlöse und der Bestandsveränderungen, gegebenenfalls einschließlich der aktivierten Eigenleistungen. Sodann ging das Landgericht davon aus, dass der Anteil der Gesamtmaterialkosten an der Gesamtleistung dem Anteil der Materialkosten, die allein zur Erzielung der Umsatzerlöse erforderlich waren, an den Umsatzerlösen entspricht.
Der Cyberversicherer führte hierzu aus , dass die geltend gemachten Aufwendungen (Mehrkosten) teilsweise nicht erforderlich gewesen seien. Die Klägerin habe nicht nur den Zustand vor dem Cyberangriff wiederhergestellt, sondern darüber hinausgehende Verbesserungen vorgenommen. Nach Ansicht des Landgerichts muss jedoch der Cyberversicherer darlegen und beweisen, dass die Wiederherstellung zu einer unversicherten Verbesserung geführt hat. Demnach kann der Cyberversicherer nicht pauschal behaupten, die notwendige Wiederherstellung stelle eine unversicherte Verbesserung dar.
Fazit zur Entscheidung
Das Urteil des Landgerichts ist facettenreich und behandelt typische Probleme bei der Abwicklung von Cyber-Schadenfällen. Die Erwägungen der Kammer überzeugen und bringen erste Klarheit in bislang offene Fragen der Handhabung und Auslegung von Cyberversicherungsbedingungen. Für Versicherungsnehmer besonders wichtig ist die Feststellung, dass auch in der Cyberversicherung der bekannte Grundsatz gilt: Nicht jede falsch beantwortete Frage im Fragebogen führt automatisch zum Verlust des Versicherungsschutzes.
Beitragsbild: Valery Evlakhov / Shutterstock
Autor:
Rechtsanwalt Dr. Stefan Steinkühler
Rechtsanwalt Dr. Stefan Steinkühler steht der VSMA GmbH seit Mitte des Jahres 2020 als juristischer Berater bei haftungs- und versicherungsrechtlichen Themen zur Seite. Er verfügt über langjährige Erfahrungen in der Versicherungswirtschaft. Seine Tätigkeitsschwerpunkte liegen neben der Bearbeitung von Sach-/BU- und Produkthaftungsschäden vor allem Fälle im Bereich der D&O- und VSV-Versicherung sowie der dazugehörigen Managerhaftung.
