In einer zunehmend digitalisierten Welt sind Unternehmen auf ihre IT, das Internet der Dinge (IoT) und digitale Dienste wie Cloud Computing angewiesen. Diese Abhängigkeit macht sie jedoch auch anfällig für Cyber-Kriminelle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt regelmäßig vor der wachsenden Zahl und Komplexität von Cyber-Angriffen. Hier setzen Cyber-Versicherungen an: Sie versprechen, Unternehmen vor den finanziellen Folgen solcher IT-Risiken zu schützen.
Was deckt eine Cyber-Versicherung ab?
Eine Cyber-Versicherung kann eine breite Palette von Schäden abdecken, die durch Cyber-Angriffe oder -Straftaten entstehen. Dazu gehören:
- Mehrkosten oder entgangene Gewinne aufgrund von Betriebsunterbrechungen.
- Kosten für Sachverständige und Beratung.
- Wiederherstellungskosten für Daten und Programme.
- Beseitigung von Schadsoftware oder deren Wiederbeschaffung.
- Kosten für den Austausch und Ersatz von Hardware.
- Die Zahlung von Erpressungsgeldern.
- Kostenübernahme bei Datenschutzverletzungen.
- Dienste wie Incident-Response und Forensik zur digitalen Beweissicherung.
- Reputationsmanagement.
Die verschärften Anforderungen der Versicherer
Aufgrund der dynamischen Entwicklung der Cyber-Risiken haben die Versicherer ihre Anforderungen für den Versicherungsschutz in den letzten Jahren deutlich erhöht. Ziel ist es, die Cyber-Hygiene und Cyber-Resilienz in Unternehmen zu fördern. Ein zentraler Bestandteil dieser Standards ist oft das wahrheitsgemäße Ausfüllen eines Fragebogens zur Risikobewertung durch den Versicherer. Und genau hier liegt der Knackpunkt, wie ein aktuelles Urteil des Landgerichts Kiel exemplarisch zeigt.
Der Fall vor dem Landgericht Kiel: Wenn falsche Angaben zum Verhängnis werden
Ein Unternehmen klagte auf Leistungen aus einer Cyber-Versicherung, nachdem ein Dritter in sein IT-System eingedrungen war und Rechenkapazitäten missbrauchte. Der Versicherer weigerte sich jedoch, die Versicherungssumme auszuzahlen.
Was war passiert? Beim Abschluss der Versicherung hatte ein Makler – nach Rücksprache mit der IT-Abteilung des Unternehmens – gegenüber dem Versicherer angegeben, dass alle Rechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet seien und dass Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt würden.
Nach dem Vorfall stellte sich bei einer Begutachtung jedoch heraus, dass veraltete Serversoftware genutzt wurde und Anti-Malware-Software fehlte.
Das Urteil: Arglistige Täuschung und weitreichende Folgen
Das Landgericht Kiel wies die Klage des Unternehmens ab. Das Gericht stellte fest, dass die Klägerin den Versicherer in zurechenbarer Weise arglistig über den Software- und Update-Status ihrer EDV getäuscht hatte. Die Auskünfte der Mitarbeiter müssen dem Unternehmen zugerechnet werden. Ein Mitarbeiter hatte die Angaben gemacht, ohne den Sicherheitsstatus selbst geprüft zu haben oder sich daran zu erinnern, dies beauftragt zu haben. Das Gericht wertete dies als „Angaben ins Blaue“, bei denen der Mitarbeiter billigend in Kauf nahm, dass die Informationen unrichtig waren – besonders gravierend, da es sich um Kernsysteme handelte.
Arglist vs. Fahrlässigkeit: Der entscheidende Unterschied
Dieses Urteil ist bedeutend, da es – neben einem Urteil des LG Tübingen – eines der wenigen ist, die sich mit der Abgrenzung zwischen fahrlässig und arglistig falschen Angaben beim Abschluss einer Cyber-Versicherung befassen. Der Unterschied ist entscheidend für die Konsequenzen:
- Bei Arglist kann der Vertrag rückwirkend vernichtet werden (§ 142 Abs. 1 BGB). Das bedeutet, er wird so behandelt, als hätte er nie existiert.
- Bei grober Fahrlässigkeit kann der Versicherer zwar vom Vertrag zurücktreten oder ihn kündigen (§ 19 Abs. 2, Abs. 3 VVG), aber der Vertrag wird nicht rückwirkend vernichtet. Zudem kann der zu ersetzende Schaden gemindert werden (§ 81 Abs. 3 VVG), sollte der Versicherungsfall eintreten.
Wissen der Mitarbeiter wird dem Arbeitgeber zugerechnet
Ein wichtiger Punkt ist, dass das Wissen und Wollen der Arbeitnehmer dem Arbeitgeber zugerechnet wird. Das bedeutet, dass Unternehmen für die Richtigkeit der Angaben ihrer Mitarbeiter verantwortlich sind, selbst wenn diese die Fakten nicht selbst überprüft haben.
Fazit: Vorsicht ist besser als Nachsicht!
Wer sich beim Abschluss einer Cyber-Versicherung nicht der Gefahr einer solchen Vertragsauflösung aussetzen möchte, sollte besondere Sorgfalt walten lassen. Eine zweite Person prüfen zu lassen, ob die Angaben im Vertrag korrekt sind, ist dringend ratsam. Andernfalls droht im Schadensfall die Verweigerung der Leistung durch die Versicherung.
Die Lehre aus dem Fall des LG Kiel ist klar: Wahrheitsgemäße und sorgfältig überprüfte Angaben sind die Grundlage für einen wirksamen Cyber-Versicherungsschutz. Nur so können Sie sicherstellen, dass Ihr Unternehmen im Ernstfall tatsächlich geschützt ist.
