Cyber-Versicherung muss nach Hackerangriff wegen Falschangaben nicht zahlen
LG Kiel v. 23.5.2024 - 5 O 128/21Die Klägerin macht gegen die Beklagte Ansprüche aus einer Cyber-Versicherung geltend. Die Klägerin betreibt in Norddeutschland an 16 Standorten einen Großhandel mit der Möglichkeit einer Online-Bestellung für ihre ausschließlich gewerblichen Kunden.
Im Jahr 2020 kam es zu einem Hackerangriff über eine eingeschleuste Schadsoftware. Das IT-System der Klägerin wurde heruntergefahren, sodass der Betrieb zunächst stillstand. Insgesamt entstand ein Schaden von über 400.000 €, den die Klägerin aus einer abgeschlossenen Cyber-Versicherung ersetzt haben wollte.
Das LG wies die Klage jedoch ab.
Die Gründe:
Der Klägerin steht gegen die Beklagte kein Anspruch auf Zahlung von Versicherungsleistungen aus dem zwischen den Parteien geschlossenen Versicherungsvertrag zu, da der Vertrag aufgrund der von der Beklagten erklärten Anfechtung wegen arglistiger Täuschung nichtig ist (§§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB).
Die Beklagte hat noch binnen der Jahresfrist des § 124 BGB die Anfechtung des Vertrages wegen arglistiger Täuschung erklärt. Die Klägerin hat die Beklagte bei Vertragsschluss über vertragsrelevante Risiken arglistig getäuscht, indem sie die gestellten Risikofragen zu Ziffer 3) und 4) durch ihren beauftragten Verhandlungsgehilfen, den Zeugen J. falsch beantworten ließ, der seine Angaben im Bewusstsein seiner Unkenntnis ins Blaue hinein machte.
Die hier gestellten Risikofragen zu Ziffer 3) und 4) wurden bezogen auf den als Speicherplatz genutzten Windows 2003 Rechner, den für den Betrieb des WEB-Shops eingesetzten Windows 2008 SQL-Server und den noch im Auslieferungszustand von 2019 befindlichen Domain-Controller DC09 objektiv falsch beantwortet. Die Frage zu 3), ob "alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet" sind, wurde mit "ja" beantwortet.
Ebenso wurde die Frage zu Ziffer 4) nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und dem Einsatz von Produkten für die Software für Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme usw., für die vom Hersteller Sicherheitsupdates bereitgestellt werden, bejaht.
Tatsächlich war unstreitig auf dem Windows 2003 Rechner kein Virenschutzprogramm installiert und Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar. Das gilt auch für den zum Betrieb des WEB-Shops als Verbindung zum Warenwirtschaftssystem der Klägerin eingesetzten Windows 2008 Rechner. Auch hier war vor dem Vertragsschluss im Januar 2020 das von dem Hersteller bereit gestellte Sicherheitsupdate ausgelaufen. Einen erweiterten Supportvertrag, über den weiterhin Sicherheitsupdates hätten abgerufen werden können, hatte die Klägerin unstreitig für diesen Rechner nicht abgeschlossen. Zudem bestätigte der Zeuge J., dass, wie sich auch aus der von der Beklagten beauftragten forensischen Analyse durch die Diplom-Informatikerin R. ergibt, der Microsoft Windows 2008 R2 Rechner, der als WEB-SQL Server genutzt worden ist, nicht über einen Virenscanner verfügte. Schließlich befand sich auch der Domaincontroller DC 09 noch im Auslieferungszustand von 2019, d.h., weder waren Sicherheitsupdates und Aktualisierung erfolgt noch ein Virenschutz installiert. Die Fragen zu Ziffer 3) und 4) sind damit objektiv falsch beantwortet worden.
Mehr zum Thema:
Aufsatz:
Grob fahrlässige Schadensherbeiführung in der Cyberversicherung
Florian Höld, VersR 2023, 353
Aufsatz:
Grundlagen für ein gesetzliches IT-Sicherheitsrisikomanagement
Christoph Werner / Nils Brinker / Oliver Raabe, CR 2022, 81
Beratermodul VersR - Zeitschrift für Versicherungsrecht:
Das Beratermodul für den gezielten digitalen Zugriff auf sämtliche Inhalte der VersR zum Versicherungsrecht, zum Schadenrecht und zum Haftungsrecht. Inklusive online Archiv und Selbststudium nach § 15 FAO. Mit dem Beratermodul VersR haben Sie Zugriff auf das Archiv der Zeitschrift VersR seit 1970 mit jeweils 24 Ausgaben pro Jahr. 4 Wochen gratis nutzen!