Versicherung muss trotz fehlender IT-Updates zahlen
Cyber-Versicherungen müssen unter Umständen auch dann Schadenersatz zahlen, wenn das versicherte Unternehmen IT-Updates nicht gemacht hat. So lautet ein Urteil des Landgerichts Tübingen. Es ging um die stattliche Schadenssumme von 3,7 Mio. Euro, die das Unternehmen nach einem Hacker-Angriff aus ihrem Cyber-Versicherungsvertrag verlangte. Zugesprochen haben die Richter der Firma rund 2,85 Mio. Euro. Die Versicherung wollte gar nichts zahlen.
Streitpunkt war, dass die versicherte Firma einige Sicherheitsupdates unterlassen hatte. Von 21 Servern verfügten nach den Feststellungen des Sachverständigen nur 10 über die erforderlichen Sicherheitsupdates. So gelang es Hackern mit einer Phishing-Mail, einen Verschlüsselungs-Trojaner einzuschleusen. Die gesamte IT-Infrastruktur der Firma war betroffen. Der Hacker erbeutet die Administratorenrechte für alle Server, verlangte ein Lösegeld in Bitcoins und drohte mit der Veröffentlichung sensibler Firmendaten.
Sicherheitsfragen von der Versicherung nicht geklärt
Trotz der Fahrlässigkeit des Unternehmens muss die Versicherung anteilig zahlen. Das Gericht erläuterte, dass die fehlenden Sicherheitsupdates weder Einfluss auf den Eintritt des Versicherungsfalles noch auf das Ausmaß des dadurch ausgelösten Schadens hatten. Der Cyberangriff war bei 16 der 21 Server erfolgreich und betraf Systeme mit allen Betriebssystemversionen.
Die Versicherung muss zu zwei Drittel für den durch den Angriff entstandenen Schaden aufkommen. Die Versicherung habe versäumt, bei Vertragsabschluss wichtige Risikofragen (z.B. fehlende Zwei-Faktor-Authentifizierung, Monitoring) abzuklären.
Fazit: Eine Cyber-Versicherung muss unter Umständen selbst dann für Schäden aufkommen, wenn nicht alle Server mit aktuellen Sicherheitsupdates ausgestattet sind. Prüfen Sie Ihre Verträge und achten Sie bei neuen Verträgen auf Lücken bei einzelnen Regelungen. Am besten ist allerdings, wenn ein Angriff gar nicht erst erfolgreich ist.
Urteil: LG Tübingen vom 26.5.2023, Az.: 4 O 193/21