Das LG Tübingen wies die Klage einer Cyber-Versicherung ab, die für Schäden an unzureichend abgesicherten Servern einer Firma aufkommen soll.
Rechtsanwalt Jens Ferner berichtet über einen Fall, der kürzlich vor dem Landgericht Tübingen zwischen einer Cyber-Versicherung und einem Unternehmen verhandelt wurde. Nach dem Urteil besteht der Leistungsanspruch des betroffenen Unternehmens auch dann, wenn nicht alle Server mit aktuellen Sicherheitsupdates ausgestattet waren. In diesem Fall war es zu einer Übernahme zahlreicher Server unter Ausnutzung einer bekannten Windows-Schwachstelle namens „Pass-the-Hash„ gekommen.
Cyber-Versicherung muss trotz Fahrlässigkeit des Unternehmens bezahlen
Das Gericht wies darauf hin, dass der gerichtlich bestellte Sachverständige nachvollziehbar und überzeugend dargelegt hat, dass zwar eine Vielzahl der eingesetzten Server nicht über aktuelle Sicherheitsupdates verfügte und diese damit veraltet waren. Dies hatte aber weder Einfluss auf den Eintritt des Versicherungsfalles noch auf das Ausmaß des dadurch ausgelösten Schadens. Von 21 Servern verfügten nach den Feststellungen des Sachverständigen nur 10 über die erforderlichen Sicherheitsupdates. Bei 11 Servern hatte man es folglich versäumt, die Software-Updates einzuspielen. Das Unternehmen habe somit fahrlässig gehandelt, argumentiert die Cyber-Versicherung. Die Firma trage zumindest eine Mitschuld an den umfangreichen Schäden.
Der Cyberangriff war jedoch bei insgesamt 16 der 21 Server erfolgreich und betraf Systeme mit allen Betriebssystemversionen, darunter auch die aktuelle Version Windows Server 2019. Nach Angaben des IT-Forensikers nutzten Unbekannte eine sogenannte „Design-Schwachstelle“ von Windows aus, die auch in aktuellen Versionen vorhanden ist.
Kein Monitoring-System, keine 2FA-Authentifizierung
Die Juristen der Cyber-Versicherung versuchten, mit der fehlenden Zwei-Faktor-Authentifizierung und dem fehlenden Monitoring-System der Firma zu argumentieren. Hätte man ein gutes Monitoring-System eingesetzt, hätte dies wahrscheinlich Alarm geschlagen, um die Verantwortlichen zu warnen. Doch das war ebenfalls in diesem Zusammenhang irrelevant. Die Versicherung muss nun zu zwei Drittel für den durch den Hack entstandenen Schaden aufkommen.
Cyber-Versicherung wollte Zahlung kürzen
Auch eine Reduzierung der Zahlung aufgrund der fehlenden Sicherheitsmaßnahmen des Unternehmens scheiterte vor Gericht. Die Versicherung habe es nämlich versäumt, bei Vertragsabschluss derartige Risikofragen wie 2FA oder das Monitoring abzuklären. Nur so hätte man die Risiken im Schadensfall ganz oder teilweise auf den Versicherungsnehmer abwälzen können.
Das Urteil ist kein Freibrief für Unternehmen
Wir haben den Aachener Fachanwalt für IT- und Strafrecht, Jens Ferner kurz zu dem Fall befragt. Auf uns wirkte das Urteil wie eine Art Freibrief für Manager, die sich das Geld für mehr IT-Sicherheit sparen wollen. Somit könne man es durchaus versäumen, Updates einzuspielen, weil sie sich darauf verlassen können, dass die Cyber-Versicherung alle Schäden bezahlt, die möglicherweise auftreten. Doch ganz so einfach ist es nicht. Der Jurist Ferner vermerkt, dass, wie so oft bei juristischen Auseinandersetzungen der Teufel im Detail steckt.
„Ein Freibrief ist es (das Urteil) auf keinen Fall. Es verdeutlich vielmehr, wo im Detail juristische Probleme stecken. In diesem Fall war halt die Kausalität zwischen Sicherheitsupdates und Angriff nicht gegeben; abgesehen davon ist es eine versicherungsrechtliche Frage, dass dieser Zustand schon zu Beginn des Versicherungsschutzes vorlag und hierüber nicht arglistig getäuscht wurde – daher im Ergebnis der Versicherungsschutz.
Den Hack hätte man mit wenig Aufwand vermeiden können
Aber ich betone bewusst, dass man sich darauf nicht konzentrieren darf: Der Geschäftsleitung wird ja zugleich ins Stammbuch geschrieben, dass man mit einfachen Sicherungsmaßnahmen (2FA) den Vorfall hätte verhindern können. Da diese zu Beginn schon nicht existierten, ist dies versicherungsrechtlich ohne Belang. Haftungsrechtlich im Innenverhältnis Gesellschaft<>Geschäftsleitung kann dies aber zu Ansprüchen führen.
(…) Es ist wichtig zu verstehen, dass es am Ende auf Detailfragen ankommt – und dass man auf 1/3 am Ende sitzen blieb, zeigt ja, dass man es nicht als Freibrief, sondern mehr als Warnung verstehen sollte.“
Für die Cyber-Versicherung wäre es sinnvoll, das Prozedere des Vertragsabschlusses zeitnah zu ändern, damit man für derartige Schäden bei vergleichbaren Voraussetzungen nicht mehr ohne Weiteres finanziell aufkommen muss. Bleibt zu hoffen, dass alle Parteien des Streitfalls etwas aus der Angelegenheit lernen werden.
Wer sich das Urteil (AZ 4 O 193/21) der 4. Zivilkammer am Landgericht Tübingen durchlesen will, es ist hier online verfügbar.