Es war nur eine Frage der Zeit, wann das erste Urteil zur Cyberversicherung veröffentlicht wird, welches sich mit Obliegenheitsverletzungen wegen unterlassener Sicherheits-Updates und mit falsch ausgefüllten Fragebögen befasst. So nun das Landgericht Tübingen (Urteil v. 26.5.2023, Az. 4 O 193/21).
Das Gute vorweg: Die bisherige Rechtsprechung zu anderen Versicherungssparten gilt auch für die Cyberversicherung. So gesehen sind die Allgemeineren Versicherungsbedingungen (AVB) der Cyberversicherung zwar in vielen Bereichen noch unklar, aber zumindest ist ihre Deutung im Lichte der bisherigen Rechtsprechung auch kein Hexenwerk.
Der zugrundeliegende Sachverhalt
Das gegen den Cyberversicherer klagende Unternehmen wurde 2020 Opfer eines Cyber-Angriffs durch bislang nicht identifizierte Angreifer. Mittels einer sog. Phishing-Mail wurde ein Verschlüsselungs-Trojaner (sog. „Ransomware“) eingeschleust und legte fast die gesamte IT-Infrastruktur der Klägerin lahm. Ein Mitarbeiter hatte auf seinem Dienst-Laptop einen als Rechnung getarnten E-Mail-Anhang geöffnet. Der Dienst-Laptop war über einen VPN-Tunnel mit dem Netzwerk der Klägerin verbunden, so dass der Trojaner über den VPN-Tunnel in das IT-System der Klägerin gelangte. Die Verschlüsselung wurde vom IT-Betreuer der Klägerin entdeckt und dem IT-Dienstleister gemeldet. Der Trojaner bewirkte, dass sämtliche Server heruntergefahren wurden. Ein Neustart scheiterte an der Verschlüsselung.
Auf den Bildschirmen wurde eine Mitteilung der Angreifer angezeigt, die ein Lösegeld in Bitcoins verlangten und mit der Veröffentlichung sensibler Firmendaten drohten. Die Klägerin ging auf die Forderung nicht ein, sondern wandte sich an die Kriminalpolizei, welche die Täter bis dato aber nicht ermitteln konnte.
Die IT-Infrastruktur der Klägerin blieb verschlüsselt und musste wieder neu aufgebaut werden. Die Wiederaufstellungsarbeiten waren nach der Darstellung der Klägerin nach fünf Monaten beendet. Das Landgericht sprach dem geschädigten Unternehmen einen Anspruch in Höhe von EUR 2.858.923,54 gegen den Cyber-Versicherer zu.
Vorgeworfene Obliegenheitsverletzungen
Der beklagte Cyberversicherer erklärte u.a. den Rücktritt vom Vertrag mit der Begründung, das geschädigte Unternehmen habe ihre vorvertraglichen Anzeigepflichten als Versicherungsnehmerin verletzt, indem sie Risikofragen falsch beantwortet habe. Denn für mehrere Server der Klägerin seien seit Jahren keine Sicherheits-Updates mehr verfügbar gewesen, was der Klägerin bekannt gewesen sei.
Die Defizite hätten sich auf den Umfang des eingetretenen Schadens ausgewirkt, da moderne Systeme insoweit deutlich widerstandsfähiger seien und das Ausmaß des Angriffs hätten beschränken können. Bei wahrheitsgemäßer Beantwortung der Risikofragen wäre der Versicherungsvertrag von der Beklagten nie abgeschlossen worden. Zudem beruft sich die Beklagte auf eine Gefahrerhöhung im Sinne von §§ 23 ff. VVG i.V.m. den vereinbarten AVB bzw. die grob fahrlässige Herbeiführung des Versicherungsfalls gem. § 81 Abs. 2 VVG infolge fehlender bzw. unzureichender Sicherheitsmaßnahmen der Klägerin zur Abwehr eines Cyber-Angriffs. Eine Gefahrerhöhung liege darin, dass die Klägerin nach Vertragsschluss die Microsoft Windows Server 2003 nicht ausgetauscht habe und nach Vertragsschluss kostenpflichtige Sicherheitsupdates für die Windows Server 2008 nicht durchgeführt habe.
Nach Ansicht des Landgerichts Tübingen war der beklagte Versicherer jedoch weder wegen Verletzung einer vorvertraglichen Anzeigepflicht noch wegen einer Gefahrerhöhung leistungsfrei geworden.
Dabei stand auch eine der stärksten „Keulen“, die ein Versicherer seinem Versicherungsnehmer vorwerfen kann, im Raum: die arglistige Verletzung einer Anzeigepflicht. Eine solche lehnte das Landgericht jedoch ab, weil die Beklagte u.a. im Rahmen einer Veranstaltung vor Vertragsabschluss den Eindruck vermittelt habe, dass seitens der Beklagten keine hohen Anforderungen hinsichtlich der IT-Sicherheit gestellt werden. Ein solches Verhalten des Cyberversicherers schließt „Vorsatz und erst recht Arglist [des Versicherungsnehmers] aus.“ Die Beklagte habe es selbst in der Hand gehabt, die Existenz zusätzlicher Sicherheitsmaßnahmen durch passende Risikofragen abzuklären.
Anmerkung: Auch mündliche Äußerungen auf (Vertriebs-)Veranstaltungen können vertragsrelevant werden. Um eine umfangreiche Beweisaufnahme durch Zeugenvernehmungen zu vermeiden, sollten Versicherungsnehmer und der betreuende Versicherungsmakler die Kommunikation mit dem Cyberversicherer stets verschriftlichen und auch das gemeinsame Deckungsverständnis dokumentieren.
Die Klägerin konnte gem. § 21 Abs. 2 S. 1 VVG nachweisen, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen ist (sog. Kausalitätsgegenbeweis), so dass die Beklagte den Versicherungsschutz nicht versagen durfte.
Nach den Feststellungen eines Sachverständigen wurde bei dem streitgegenständlichen Cyber-Angriff eine vorhandene Schwachstelle (sog. „Design-Schwäche“) von Windows ausgenutzt, die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kam zu dem Ergebnis, dass auch ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens hätte beeinflussen können.
Der Anwendungsbereich des § 81 Abs. 2 VVG war nach Ansicht des Gerichts nicht eröffnet, da die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können.
Betriebsunterbrechungsschaden
Die Entscheidung des Landgerichts beinhaltet auch interessante Ausführungen zur Berechnung eines Betriebsunterbrechungsschadens. Es ist vom geschädigten Unternehmen darzulegen, welche konkreten betriebsbezogenen Erlöse nicht erwirtschaftet werden konnten und welche konkreten betriebsbezogenen Kosten erspart wurden.
Eine leider in der Schadenpraxis immer wieder vorkommende Schadensberechnung, welche einen Rohertrag je geleisteter Personenstunde zugrunde legt und diesen mit den angeblich ausgefallenen Personenstunden multipliziert, reicht dafür nicht aus, da die Annahme, dass das wegen der Betriebsunterbrechung nicht eingesetzte Personal den gleichen Rohertrag erwirtschaftet hätte wie das zum Einsatz gelangte Personal, nicht nachvollziehbar sei. Eine klare Vorgabe, wie der Betriebsunterbrechungsschaden einer Cyberversicherung zu berechnen ist, beinhalten nur wenige AVB.
Vielmehr sind die betriebswirtschaftlichen Auswertungen des betroffenen Geschäftsjahres (mit Betriebsunterbrechung) und des Vorjahres (ohne Betriebsunterbrechung) zugrunde zu legen. Bei der Berechnung des Deckungsbeitrags folgte die Kammer im Ansatz der Berechnungsweise der Klägerin, wobei vom erzielten jährlichen Gesamtumsatz als Kosten ein Teil des Materialaufwands abgezogen wurde.
Der in den betriebswirtschaftlichen Auswertungen ausgewiesene Materialaufwand ist nicht nur zur Erwirtschaftung der Umsatzerlöse, sondern auch für die Erhöhung bzw. Verminderung des Bestandes an fertigen und unfertigen Produkten angefallen, welcher nach den AVB aber unberücksichtigt zu bleiben war, da dort allein an den Umsatz angeknüpft wurde. Der Anteil der auf die Bestandsveränderungen entfallenden Materialkosten war daher herauszurechnen. Im Wege der Schätzung nach § 287 ZPO setzte das Landgericht zunächst die Gesamtmaterialkosten ins Verhältnis zur Gesamtleistung der Klägerin, welche sich aus der Summe der Umsatzerlöse und der Bestandsveränderungen, ggf. auch der aktivierten Eigenleistungen ergibt, und ging sodann davon aus, dass der Anteil von Gesamtmaterialkosten zur Gesamtleistung dem Anteil der Materialkosten, die zur Erwirtschaftung allein der Umsatzerlöse erforderlich waren, zu den Umsatzerlösen entspricht.
Der Cyberversicherer führte diesbzgl. auch an, dass die geltend gemachten Aufwendungen (Mehrkosten) teils nicht notwendig gewesen seien, da die Klägerin insoweit nicht nur den Zustand vor dem Cyber-Angriff wiederhergestellt, sondern darüber hinaus Verbesserungen vorgenommen habe. Nach Ansicht des Landgerichts muss der Cyberversicherer aber darlegen und beweisen, dass die Wiederherstellung zu einer unversicherten Verbesserung geführt habe. Entsprechend kann der Cyberversicherer nicht pauschal behaupten, dass die notwendige Wiederherstellung eine unversicherte Verbesserung darstelle.
Fazit zu der Entscheidung
Das Urteil des Landgerichts ist facettenreich und behandelt typische Probleme bei der Abwicklung von Cyber-Schadenfällen. Die Erwägungen der Kammer überzeugen und geben erste Klarheiten auf bisher offene Fragestellungen im Umgang sowie der Auslegung von Cyberversicherungsbedingungen. Vor allem greift auch bei der Cyberversicherung der altbekannte Grundsatz, dass nicht jede falschbeantwortete Frage im Fragebogen den Versicherungsschutz einer Cyberversicherung automatisch entfallen lässt.