Das Landgericht Tübingen (4 O 193/21) konnte zur Eintrittspflicht einer Cyber-Versicherung feststellen, dass allein der Umstand, dass nicht alle Server mit aktuellen Sicherheitsupdates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt lässt. Jedenfalls dann nicht, wenn der Cyber-Angriff unter Ausnutzung einer bekannten Windows-Schwachstelle (hier: „Pass-the-Hash„) erfolgte und dadurch die Erlangung von Microsoft-Administratorenrechten für alle Server möglich war.
Denn: Die insoweit in Rede stehende Verletzung einer Anzeigepflicht ist weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für die Feststellung oder den Umfang der Leistungspflicht ursächlich (Ausnahme: arglistiges Verhalten des Versicherungsnehmers). Die Entscheidung verdeutlicht zugleich, wie wichtig die richtige juristische Handhabe des Schadensfalls ist. Dabei droht eine erhebliche Haftung für die Geschäftsleitung. Update: Die Entscheidung ist angeblich beim OLG Stuttgart (7 U 262/23) in der Berufung.
Mangelnde Kausalität zwischen fehlenden Sicherheitsupdates und Schaden
Das Gericht weist darauf hin, dass der gerichtlich bestellte Sachverständige nachvollziehbar und überzeugend dargelegt hat, dass zwar eine Vielzahl der eingesetzten Server nicht über aktuelle Sicherheitsupdates verfügte und damit veraltet war, dies aber weder auf den Eintritt des Versicherungsfalles noch auf das Ausmaß des dadurch ausgelösten Schadens Einfluss hatte.
Nach dem Cyber-Angriff konnten die Daten von insgesamt 21 der von der Klägerin teils intern, teils extern bei dem IT-Dienstleister Bechtle eingesetzten Server forensisch gesichert werden. Von diesen 21 Servern verfügten nach den Feststellungen des Sachverständigen lediglich 10 über die erforderlichen Sicherheitsupdates, während 11 Server nicht auf dem aktuellen Stand waren. Der Cyberangriff war jedoch bei insgesamt 16 der 21 Server erfolgreich und betraf Systeme mit allen Betriebssystemversionen, darunter auch die – aktuelle – Version Windows Server 2019.
Nach den Feststellungen wurde bei diesem Cyber-Angriff eine bestehende Schwachstelle (sog. „Design-Schwachstelle“) von Windows ausgenutzt, die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kam daher für das Gericht nachvollziehbar und überzeugend zu dem Ergebnis, dass auch das Einspielen der versäumten Updates weder den Angriff selbst hätte abwehren noch das Ausmaß des entstandenen Schadens hätte beeinflussen können. Weder die Anzahl der betroffenen Server noch die Höhe des Schadens wären reduziert worden.
Soweit der Versicherer hinsichtlich des Schadensumfangs (sog. „lateral movement“) auf denkbare weitere Sicherheitsmaßnahmen der Klägerin, wie etwa eine Zwei-Faktor-Authentifizierung oder ein Monitoring-System, verwiesen hatte, verkannte er aus Sicht des Gerichts den Bezugspunkt der Regelung in den Versicherungsbedingungen (B3-1.2.1 AVB). Diese Regelung knüpft (allein) an die Verletzung der vorvertraglichen Anzeigepflicht durch falsche Beantwortung der Risikofragen (B3-1.1 AVB) an. Die von der Versicherung vermissten zusätzlichen Sicherungsmaßnahmen waren jedoch nicht Gegenstand der von der Klägerin bei Antragstellung zu beantwortenden Risikofragen.
Mangelnde Sicherung: Keine grob fahrlässige Herbeiführung des Versicherungsfalls
Der Anspruch gegen die Versicherung war nach Ansicht des Gerichts auch nicht wegen grob fahrlässiger Herbeiführung des Versicherungsfalls zu kürzen. Rechtlicher Hintergrund ist § 81 Abs. 2 VVG, wonach der Versicherer berechtigt ist, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen, wenn der Versicherungsnehmer den Versicherungsfall grob fahrlässig herbeigeführt hat.
Der gerichtliche Sachverständige hatte laut Urteil mehrere denkbare Maßnahmen aufgezählt, die den Cyber-Angriff hätten verhindern oder zumindest erschweren können. Insbesondere eine Zwei-Faktor-Authentifizierung sowie ein Überwachungsverfahren, das ein schnelleres Eingreifen ermöglicht hätte, waren nicht vorhanden.
Der Anwendungsbereich des § 81 Abs. 2 VVG ist allerdings dann nicht eröffnet, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war oder hätte sein können. Genau dies war hier der Fall: Das geschädigte Unternehmen verfügte bereits bei Vertragsschluss weder über eine Zwei-Faktor-Authentifizierung noch über ein Monitoring oder andere vergleichbare Maßnahmen zur Vermeidung von Cyber-Angriffen.
Dem Versicherer ist vorzuwerfen, dass er es selbst in der Hand gehabt hätte, das Vorhandensein solcher zusätzlichen Sicherheitsmaßnahmen durch entsprechende Risikofragen zu klären. Darauf habe der Versicherer aber verzichtet und damit das Unternehmen als Versicherungsnehmerin mit der bestehenden Risikolage akzeptiert – mit der Folge, dass die von Anfang an bestehenden Risiken nicht über § 81 Abs. 2 VVG (ganz oder teilweise) auf die Versicherungsnehmerin abgewälzt werden dürften.
Dabei stellt das Gericht fest, dass der Versicherungsnehmer nicht verpflichtet ist, die bei Vertragsschluss bestehende Risikolage zu verbessern. Dieser für allgemeine Fallgestaltungen anerkannte Grundsatz ist meines Erachtens im vorliegenden Fall jedoch fehlerhaft angewendet worden, da „Offline-Risiken“ kaum mit dem erhöhten Schadensrisiko einer nicht gewarteten IT-Infrastruktur vergleichbar sind. Es ist davon auszugehen, dass die Rechtsprechung hier noch nachjustieren wird.
Problemfall: Kosten beim Einsatz eigener Leute
Ein typisches Problem bei Ausfällen der EDV im Betrieb ist der eigene Aufwand, was mir insbesondere aus mangelhaften EDV-Leistungen bekannt ist: So wird häufig, so auch hier, vorgetragen, dass Management und Mitarbeiter mehrere Tage im Einsatz waren, um den Schaden festzustellen. Dann wird eine (selbst erstellte) Tabelle über die Personentage vorgelegt, mit der dann auf der Basis wiederum fiktiver Stundensätze der insoweit entstandene Schaden berechnet wird.
Das Gericht weist – zu Recht – darauf hin, dass es bei einem solchen Vorgehen bereits an einem hinreichenden Vortrag bzw. Beweisantritt des insoweit darlegungs- und beweisbelasteten Unternehmens fehlt. Insbesondere ist darauf zu verweisen, dass selbst erstellte Tabellen ohnehin kein taugliches Beweismittel darstellen. Es genügt dann regelmäßig, wenn die Gegenseite bzw. wie hier der Versicherer diesen Vortrag als unsubstantiiert zurückweist.
Die Entscheidung ist ein Musterbeispiel dafür, wie teuer Hackangriffe sind und was ein „Pyrrhussieg“ sein kann: Am Ende stehen erhebliche Kosten im Raum, selbst wenn die Versicherung einen erheblichen Teil tragen muss. Und auch wenn die Kausalität hier verneint wurde: Die mangelnde Sicherheit auf eigener Seite spielte natürlich eine Rolle, nur eben nicht versicherungsrechtlich!
Keine Kostenerstattung für eigenes außergerichtliches Gutachten
Ein Anspruch auf Erstattung der Kosten eines vorgerichtlich eingeholten Sachverständigengutachtens wurde mangels Anspruchsgrundlage verneint. Zwar war laut Police der Baustein „Kosten eigener Sachverständiger“ mitversichert. Das Gericht verwies jedoch auf C5.1.1 AHB, wonach dies nur die im Rahmen des Sachverständigenverfahrens gemäß AHB anfallenden Sachverständigenkosten betreffe. Es bleibt also bei der allgemeinen Regelung des § 85 Abs. 2 VVG. Danach hat der Versicherer Kosten, die dem Versicherungsnehmer durch die Zuziehung eines Sachverständigen entstehen, nicht zu ersetzen, es sei denn, der Versicherungsnehmer ist vertraglich zur Zuziehung verpflichtet oder vom Versicherer dazu aufgefordert worden.
Berechnung des Betriebsausfallschadens
Bei der Berechnung des Deckungsbeitrags ist die Kammer im Ansatz einer Berechnungsmethode gefolgt, bei der ein Teil des Materialaufwands als Kosten vom erzielten Gesamtjahresumsatz abgezogen wird. Diese Berechnungsmethode erschien der Kammer plausibel und entspricht wohl auch der Definition des Betriebsunterbrechungsschadens in A4-1.1.2 AVB i.V.m. A469 des Glossars.
Aus Sicht des Gerichts waren die Werte aller 12 Monate eines Jahres gleichermaßen zu berücksichtigen. Soweit sich das Unternehmen – wie so oft – auf zyklische Schwankungen der Geschäftsentwicklung im Jahresverlauf berief, fand es kein Gehör: Solche außergewöhnlichen Schwankungen ließen sich nach Auffassung des Gerichts den vorgelegten betriebswirtschaftlichen Auswertungen nicht entnehmen.
Anmerkung: Hier wurde auf die Jahre 2020/2021 abgestellt. Zudem ging das Gericht davon aus, dass die Corona-Pandemie keinen „besonderen Umstand“ im Sinne des § 252 Satz 2 BGB darstellt! Hinsichtlich der gesamtwirtschaftlichen Entwicklung war dem Unternehmen zwar zuzustimmen, dass es im Jahr 2020 aufgrund der Auswirkungen der COVID-19-Pandemie allgemein zu Umsatzeinbrüchen gekommen ist. In diesem Zusammenhang war nicht auszuschließen, dass auch das hier betroffene Unternehmen, das u.a. in der Produktion von Heizungskomponenten tätig ist, insbesondere im Hinblick auf Lieferengpässe betroffen sein würde. Derartige Auswirkungen bestanden jedoch sowohl für das Jahr 2020 als auch für das Jahr 2021, da die Corona-Pandemie noch andauerte. Gerade im Vergleich der Jahre 2020 und 2021 wirken sich mögliche pandemiebedingte Umsatzeinbußen nach Auffassung des Gerichts rechnerisch nicht relevant aus.
Fazit
Die Entscheidung ist sehr frisch und es ist bisher nicht bekannt, ob Rechtsmittel eingelegt wurden, was schon allein mit Blick auf die Schadenssummen im siebenstelligen Bereich zu erwarten ist.
Diese Entscheidung verdeutlicht einerseits, dass „Streit sich lohnt“, wobei das Unternehmen am Ende auf einem empfindlichen, wenn auch kleineren Anteil, der Kosten sitzenblieb: Geltend gemacht in der Klage wurden 3.771.767,12 €, zugesprochen hat das Gericht 2.858.923,54 €. Allerdings dürfte hier ein spürbarer Anteil der Betrag sein, den man für eigene Arbeitszeit eingepreist hatte und vernachlässigte, hier brauchbar für einen Nachweis dieser Kosten zu sorgen. Wobei zu bedenken ist, dass allgemeine Tätigkeit ohnehin vom zu ersetzenden Betriebsausfall umfasst ist! Wer hier mehr haben möchte, wird im Vorhinein Sorge tragen müssen, dies von Anfang an juristisch sauber aufzubereiten.
Jedenfalls juristisch ist die hier vertretene Auffassung, dass mangelnde Sicherheitsupdates sich nicht kausal auswirken müssen, vertretbar. Gleichwohl wird man sich in praktischer Hinsicht vor Augen halten müssen, dass hier zwar ein horrender Betrag erstritten wurde, aber man ebenso auf einem horrenden Betrag sitzen bleibt. Das klagende Unternehmen hat 31 % der Verfahrenskosten (inkl. gerichtlichem Sachverständigen) zu tragen, der Gesamtselbstbehalt lag bei über einer Viertelmillion Euro und der eigene Sachverständige kostet den (daneben fast günstig wirkenden) Betrag von nochmals 10.000 Euro.
Dazu dürfte es deutlich günstiger sein, auch um als Geschäftsleiter der bestehenden eigenen Haftung entgehen, geeignete Sicherheitsmaßnahmen wie eine 2-Faktor-Authentifizierung zu installieren. Denn, das sollte nicht vergessen werden: Hier geht es allein um die versicherungsrechtliche Frage, ob und in welchem Umfang die Cyberversicherung einstandspflichtig ist. Etwas ganz anderes ist die – sicher noch zu klärende – Frage, in welchem Umfang am Ende die Geschäftsleitung der Gesellschaft gegenüber Schadensersatzpflichtig ist, weil man offenkundig gebotene Sicherheitsmaßnahmen nicht umgesetzt hat. Dabei kann ich schon jetzt mitteilen, dass längst anerkannt ist, dass Cybersicherheit zur allgemeinen betrieblichen Compliance gehört – und muss in Erinnerung rufen, dass mangelnde Compliance zur eigenen Strafbarkeit führen kann.
Hinzu kommt, dass mit dem aktuellen Entwurf des NIS2-Umsetzungsgesetzes eine persönliche Haftung der Geschäftsleitung im Raum – die auch nicht abbedungen werden kann und auf die die Gesellschaft nicht verzichten kann!
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024