· Fachbeitrag · Cyberversicherung
Veraltete Server und fehlende Sicherheitsupdates führen nicht per se zur Leistungsfreiheit
von Rechtsanwalt Tobias Strübing, Fachanwalt für Versicherungsrecht und Rechtsanwalt Norman Wirth, Wirth-Rechtsanwälte, Berlin
| Veraltete Server und das Fehlen von Sicherheitsupdates stellen nicht zwangsläufig einen Grund für eine Cyberversicherung dar, ihre Leistung zu verweigern. Das hat das LG Tübingen festgestellt. In diesem Fall wurde der Cyberversicherer dazu verurteilt, fast drei Mio. Euro zu zahlen, obwohl die von dem Cyberangriff betroffenen Server des Unternehmens teilweise bereits so alt waren, dass Microsoft keine Sicherheitsupdates mehr bereitstellte. Die Ausführungen des Gerichts enthalten einige rechtliche Aspekte, die vor allen Dingen bei der Cyberversicherung Bedeutung gewinnen könnten. |
Um diesen Cyberversicherungsfall ging es
Der Sachverhalt, um den es vor dem LG ging, ist statistisch gesehen die Hauptursache für Cybervorfälle, nämlich menschliches Versagen. Ein Mitarbeiter des Unternehmens hatte unbeabsichtigt einen als Rechnung getarnten E-Mail-Anhang geöffnet, der einen Verschlüsselungstrojaner (Ransomware) enthielt. Diese Software konnte sich dann über einen geöffneten VPN-Tunnel auf 16 der insgesamt 21 Server ausbreiten und diese unwiderruflich verschlüsseln. Auf Lösegeldforderungen ging das Unternehmen nicht ein, sondern stellte die IT in mühevoller Kleinarbeit wieder her. Die Wiederherstellung dauerte jedoch Monate und kostete das Unternehmen mehrere Mio. Euro, insbesondere aufgrund der längeren Betriebsunterbrechung.
Um sich gegen solche Schäden abzusichern, hatte das Unternehmen eine Cyberversicherung abgeschlossen. Diesen Versicherungsvertrag hatte auf Seiten des Versicherers ein Assekuradeur vermittelt. Gemäß den Ausführungen des Gerichts und nach einer umfangreichen Beweisaufnahme hatte dieser Assekuradeur aber bei Abschluss der Versicherung den Eindruck erweckt, dass die Anforderungen an die IT-Sicherheit seitens des Versicherers nicht besonders hoch seien. Unter anderem wurde behauptet, dass „jede Fritzbox“ ausreichend sei, um die Firewall-Anforderungen zu erfüllen. Außerdem soll der Assekuradeur vor Abschluss der Versicherung Kenntnis von den veralteten Servern und den fehlenden Sicherheitsupdates gehabt haben.
Möchten Sie diesen Fachbeitrag lesen?
Kostenloses VVP Probeabo
0,00 €*
- Zugriff auf die neuesten Fachbeiträge und das komplette Archiv
- Viele Arbeitshilfen, Checklisten und Sonderausgaben als Download
- Nach dem Test jederzeit zum Monatsende kündbar
* Danach ab 16,20 € / Monat
Tagespass
einmalig 12 €
- 24 Stunden Zugriff auf alle Inhalte
- Endet automatisch; keine Kündigung notwendig