Urteil

Urteil - Cyberversicherung muss zahlen trotz veralteter Serversysteme, Symbolfoto: dokumol via Pixabay

Software-Updates versäumt, Cyber-Versicherung muss nach Hackerangriff trotzdem zahlen

von

Urteil zur Cyber-Versicherung: Leistungspflicht trotz veralteter Server-Betriebssysteme

Ein Unternehmen wird Opfer eines Hacker-Angriffs mit Ransomware. Die Betriebsunterbrechung verursacht Millionenschäden. Manche Server des Betriebs liefen mit längst veralteten Betriebssystem-Versionen. Trotzdem wurde die Cyber-Versicherung dazu verurteilt, den Schaden zu übernehmen.

Das Urteil gibt Versicherern noch mehr Anlass, auf die IT-Sicherheit ihrer Versicherungsnehmern zu achten. Unternehmen sollten den Abschluss einer Cyber-Versicherung und die Optimierung ihrer Sicherheitsmaßnahmen aufeinander abstimmen.

Cyber-Versicherung abgeschlossen – und gleich Opfer eines Cyber-Angriffs

Bei einem Unternehmen aus Baden-Württemberg hatten nur 10 von 21 Servern aktuelle Betriebssystem-Versionen. Andere liefen selbst 2020 noch mit „Windows Server 2003“. Für dieses Betriebssystem gab es seit 2015 keine Updates mehr.

Trotzdem konnte der Betrieb eine Cyber-Versicherung abschließen. Die kam zum richtigen Zeitpunkt: Zwei Monate später verschlüsselte ein Ransomware-Angriff die Daten im gesamten Firmennetzwerk. Eine fünfmonatige Betriebsunterbrechung war die Folge. Sie führte zu Ausfällen in Millionenhöhe.

Die Versicherungsgesellschaft weigerte sich, den Schaden zu übernehmen. Sie verwies auf die fehlenden Software-Updates und darauf, dass das Unternehmen weder Zwei-Faktor-Authentifizierung noch ein Monitoring-System installiert hatte. Außerdem habe es Kontrollfragen zur Unternehmens-IT falsch beantwortet, die ihm vor Vertragsabschluss vorgelegt wurden.

Keine „Kausalität“, keine „Arglist“: die Versicherung muss bezahlen.

Das Landgericht Tübingen verurteilte den Versicherer trotzdem zur Zahlung. Er musste Schäden von mehr als 2,8 Millionen Euro übernehmen. Allein die Betriebsunterbrechung schlug mit rund 2,5 Millionen Euro zu Buche.

Das Unternehmen hatte einem Vertreter der Versicherungsgesellschaft vor Vertragsunterzeichnung mitgeteilt, dass es noch „Windows Server 2003“ und „Windows Server 2008“ einsetzte. Selbst wenn die – unklar formulierten – Risikofragen falsch beantwortet wurden, lag für das Gericht somit keine Arglist vor.

Außerdem war der Trojaner durch eine Phishing-Mail auf das Notebook eines Administrators gelangt. Von dort verbreitete er sich als Pass-the-Hash-Angriff weiter. Die veraltete Server-Software war deshalb nach Ansicht des Gerichts nicht kausal für den erfolgreichen Ransomware-Angriff.

Wichtig für die Richter: die Unternehmensvertreter hatten den Eindruck gewonnen, der Versicherer stelle keine hohen Anforderungen an die IT-Sicherheit. Sein Repräsentant hatte erklärt, dass „jede Fritzbox“ als Firewall ausreichen würde (AZ: LG Tübingen, 26.05.2023 – 4 O 193/21).

Das Urteil macht es den Unternehmen nicht leichter: Sie sollten IT-Sicherheit und Versicherungsschutz klug kombinieren

Noch vor einigen Jahren verlangten Versicherer zum Abschluss einer Cyber-Versicherung kaum mehr als die symbolische Bestätigung, dass dem Betrieb die Cyber-Risiken bewusst waren. Das hat sich in wenigen Jahren grundlegend geändert. Die Zahl der Cyber-Angriffe und die Höhe der Schäden sind explodiert. Besonders Betriebsunterbrechungen und Schadenersatzforderungen verursachen hohe Kosten. Deshalb sind Cyberversicherungen inzwischen deutlich teurer – und wesentlich schwerer zu bekommen. Die Versicherer schauen mittlerweile genauer hin, wie es um die IT-Sicherheit bei Versicherungsnehmern bestellt ist.

Für die Unternehmen wird es wichtig, zwei Aufgaben aufeinander abzustimmen. Die eine besteht darin, ein professionelles IT-Sicherheitsniveau zu erreichen. Die andere Aufgabe ist es, das Risikomanagement durch eine belastbare Cyber-Police zu ergänzen. Die Geschäftsführung ist gefordert: Nur Investitionen in die IT-Sicherheit ermöglichen adäquaten Versicherungsschutz. Umgekehrt gilt es, die Cyberversicherung präzise auf die Bedrohungslage des Unternehmens auszurichten.

Entscheidend ist dafür die Unterstützung durch einen erfahrenen Fachmakler. Wir von acant haben 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen haben wir mehr als zehn Jahre Erfahrung damit. Wir kennen den Markt für Cyberversicherungs-Produkte, haben direkte Kontakte zu den einschlägigen Versicherern und wissen wie man auch in einem schwierigen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen sicherstellt. Rufen Sie uns an oder schreiben Sie uns eine Nachricht!

Betriebsschließungsversicherung, Symbolbild leeres Hotel von Valentin J-W from Pixabay

Urteil zur Betriebsschließung: Der Versicherer muss zahlen

von

Ein neues Urteil zum Versicherungsrecht stärkt Versicherungskunden den Rücken und bekräftigt ihre Ansprüche – das finden wir von acant sehr gut!

Versicherungsnehmer-freundliches Urteil zur Betriebsschließungsversicherung

Die Betriebsschließungsversicherung haben wir erst vor kurzem erwähnt: in Zeiten, in denen viele Betriebe aufgrund der Pandemie geschlossen bleiben, ist sie ein wichtiges Thema.

Ein aktuelles Thema ist sie allerdings auch im Versicherungsrecht. Zum Beispiel diskutieren die Juristen darüber, ob der Versicherer auch dann zahlen muss, wenn ein Betrieb durch allgemein verfügte Maßnahmen zur Virus-Bekämpfung praktisch lahmgelegt wurde, auch wenn er theoretisch noch hätte öffnen können.

Nun hat das Landgericht Mannheim den Versicherungsnehmern den Rücken gestärkt. Wir als Versicherungsmakler begrüßen diese Entscheidung pro Versicherungskunde sehr, auch wenn die Rechtslage damit noch nicht endgültig geklärt ist.

Keine touristischen Übernachtungen, Hotel zu – trotzdem kein Versicherungsfall „Betriebsschließung“?

Ein Hotelbesitzer betreibt zwei Hotels in Berlin und ein Hotel in Hamburg, jeweils mit Restaurant. Aufgrund des Epidemie-Maßnahmen schließt er alle drei Häuser: Touristen darf er ab ca. Mitte März nicht mehr übernachten lassen. Geschäftsreisende übernachten schon vor der Pandemie kaum bei ihm. Und seine Hotelgastronomie eignet sich nicht für reinen Verkauf „to go“.

Der Hotelbetreiber meldet sich bei seinem Versicherer – doch der will nicht zahlen. Er findet gleich mehrere Begründungen für die Weigerung:

  • Es hätte keine Schließung für genau diese Hotels vorgelegen, nur eine Allgemeinverfügung für alle Hotels.
  • Außerdem hätten die Häuser ja offen bleiben können, nur eben nicht für Touristen.
  • Und schließlich habe der Versicherungsvertrag Fälle von Covid-19/SARS-CoV-2 gar nicht umfasst. Der Virus sei bei Vertragsabschluss noch nicht im Infektionsschutzgesetz aufgeführt gewesen.

Doch diese Ablehnungsgründe überzeugten die Richter keineswegs. Sie befanden, dass die gegebenen Einschränkungen faktisch wie eine Betriebsschließung zu sehen seien. Deshalb bestehe Anspruch auf die Versicherungsleistung.

Versicherungsbedingungen gelten so, wie ein Versicherungskunde sie normalerweise versteht

Das Urteil bedeutet keineswegs, dass alle Rechtsfragen zur Betriebsschließungsversicherung nun abschließend geklärt sind. Aber für Versicherungskunden ist es ein klares, positives Signal. Die Kammer hat erneut einen wichtigen Grundsatz der Rechtsprechung im Versicherungsrecht bekräftigt:

„Maßstab der Auslegung ist, wie ein durchschnittlicher Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse die jeweilige Klausel bei verständiger Würdigung,
aufmerksamer Durchsicht und Berücksichtigung des erkennbaren Zusammenhangs verstehen muss.“

LG Mannheim, 29.04.2020 – 11 O 66/20

Einfacher ausgedrückt: Versicherungsklauseln gelten so, wie ein normaler Mensch sie versteht. Und deshalb war in diesem Fall die durch Maßnahmen gegen das Corona-Virus verursachte Schließung mitversichert.

Neues Urteil zum Versicherungsrecht? Wir von acant verfolgen die Rechtsprechung genau

Wir von acant haben genau im Blick, was sich im Versicherungsrecht tut. Schließlich sind solche Entscheidungen für uns als Versicherungsmakler wichtig.

  • Zum einen haben wir damit ein wichtiges Argument in der Hand, wenn wir irgendwann für einen unserer Kunden mit einer Versicherungsgesellschaft über die Versicherungsleistung sprechen.
  • Zum zweiten achten wir darauf, welche Versicherungsgesellschaft sich wie verhält, wenn es um Schadensregulierung geht. Auch wenn alle Versicherer gewinnorientierte Unternehmen sind: es gibt durchaus Unterschiede in Stil und Verhalten. Und die fließen in unsere Beratung mit ein.

Wir von acant kümmern uns im Versicherungsfall um die Regelung des Schadens und verhandeln mit den Versicherern. Dabei stehen klar auf Seite unserer Kunden. Und wir kennen uns im Versicherungsrecht sehr genau aus.

Haben Sie Fragen? Sprechen Sie uns einfach an.