Cyberversicherungen werden aufgrund der zunehmenden Bedrohung durch Cyberangriffe und der damit verbundenen finanziellen Risiken immer relevanter für die Wirtschaft. Nach dem „Allianz Risk Barometer“ galten Cybervorfälle in den Jahren 2022 und 2023 als die weltweit größten Geschäftsrisiken für Unternehmen (im Jahre 2023 gleichauf mit Betriebsunterbrechungen). Zwar kann es zwischen der Cyberversicherung und den „klassischen“ Versicherungen hinsichtlich der abgedeckten Risiken zu Überschneidungen kommen, dennoch gilt, dass die im Unternehmen üblicherweise vorhandenen Versicherungen lediglich eine unzureichende Teildeckung bieten. Daher besteht bei den Unternehmen das Bedürfnis nach einer umfassenden Cyberversicherung.
Auch für die Versicherungsbranche werden Cyberversicherungen immer bedeutsamer. Das Prämienvolumen nimmt stetig zu, der Schadenaufwand für die Versicherer aber auch. 2021 lag die Schaden-Kosten-Quote sogar bei deutlich über 100%, so dass die Versicherungswirtschaft ein verlustreiches Jahr verkraften musste. Diese Quote konnte im Folgejahr zwar auf 78% gesenkt werden, doch attestierte der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) 2023 wieder einen steigenden Schadenaufwand. Es liegt auf der Hand, dass die Versicherer gerade die Frage, ob im Schadenfall überhaupt Deckungsschutz für den gemeldeten Schadenfall besteht, genau prüfen werden. Insofern ist es auch für die Versicherungsnehmer unbefriedigend, dass es sich bei der Cyberversicherung um ein relativ junges Produkt handelt, bei dem naturgemäß noch einige rechtliche Unklarheiten in Bezug auf den Versicherungsschutz existieren. So war etwa unklar, ob die ergangene Rechtsprechung in Bezug auf andere Versicherungssparten ebenfalls auf diese übertragen werden kann.
2023 erging erstes Urteil zum Deckungsschutz in der Cyberversicherung
Am 26.05.2023 erging durch das Landgericht (LG) Tübingen das erste Urteil zum Deckungsschutz bei Cyberversicherungen (Az. 4 O 193/21). Dies ermöglicht zumindest erste Erkenntnisse. In dem zu entscheidenden Fall ging es um die Erstattung von verschiedenen Schadenspositionen durch den Cyberversicherer, die eine Versicherungsnehmerin infolge eines Cyberangriffs erlitten hatte. Bei dem Angriff handelte es sich um eine sogenannte Pass-the-Hash-Attacke, bei welcher über einen geöffneten Anhang einer Phishing-Mail ein Verschlüsselungstrojaner (sogenannte Ransomware) eingeschleust worden ist. Dieser verschlüsselte mehrere Server der Versicherungsnehmerin und legte dadurch die gesamte IT-Infrastruktur lahm. Die Versicherungsnehmerin kam der Lösegeldforderung des Angreifers (typischerweise und so auch hier in Bitcoin) nicht nach, so dass die Verschlüsselung der IT-Infrastruktur aufrechterhalten blieb. Dies hatte zur Folge, dass die IT-Infrastruktur neu aufgebaut werden musste.
Der Versicherer berief sich darauf, dass die Versicherungsnehmerin die Risikofragen objektiv und arglistig falsch beantwortet habe. Dies stelle eine vorvertragliche Anzeigepflichtverletzung dar [§§ 19, 21 Versicherungsvertragsgesetz (VVG)]. Die Versicherungsnehmerin hatte 11 ihrer 21 Server nicht mit aktuellen Sicherheits-Updates versorgt. Die Vornahme solcher Aktualisierungen war eine von verschiedenen Risikofragen des Versicherers im Vorfeld des Vertragsschlusses gewesen. Er erklärte daher unter Berufung auf die Allgemeinen Versicherungsbedingungen den Rücktritt vom Versicherungsvertrag.
Hilfsweise berief sich der beklagte Versicherer auf eine Gefahrerhöhung (§§ 23 ff. VVG) beziehungsweise auf eine grob fahrlässige Herbeiführung des Versicherungsfalls (§ 81 Abs. 2 VVG) seitens der Versicherungsnehmerin durch fehlende beziehungsweise unzureichende Sicherheitsmaßnahmen. Als mögliche Maßnahmen nannte der Versicherer eine Zwei-Faktoren-Authentifizierung sowie ein Monitoring des IT-Systems durch Mitarbeiter oder ähnliche Maßnahmen, die Cyberangriffe vermeiden können.
Hinsichtlich des Rücktritts vom Versicherungsvertrag entschied das Gericht, dass zwar die Risikofrage bezüglich der Sicherheitsupdates womöglich falsch beantwortet worden ist, der Versicherungsschutz jedoch aufgrund eines sogenannten Kausalitätsgegenbeweises nach § 21 Abs. 2 Satz 1 VVG nicht versagt werden dürfe. Ein solcher läge vor, da nachgewiesen worden sei, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen sei. Durch ein Sachverständigengutachten war nämlich festgestellt worden, dass der Cyberangriff eine bekannte Schwachstelle von Windows ausgenutzt hat und der Angriff auch bei Servern erfolgreich gewesen war, die über die erforderlichen Sicherheitsupdates verfügt hatten. Ein solcher Kausalitätsgegenbeweis scheitert nur im Fall einer arglistigen Verletzung der Anzeigepflicht, welche das Gericht jedoch nicht annahm. Das begründete das Landgericht damit, dass in einer Veranstaltung im Vorfeld des Vertragsschlusses der Versicherer gegenüber der Versicherungsnehmerin den Eindruck erweckt habe, keine besonders hohen Anforderungen an die IT-Sicherheit der Versicherungsnehmerin zu stellen. Auch einen Ausschluss oder eine Kürzung des Anspruchs wegen einer Gefahrerhöhung nach Vertragsschluss verneinte das Gericht im Hinblick auf den geführten Kausalitätsgegenbeweis.
Bezüglich einer im Raum stehenden grob fahrlässigen Herbeiführung des Versicherungsfalls und einer daraus resultierenden Anspruchskürzung, argumentierte das Gericht mit einem Urteil des OLG Hamm vom 18.05.1988 (Az. 20 U 232/87). Bestand die Gefahrenlage bereits bei Vertragsschluss und war diese somit Grundlage der Risikoprüfung oder hätte eine solche sein können, sei § 81 Abs. 2 VVG nicht anwendbar. Der Versicherer hätte demnach selbst die Existenz zusätzlicher Sicherheitsmaßnahmen durch passende Risikofragen abklären müssen. Durch einen Verzicht auf solche Fragen hätte der Versicherer die Versicherungsnehmerin und ihre bestehende Risikolage akzeptiert. Die von Beginn an bestehenden Risiken könne der Versicherer im Anschluss auch nicht teilweise über § 81 Abs. 2 VVG der Versicherungsnehmerin aufbürden. Vorzunehmende Maßnahmen hätten somit im Vorfeld des Vertragsschlusses Vertragsbestandteil werden müssen.
Bewertung des Urteils und Fazit
Nach dem Urteil des Landgerichts Tübingen ist die bisherige Rechtsprechung aus anderen Versicherungssparten auf die Cyberversicherung anzuwenden. Dennoch ist zweifelhaft, ob das Urteil in seiner aktuellen Form Bestand haben wird. Die Beklagte hat Berufung gegen die Entscheidung beim Oberlandesgericht Stuttgart eingelegt (Az. 7 U 262/23). In der versicherungsrechtlichen Literatur hat die Entscheidung aus Tübingen bereits einige Kritik erfahren.
Problematisch aus Sicht der Versicherungsbranche erscheinen insbesondere die Ausführungen des Landgerichts zu der grob fahrlässigen Herbeiführung des Versicherungsfalls nach § 81 Abs. 2 VVG. Denn nach der Interpretation des Gerichts zwingt die Vorschrift den Versicherer zu einer umfassenden Risikoaufklärung und erlaubt dem Versicherungsnehmer, sich vollkommen sorglos zu verhalten, wenn es keine Vereinbarungen über eine vor Vertragsschluss bestehende Gefahrenlage gibt. Dies widerspricht dem Charakter von § 81 VVG. Dieser wird herrschend als subjektiver Risikoausschluss bewertet, wenn ein vorwerfbares Fehlverhalten des Versicherungsnehmers vorliegt. Das erklärt auch die systematische Einordnung der Vorschrift im Gesetz, wonach die Herbeiführung des Versicherungsfalls gerade nicht im Abschnitt der gesetzlichen Obliegenheiten (§§ 19–32 VVG) geregelt ist.
Es bleibt daher mit Spannung zu erwarten, wie die Berufungsinstanz entscheiden wird. Es ist jedoch davon auszugehen, insbesondere wenn die Entscheidung auch im Berufungsverfahren Bestand haben sollte, dass sich die Risikoprüfung der Versicherer noch verschärft. Versicherer sollten sicherheitshalber hinterfragen, ob ihre Risikofragen im Rahmen der vorvertraglichen Risikoprüfung ausreichend sind. Vorzunehmende Maßnahmen bezüglich der bestehenden Gefahrenlagen sollten zum Vertragsinhalt gemacht werden. So kann aus Sicht der Versicherer die Gefahr minimiert werden, dass ein Gericht davon ausgeht, der Versicherer hätte den Versicherungsnehmer mit seiner bestehenden Risikolage akzeptiert.
Auch sind viele Fragen in der Schadenregulierungspraxis bei der Cyberversicherung nach wie vor ungeklärt. Gerade die Entscheidung, ob der Versicherungsnehmer die Antragsfragen unrichtig beantwortet hat oder ob eine Leistungsfreiheit des Versicherers aufgrund einer nicht angezeigten Gefahrerhöhung oder wegen Verletzung von vertraglich vereinbarten Sicherheitsobliegenheiten während des Versicherungsverhältnisses gegeben ist, birgt nach wie vor viel Streitpotential. Es wird sicherlich noch einige Zeit dauern, bis in erster Linie die Rechtsprechung, aber ergänzend auch die Literatur hier verlässliche Leitlinien und Maßstäbe herausgearbeitet haben. Bis dies der Fall ist, gehen mit dem noch recht jungen Produkt Cyberversicherung leider einige Unsicherheiten in der Schadenregulierung einher.
Autor
Dr. Hanna Schmidt
Oppenhoff, Köln
Rechtsanwältin, Junior Partnerin