Zahlungspflicht einer Cyber-Versicherung bei IT-Sicherheitsvorfall

Das Landgericht Tübingen hat am 26.05.2023 (4 O 193/21) über die Zahlungspflicht einer Cyber-Versicherung bei einem Cyber-Angriff entschieden. Eine Cyber-Versicherung soll finanzielle Schäden abdecken, die durch Cyber-Angriffe entstehen. Dazu gehört die Unterstützung bei Betriebsunterbrechungen, Datenverlusten und Rechtsstreitigkeiten. Im Schadensfall kommt es jedoch häufig zu Schwierigkeiten bei der Leistungserbringung durch die Versicherer, meist aufgrund spezifischer Vertragsklauseln.

Das Landgericht Tübingen hat entschieden, dass bei einem Cyberangriff, bei dem durch Ausnutzung einer bekannten Schwachstelle des Betriebssystems Administratorenrechte erlangt werden, die fehlende Aktualität einiger Server keinen Einfluss auf den Versicherungsanspruch hat. Dies gilt, solange keine arglistige Täuschung durch den Versicherungsnehmer vorliegt. Die Entscheidung betont, dass eine etwaige Verletzung der Anzeigepflicht hinsichtlich der Aktualität der Sicherheitsupdates weder für den Eintritt des Versicherungsfalles noch für den Umfang der Leistungspflicht ursächlich war. Trotz eines erfolgreichen Angriffs auf 16 der 21 Server, darunter auch aktuell gehaltene Server, wurde festgestellt, dass die unterlassene Einspielung von Sicherheitsupdates nicht als kausal für den eingetretenen Schaden angesehen werden kann. Der Leistungsanspruch gegenüber der Versicherung bleibt daher bestehen.