Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

LG Kiel: Cyberversicherung muss bei Falschangaben für Schäden aus einem Hacker-Angriff nicht zahlen

Ein Unternehmen, das bei Abschluss einer Cyberversicherung falsche Angaben zu Sicherheitsmaßnahmen machte, verliert den Versicherungsschutz aufgrund arglistiger Täuschung.

Macht ein Kunde bei Abschluss einer Cyberversicherung falsche Angaben (hier: keine regelmäßigen Updates / keine Antiviren-Software), so kann die Versicherung den Vertrag wegen arglistiger Täuschung anfechten (LG Kiel, Urt. v. 23.05.2024 - Az.: 5 O 128/21).

Die Klägerin, ein Unternehmen, schloss im Jahr 2020 bei der Beklagten eine Cyberversicherung ab. Bei Vertragsabschluss beantwortete die Klägerin die folgenden Fragen wie folgt

"Risikofragen:

1. Die IT des Unternehmens wird durch mindestens einen IT-Spezialisten betreut: Ja 

2. Es werden regelmäßig (mindestens wöchentlich) Datensicherungen durchgeführt: Ja

3. Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet: Ja

4. Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme): Ja

5. Es existieren Regelungen zum Umgang mit IT-Zugangsdaten im Unternehmen, deren Umsetzung überwacht wird: Ja

6. Es werden Hard- und Software (wie Firewalls) zum Schutz des Unternehmensnetzwerks eingesetzt: Ja

7. Mitarbeiter dürfen private Geräte für dienstliche Zwecke verwenden: Ja

8. Gab es in den letzten drei Jahren einen Cyber-Schaden oder einen Datenschutzvorfall im Unternehmen?: Nein

Ende 2020 kam es zu einem Hackerangriff. Den entstandenen Schaden wollte die Klägerin von ihrer Versicherung ersetzt bekommen.

Im Rahmen der Schadensregulierung stellte sich heraus, dass die Klägerin einen Teil der Fragen nicht wahrheitsgemäß beantwortet hatte.

So wurde im Unternehmen der Klägerin für den Betrieb des Webshops ein SQL-Server mit dem Betriebssystem Windows 2008 eingesetzt, für den seit Januar 2020 keine Software- und Sicherheitsupdates mehr bereitgestellt wurden. Der Support und damit die Zusatzfunktionen für diese Software endeten bereits im Jahr 2015. Einen vom Hersteller angebotenen erweiterten Support- und Updatevertrag hatte die Klägerin für dieses Gerät nicht abgeschlossen. Dieser Server war auch nicht zusätzlich durch eine Firewall geschützt und verfügte über keine Antivirensoftware.

Das war aber noch nicht alles:

"Außerdem wurden neben einem Fax-Server mit Windows 2003 Betriebssystem zwei weitere Rechner mit dem Betriebssystem Windows 2003 als Speicherplatz im Unternehmen der Klägerin eingesetzt, auf die Arbeitsplatzrechner im Betrieb der Klägerin zugreifen konnten. Diese drei Windows 2003 Server verfügten ebenfalls nicht über einen Virenscanner. 

Einer der beiden im Unternehmen eingesetzten Domain-Controller, der DC 09, befand sich im Auslieferungszustand von März 2019, das heißt seit diesem Zeitraum waren keine Aktualisierung oder Sicherheitsupdates an diesem durchgeführt worden. Auf einem der rund 399 im Betrieb der Klägerin eingesetzten Rechner war das SMB1 Protokoll aktiv, bei dem seit 2017 Schwachstellen bekannt waren und dessen Deaktivierung auf allen Systemen empfohlen worden war. Der Domain-Controller diente als Bereichssteuerung der zentralen Authentifizierung von Computern und Benutzern des gesamten Rechnernetzes der Klägerin. Im Netz der Klägerin existierte eine hohe Anzahl von Benutzerkonten mit administrativer Zugangsberechtigung, nämlich insgesamt 77 Nutzer. Bei der Begutachtung des Schadensfalls durch eine von der Beklagten beauftragte Sachverständige wurden im IT-System der Klägerin Passwörter wie (…) oder (…) festgestellt."

Die Versicherung focht den Vertrag wegen arglistiger Täuschung an und verweigerte die Leistung.

Zu Recht, wie nun das LG Kiel urteilte.

Denn die Klägerin habe arglistig getäuscht:

"Der Klägerin steht gegen die Beklagte kein Anspruch auf Zahlung von Versicherungsleistungen aus dem zwischen den Parteien geschlossenen Versicherungsvertrag zu, da der Vertrag aufgrund der von der Beklagten erklärten Anfechtung wegen arglistiger Täuschung nichtig ist (…).

Die Klägerin hat die Beklagte bei Vertragsschluss über vertragsrelevante Risiken arglistig getäuscht, indem sie nach Überzeugung der Kammer jedenfalls die im Rahmen der Invitatio gestellten Risikofragen zu Ziffer 3) und 4) durch ihren beauftragten Verhandlungsgehilfen, den Zeugen (…) falsch beantworten ließ, der seine Angaben im Bewusstsein seiner Unkenntnis ins Blaue hinein machte."

Und weiter:

"Jedenfalls die hier gestellten Risikofragen zu Ziffer 3) und 4) wurden bezogen auf den als Speicherplatz genutzten Windows 2003 Rechner, den für den Betrieb des WEB-Shops eingesetzten Windows 2008 SQL-Server und den noch im Auslieferungszustand von 2019 befindlichen Domain-Controller DC09 objektiv falsch beantwortet, so dass dahin gestellt bleiben kann, inwieweit auch weitere Fragen falsch beantwortet worden sind. 

Die Frage zu 3), ob „alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet“ sind, wurde mit „ja“ beantwortet. Ebenso wurde die Frage zu Ziffer 4) nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und dem Einsatz von Produkten für die Software für Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme usw., für die vom Hersteller Sicherheitsupdates bereitgestellt werden, bejaht. 

Tatsächlich war unstreitig auf dem Windows 2003 Rechner kein Virenschutzprogramm installiert und Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar. Das gilt auch für den zum Betrieb des WEB-Shops als Verbindung zum Warenwirtschaftssystem der Klägerin eingesetzten Windows 2008 Rechner. Auch hier war vor dem Vertragsschluss im Januar 2020 das von dem Hersteller bereit gestellte Sicherheitsupdate ausgelaufen. Einen erweiterten Supportvertrag, über den weiterhin Sicherheitsupdates hätten abgerufen werden können, hatte die Klägerin unstreitig für diesen Rechner nicht abgeschlossen. 

Zudem bestätigte der Zeuge (…), dass, wie sich auch aus der von der Beklagten beauftragten forensischen Analyse durch die Diplom-Informatikerin (…) ergibt, der Microsoft Windows 2008 R2 Rechner, der als WEB-SQL Server genutzt worden ist, nicht über einen Virenscanner verfügte. Schließlich befand sich auch der Domaincontroller DC 09 noch im Auslieferungszustand von 2019, dass heißt weder waren Sicherheitsupdates und Aktualisierung erfolgt noch ein Virenschutz installiert. Die Fragen zu Ziffer 3) und 4) sind damit objektiv falsch beantwortet worden."

Rechts-News durch­suchen

13. Dezember 2024
Eine Cyberversicherung haftet nicht für Betrugsschäden durch manipulierte E-Mails, da kein Angriff auf die IT-Sicherheit des Versicherten vorliegt.
ganzen Text lesen
11. Dezember 2024
Eine Versetzung eines Arbeitnehmers in eine 500 km entfernte Niederlassung ohne Homeoffice-Möglichkeit kann unzumutbar und somit rechtswidrig sein.
ganzen Text lesen
11. Dezember 2024
Wird ein Biozid-Produkt online ohne entsprechenden Warnhinweis verkauft, liegt hierin ein Wettbewerbsverstoß (LG Trier, Urt. v. 25.10.2024 - Az.: 7 HK…
ganzen Text lesen
09. Dezember 2024
Webseiten dürfen Google reCAPTCHA nur mit ausdrücklicher Nutzer-Einwilligung einsetzen, da es nicht technisch notwendig ist und berechtigte Interessen…
ganzen Text lesen

Rechts-News durchsuchen