Das LG Tübingen (Urt. v. 26.05.2023 - Az.: 4 O 193/21) hatte die Frage zu beantworten, wann eine Cyber-Versicherung für einen Hacker-Angriff haften muss.
Es ging um eine Schadenssumme von 3,7 Mio. EUR, die das klägerische Unternehmen von seiner Versicherung aus einem Cyber-Versicherungsvertrag verlangte. Zugesprochen wurden der Firma rund 2,85 Mio. EUR.
Die amtlichen Leitsätze lauten:
"1. Gelingt es, dass bei einem sog. "Pass-the-Hash"-Cyber-Angriff unter Ausnutzung einer bekannten Schwachstelle des Betriebssystems von Microsoft Administratorenrechte für alle Server des geschädigten Unternehmens erbeutet werden, lässt der Umstand, dass nicht alle Server mit den aktuellen Sicherheits-Updates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt, weil eine mögliche Verletzung einer diesbezüglichen Anzeigeobliegenheit weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für Feststellung oder den Umfang der Leistungspflicht ursächlich ist, es sei denn, der Versicherungsnehmer hat arglistig gehandelt.
2. Der Anwendungsbereich von § 81 Abs. 2 VVG ist dann nicht eröffnet, wenn die betreffende Gefahrenlage - hier: fehlende Sicherheitsmaßnahmen zur Vermeidung eines Cyber-Angriffs, die über den Einsatz einer Firewall und eines Anti-Viren-Scanners hinausgehen - bereits bei Vertragsschluss bestand und Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können."
