Keine Branche bleibt von Cyber-Angriffen verschont. Das gilt auch für Unternehmen der Transport- und Logistikbranche, die immer wieder von Cyber-Angriffen betroffen sind. Nach neueren Angaben des Bitkom e.V. werden neun von zehn Unternehmen gehackt, wodurch im Jahr 2022 ein Schaden in Höhe von 203 Milliardem Euro entstanden ist. Aufgrund des hohen Risikos angegriffen zu werden, gepaart mit einem erheblichen Schadenspotenzial (Verlust von Daten/Know-how, Betriebsunterbrechung, Reputationsschaden, Wiederherstellungsaufwand etc.), kommt der Abschluss von Cyber-Versicherungsverträgen in Betracht.
Soweit ersichtlich, ist nun das erste Urteil eines Instanzgerichts ergangen, das sich auf die Einstandspflicht des Cyber-Versicherers bezieht. Der Versicherungsnehmer war durch eine Phishing-E-Mail Opfer eines Verschlüsselungs-Trojaners geworden. Der legte das gesamte IT-System des Versicherungsnehmers lahm. Das Landgericht Tübingen verurteilte den Cyber-Versicherer auf Zahlung in Höhe von 2,85 Millionen Euro (Urteil vom 26.05.2023, Aktenzeichen 4 O 193/21, nicht rechtskräftig).
Folgende Eckpunkte des Urteils sind hervorzuheben:
Das o. g. Urteil zeigt, dass Cyber-Versicherer nicht auf eine unzureichende IT-Sicherheit beim Versicherungsnehmer verweisen können, die den Cyber-Angriff erst ermöglichte. Wegen (grob) fahrlässigen Verhaltens können sie die Versicherungsleistung nicht kürzen oder verweigern.
Vielmehr kommt es im Einzelfall darauf an, ob die Schwächen in der IT-Sicherheit bereits bei Vertragsschluss bestanden und Gegenstand der Risikoprüfung des Versicherers waren bzw. hätten sein können. Ob und inwieweit vorvertragliche Risiko-Fragen falsch beantwortet und Anzeigeobliegenheiten verletzt wurden, hängt maßgeblich von der vorvertraglichen Kommunikation des Versicherers, den von ihm gestellten Fragen sowie dem Umfang und der Tiefe der Risikoprüfung ab. Werden erst nach einem erfolgreichen Cyber-Angriff Sicherheitsmängel aufgedeckt, befreien sie den Versicherer folglich nicht automatisch von seiner zugesicherten Leistungspflicht.
Für Unternehmen bedeutet dies, dass sie die vorvertragliche Kommunikation mit dem Versicherer zum eingesetzten IT-System und dem vorhandenen Sicherheitsniveau umfassend dokumentieren sollten. Im Falle eines Cyber-Angriffs können eine sorgfältige Analyse und Dokumentation des Angriffs in technischer Hinsicht benötigt werden, um ggf. substantiiert darlegen zu können, dass der Cyber-Angriff auch erfolgreich gewesen wäre, wenn der Versicherungsnehmer bestimmte, als geboten und geeignet erscheinende Sicherheitsmaßnahmen ergriffen hätte.
Gleichwohl sollten Versicherungsnehmer das Urteil nicht als Freifahrtschein verstehen. Eine funktionierende IT-Sicherheit und regelmäßige Sicherheitsupdates sind gerade für Unternehmen in der Transport- und Logistikbranche – als kritische Infrastruktur – zwingend erforderlich. Sie gewährleisten ein hohes Maß an Cyber-Sicherheit und Compliance.
Wir stehen Ihnen gerne für Fragen und zur Auswahl bzw. Überprüfung von Cyber-Versicherungsverträgen zur Verfügung.
