Wenn ein Cyberangriff auf ein Unternehmen stattgefunden hat und Schäden zu verzeichnen sind, dann liegt die Inanspruchnahme einer existierenden Cyberversicherung nahe. Wenn der Versicherer den Schaden nicht regulieren will, sollten Unternehmen vor Erhebung einer Klage wirklich prüfen, ob der Cyberangriff vom Versicherungsschutz erfasst ist. Sonst wird die Klage abgewiesen, wie in dem vom Landgericht Hagen mit Urteil vom 15. Oktober 2024 (Az. 9 O 258/23) entschiedenen Verfahren.
In diesem Verfahren war das versicherte (und gegen den Versicherer klagende) Unternehmen Opfer eines Phishing-Angriffs geworden und durch gefälschte E-Mails getäuscht worden, die vom gehackten E-Mail-Server eines Lieferanten des Unternehmens versandt wurden. In den E-Mails wurde vorgespiegelt, dass die Bankverbindung des Lieferanten sich geändert habe, woraufhin das Unternehmen die neue (falsche) Bankverbindung für (vermeintliche) Zahlungen an den Lieferanten nutzte.
Das Landgericht konnte es kurz machen, weil Versicherungsschutz nur für beim Versicherungsnehmer eingetretene „Informationssicherheitsverletzungen“ bestand, eine solche Verletzung beim klagenden Unternehmen aber nicht geschehen sei. Vielmehr handele es sich um einen reinen Täuschungsschaden und sei das Risiko, ein Phishing-Opfer zu werden, heute allgegenwärtig und nichts, was notwendigerweise durch eine Cyberversicherung abzusichern wäre.
In der Tat ist der Begriff der Informationssicherheitsverletzung ein für die Cyberversicherung zentraler Begriff, der sich so auch in den aktuellen AVB Cyber 2024 findet:
Informationssicherheitsverletzung ist eine Beeinträchtigung der Verfügbarkeit, Integrität, [oder] Vertraulichkeit von elektronischen Daten des Versicherungsnehmers oder von informationsverarbeitenden Systemen, die er zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit – auch mittels Fernzugriff – nutzt.
Zu einer Informationssicherheitsverletzung ist es im vom Landgericht Hagen entschiedenen Verfahren natürlich schon gekommen, aber eben nicht beim klagenden Unternehmen, sondern bei seinem Lieferanten. Es hätte darum vielleicht näher gelegen, nicht den Versicherer zu verklagen, sondern gegen den Lieferanten vorzugehen, weil es ja sein E-Mail-Server war, der gehackt wurde. Der Zahlungsanspruch des Lieferanten dürfte zwar nicht infolge der Falschüberweisung erloschen sein, stattdessen hätte aber eine Aufrechnung mit einem aus § 280 Abs. 1, § 241 Abs. 2 BGB folgenden Schadensersatzanspruch gegen den Lieferanten nahegelegen.
Dass es allerdings nicht unbedingt trivial ist, von einem gehackten Server zu einer Pflichtverletzung zu gelangen und dass der Anscheinsbeweis da auch nicht groß hilft, zeigt das Urteil des Oberlandesgerichts Karlsruhe vom 27. Juli 2023 (Az. 19 U 83/22), in dem es um einen vergleichbaren Sachverhalt ging. Dort scheiterte ein solcher Versuch der Aufrechnung, weil das OLG den Server-Betreiber nicht zu konkreten Sicherheitsmaßnahmen verpflichtet sah, die den Versand gefälschter E-Mails verhindert hätten.