Das wegweisende Urteil des Landgerichts Tübingen vom 26. Mai 2023 (Az. 4 O 193/21) im Bereich der Cyberversicherung hebt die wachsende Bedrohung von Cyberangriffen auf Unternehmen hervor. In dem speziellen Fall ging es um die Leistungspflicht eines Cyberversicherers in einem Schadenfall, der durch menschliches Versagen und einen Cyberangriff verursacht wurde. Ein Mitarbeiter hatte unbeabsichtigt einen mit Ransomware infizierten E-Mail-Anhang geöffnet, was zu erheblichen Schäden führte.
Die Brisanz dieses Falles wird durch die aktuellen Statistiken des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterstrichen. Im Jahr 2023 wurden in Deutschland täglich rund 250.000 neue Schadprogramm-Varianten registriert, wobei Ransomware als die größte Gefahr für die IT-Sicherheit gilt. Unternehmen in Deutschland verzeichnen durchschnittliche Kosten von etwa 20.000 Euro pro Cyberangriff, während weltweit die Kosten in die Millionen gehen.
Ein bezeichnendes Element dieses Falls war die Rolle eines Assekuradeurs, der im Auftrag des Cyberversicherers handelte. Dieser vermittelte dem versicherten Unternehmen den Eindruck, dass die Anforderungen an die IT-Sicherheit seitens des Versicherers nicht besonders hoch seien. Das Landgericht Tübingen wertete die Aussagen und Handlungen des Assekuradeurs als maßgeblich und legte sie dem Versicherer zur Last.
Das Gericht entschied, dass die Frage bezüglich der Sicherheitsupdates allenfalls fahrlässig falsch beantwortet wurde, hauptsächlich aufgrund der Irreführung durch den Assekuradeur. Entscheidend war auch, dass der Assekuradeur auf eine Mitteilung des Unternehmens nicht reagiert hatte, in der vor Vertragsabschluss darauf hingewiesen wurde, dass veraltete Server eingesetzt werden. Das Gericht sah die Kenntnis des Assekuradeurs von den veralteten Servern als gegeben an und unterstellte der Klägerin nur eine leicht fahrlässige Verletzung der Anzeigepflicht.
Ein interessanter Aspekt dieses Falls ist die Feststellung des Landgerichts, dass die fehlenden Sicherheitsupdates nicht als ursächlich für den Schaden betrachtet wurden. Die Ransomware hatte sowohl die alten als auch die neuen Server gleichermaßen betroffen, was der Klägerin ermöglichte, den Kausalitätsgegenbeweis zu führen. Der Versicherer wurde zur Zahlung von etwa 2,9 Millionen Euro verurteilt.
Dieses Urteil hat weitreichende Implikationen für die Cyberversicherungsbranche und betont nicht nur die Bedeutung der vorvertraglichen Anzeigepflicht, sondern auch die Notwendigkeit einer kontinuierlichen Überwachung und Anpassung an technologische Entwicklungen, um den Versicherungsschutz aufrechtzuerhalten.
Kommentar:
Das Urteil des Landgerichts Tübingen im Fall der Cyberversicherung unterstreicht die drängende Notwendigkeit für Unternehmen, ihre IT-Sicherheitsmaßnahmen zu überdenken und zu verstärken. Angesichts der aktuellen Lage, in der Apotheken und Arztpraxen vor Cyberangriffen nicht ausreichend geschützt sind, wird die Bedeutung solcher Urteile für sämtliche Branchen deutlich.
Die Herausforderungen durch Cyberangriffe sind vielfältig, und die menschliche Komponente spielt eine entscheidende Rolle, wie im vorliegenden Fall ersichtlich wird. Unternehmen sollten nicht nur auf technologische Lösungen setzen, sondern auch die Schulung und Sensibilisierung ihrer Mitarbeiter intensivieren, um das Risiko von Fehleinschätzungen und ungewollten Sicherheitslücken zu minimieren.
Die Entscheidung des Gerichts, die fehlenden Sicherheitsupdates nicht als alleinige Ursache für den Schaden anzusehen, verdeutlicht, dass eine ganzheitliche Herangehensweise an die Cybersicherheit notwendig ist. Unternehmen müssen nicht nur auf dem neuesten Stand der Technologie bleiben, sondern auch ihre Risikobewertungen regelmäßig überprüfen und anpassen.
Insgesamt sollte dieses Urteil als Aufruf an Unternehmen dienen, ihre Cybersecurity-Maßnahmen zu verstärken und gleichzeitig die Kommunikation mit Versicherern auf klare und transparente Weise zu gestalten. In einer Zeit, in der die Bedrohungen durch Cyberangriffe ständig zunehmen, sind proaktive Maßnahmen und eine umfassende Sicherheitsstrategie von entscheidender Bedeutung.
Von Engin Günder, Fachjournalist
Die Brisanz dieses Falles wird durch die aktuellen Statistiken des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterstrichen. Im Jahr 2023 wurden in Deutschland täglich rund 250.000 neue Schadprogramm-Varianten registriert, wobei Ransomware als die größte Gefahr für die IT-Sicherheit gilt. Unternehmen in Deutschland verzeichnen durchschnittliche Kosten von etwa 20.000 Euro pro Cyberangriff, während weltweit die Kosten in die Millionen gehen.
Ein bezeichnendes Element dieses Falls war die Rolle eines Assekuradeurs, der im Auftrag des Cyberversicherers handelte. Dieser vermittelte dem versicherten Unternehmen den Eindruck, dass die Anforderungen an die IT-Sicherheit seitens des Versicherers nicht besonders hoch seien. Das Landgericht Tübingen wertete die Aussagen und Handlungen des Assekuradeurs als maßgeblich und legte sie dem Versicherer zur Last.
Das Gericht entschied, dass die Frage bezüglich der Sicherheitsupdates allenfalls fahrlässig falsch beantwortet wurde, hauptsächlich aufgrund der Irreführung durch den Assekuradeur. Entscheidend war auch, dass der Assekuradeur auf eine Mitteilung des Unternehmens nicht reagiert hatte, in der vor Vertragsabschluss darauf hingewiesen wurde, dass veraltete Server eingesetzt werden. Das Gericht sah die Kenntnis des Assekuradeurs von den veralteten Servern als gegeben an und unterstellte der Klägerin nur eine leicht fahrlässige Verletzung der Anzeigepflicht.
Ein interessanter Aspekt dieses Falls ist die Feststellung des Landgerichts, dass die fehlenden Sicherheitsupdates nicht als ursächlich für den Schaden betrachtet wurden. Die Ransomware hatte sowohl die alten als auch die neuen Server gleichermaßen betroffen, was der Klägerin ermöglichte, den Kausalitätsgegenbeweis zu führen. Der Versicherer wurde zur Zahlung von etwa 2,9 Millionen Euro verurteilt.
Dieses Urteil hat weitreichende Implikationen für die Cyberversicherungsbranche und betont nicht nur die Bedeutung der vorvertraglichen Anzeigepflicht, sondern auch die Notwendigkeit einer kontinuierlichen Überwachung und Anpassung an technologische Entwicklungen, um den Versicherungsschutz aufrechtzuerhalten.
Kommentar:
Das Urteil des Landgerichts Tübingen im Fall der Cyberversicherung unterstreicht die drängende Notwendigkeit für Unternehmen, ihre IT-Sicherheitsmaßnahmen zu überdenken und zu verstärken. Angesichts der aktuellen Lage, in der Apotheken und Arztpraxen vor Cyberangriffen nicht ausreichend geschützt sind, wird die Bedeutung solcher Urteile für sämtliche Branchen deutlich.
Die Herausforderungen durch Cyberangriffe sind vielfältig, und die menschliche Komponente spielt eine entscheidende Rolle, wie im vorliegenden Fall ersichtlich wird. Unternehmen sollten nicht nur auf technologische Lösungen setzen, sondern auch die Schulung und Sensibilisierung ihrer Mitarbeiter intensivieren, um das Risiko von Fehleinschätzungen und ungewollten Sicherheitslücken zu minimieren.
Die Entscheidung des Gerichts, die fehlenden Sicherheitsupdates nicht als alleinige Ursache für den Schaden anzusehen, verdeutlicht, dass eine ganzheitliche Herangehensweise an die Cybersicherheit notwendig ist. Unternehmen müssen nicht nur auf dem neuesten Stand der Technologie bleiben, sondern auch ihre Risikobewertungen regelmäßig überprüfen und anpassen.
Insgesamt sollte dieses Urteil als Aufruf an Unternehmen dienen, ihre Cybersecurity-Maßnahmen zu verstärken und gleichzeitig die Kommunikation mit Versicherern auf klare und transparente Weise zu gestalten. In einer Zeit, in der die Bedrohungen durch Cyberangriffe ständig zunehmen, sind proaktive Maßnahmen und eine umfassende Sicherheitsstrategie von entscheidender Bedeutung.
Von Engin Günder, Fachjournalist
