Eine Cyberversicherung schützt Unternehmen und Selbstständige vor den finanziellen Folgen von Angriffen aus dem Internet. Vor Abschluss des Versicherungsvertrags wird in der Regel eine Selbstauskunft zum Stand der eigenen IT-Sicherheit verlangt. Bei falschen Antworten ist der Versicherungsschutz gefährdet. Das musste ein Unternehmen aus Schleswig-Holstein nach einem Cyberangriff erfahren.
Angriff auf die Unternehmensserver: 420.000 Euro Schaden, doch die Versicherung zahlt nicht
Im Herbst des Jahres 2020 stellte ein Großhandelsbetrieb für Unternehmenskunden mit einer Vielzahl von Filialen im norddeutschen Raum eine Infektion seiner IT-Systeme fest. Es gab ungewöhnliche Aktivitäten auf einem Datenbankserver. Durch ein Backdoor hatten externe Angreifer dort eine Software zum Mining von Crypto-Währung installiert. Die Rechenkapazität wurde dafür missbraucht, neue Bitcoins herzustellen.
Bei der Datenbank handelte es sich um ein sensibles System. Sie war Bindeglied zwischen dem Warenwirtschaftssystem des Betriebs und seinem Online-Shop. Das war noch nicht alles. Darüber hinaus war das gesamte Unternehmensnetzwerk durch die Schadsoftware kompromittiert. Dem Unternehmen blieb nichts anderes übrig, als seine komplette IT-Infrastruktur neu zu installieren. Dafür wurde ein Spezialdienstleister angeheuert. Am Ende führte der Cyber-Vorfall zu Kosten von rund 420.000 Euro.
Zum Glück hatte die Unternehmensleitung wenige Monate vor dem Zwischenfall eine Cyberversicherung abgeschlossen – dachte sie zumindest. Als das Unternehmen den Schadensfall meldete, reagierte die Versicherungsgesellschaft jedoch anders als erhofft. Sie weigerte sich, die Rechnung zu übernehmen. Stattdessen trat sie vom Vertrag zurück.
Die Risikofragen der Versicherung und die Realität
Das Unternehmen wollte sich mit der verweigerten Versicherungsleistung nicht abfinden. Es klagte gegen den Versicherer. Doch der Prozess vor dem Landgericht Kiel brachte keinen Erfolg. Die Richter sahen keine Leistungspflicht der Versicherungsgesellschaft.
Der Grund waren positive Angaben zur eigenen IT-Sicherheit, die der Großhändler im Vorlauf zum Abschluss des Versicherungsvertrags gemacht hatte. Im Zuge der forensischen Aufklärung nach dem Angriff stellte sich heraus, dass die IT des Unternehmens erhebliche Schwächen aufwies. Das hatte es in seiner Selbstauskunft vor Abschluss des Versicherungsvertrags ganz anders dargestellt.
Die falsch beantworteten Risikofragen waren eine Form „arglistiger Täuschung“, entschied das Landgericht Kiel (23.05.2024 – Aktenzeichen 5 O 128/21). Sie führten den Versicherer bezüglich des wahren Risikos in die Irre. Hätte er die Wahrheit gekannt, wäre die Versicherung wohl gar nicht zustande gekommen, zumindest aber sehr viel teurer geworden. Aufgrund der falschen Angaben waren der Versicherungsvertrag und damit der Anspruch auf die Versicherungsleistung nichtig.
Die Risikofragen der Versicherung und die Realität
Die Fragen, um die es ging, lauteten:
- „Die IT des Unternehmens wird durch mindestens einen IT-Spezialisten betreut?“
Das Unternehmen hatte mit „ja“ geantwortet. Später musste der Leiter der IT vor Gericht zugeben, dass er von den Missständen nicht gewusst hatte. Der für Sicherheitsupdates und Windows-Patches zuständige Mitarbeiter war zunächst schwer erkrankt und dann verstorben. Viele seiner Aufgaben waren anscheinend nicht mehr erledigt worden. An seiner Stelle sollte ein externer Dienstleister tätig werden, kontrolliert wurde dessen Arbeit jedoch offenbar nicht. - „Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet?“
Auch diese Frage wurde mit „ja“ beantwortet. Später stellte sich heraus, dass der Datenbankserver, auf dem das Backdoor lief, keinen Virenscanner hatte und durch keine Firewall gesichert war. Virenscanner fehlten auch auf mehreren weiteren Rechnern im Netzwerk. - „Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme)?“
Das „ja“ auf diese Frage wurde vom Gericht besonders moniert. Der infizierte SQL-Server lief im Herbst 2020 noch mit dem Betriebssystem „Windows Server 2008“, obwohl Microsoft diese Version schon seit Monaten nicht mehr mit Sicherheitsupdates versorgte. Dazu wäre eine spezielle Verlängerung nötig gewesen, die nicht vereinbart worden war. Die regulären Aktualisierungen waren ohnehin schon seit Jahren ausgelaufen.
Ein weiteres Problem waren zwei Fileserver und ein Fax-Server im Netzwerk, die noch mit „Windows Server 2003“ betrieben wurden, einer seit langem nicht mehr unterstützten Betriebssystemversion.
Das waren nicht die einzigen Mängel. Ein zur zentralen Anmeldung von Nutzern und Authentifizierung von Rechnern im Netzwerk eingesetzter Domain Controller befand sich noch im Auslieferungszustand, ohne jede Aktualisierung. Zudem war auf einem Rechner des SMB-Protokolldienst in der Version 1 aktiv, obwohl dieses Protokoll seit mehreren Jahren wegen Sicherheitslücken nicht mehr genutzt werden sollte. - „Es existieren Regelungen zum Umgang mit IT-Zugangsdaten im Unternehmen, deren Umsetzung überwacht wird?“
Auch hier stand das „ja“ des Unternehmens im Gegensatz zur Realität: Im Unternehmensnetzwerk gab es nicht weniger als 77 Accounts mit Administrationsrechten. Einigen davon waren simple Passwörter wie „anna“ oder „berlin“ zugeordnet, die nicht den gängigen Anforderungen an sichere Passphrasen entsprachen.
Die in nicht nur „fahrlässiger“, sondern „bewusster Unkenntnis“ gegebenen, viel zu optimistischen Antworten erwiesen sich als Bumerang. Das Landgericht Kiel wies die Klage des Großhandelsunternehmens zurück. So blieb es nicht nur auf den Rechnungen für die Beseitigung der Cyber-Attacke sitzen. Es musste auch die Kosten des Verfahrens übernehmen.
Eine Cyberversicherung allein genügt nicht. Man sollte auch seine Hausaufgaben erledigen
Die Zeiten, in denen die Versicherungsunternehmen Cyber-Versicherungen ohne große Prüfungen vergaben, sind längst vorbei. Inzwischen müssen neue Versicherungsnehmer zusichern, dass ihre betriebliche IT auf einem soliden Stand ist und professionell gepflegt wird.
Selbst prüfen wird ein Versicherer das im Regelfall nicht, zumindest nicht bei kleinen und mittleren Unternehmen. Trotzdem dürfen diese nicht der Versuchung erliegen, die Dinge besser darzustellen, als sie sind. Andernfalls kann es ihnen ergehen wie dem Unternehmen aus Schleswig-Holstein: Man zahlt Versicherungsprämien. Doch wenn der Versicherungsfall eintritt, erhält man keine Leistung, da der Versicherer einem arglistige Täuschung vorwerfen kann.
Dabei geht es nicht nur um Versicherungs- und Vertragsrecht. Selbstständige und Unternehmensleitungen schaden sich selbst, wenn sie mögliche Sicherheitsmängel in der eigenen IT ignorieren. Eine Cyber-Versicherung als letztes Sicherungssystem ist wichtig, falls alle anderen Stricke reißen. Das Versichern allein bietet jedoch keinen ausreichenden Schutz. Benötigt wird vielmehr die Kombination aus technischen Maßnahmen, Schulung der Mitarbeiter und Versicherungsschutz.
Eine zeitgemäße Infrastruktur aus IT-Sicherheitstechnik und -Software, klare organisatorische Vorgaben und eine belastbare, auf den individuellen Bedarf hin ausgerichtete Cyber-Versicherungspolice ergänzen einander. Damit sinken die Erfolgschancen von Hackern, Trojanern und Viren erheblich. Kommen sie trotzdem zum Zug, ist das Unternehmen immer noch geschützt, denn der Schaden ist von der Versicherung gedeckt.
