LG Kiel: kein Anspruch gegen Cyberversicherung bei Hackerangriff, wenn Versicherungsnehmer bei Abschluss falsche Angaben für Grundlagen der Versicherung leistet

Der Versicherung steht zudem auch ein Anfechtungsrecht wegen arglistiger Täuschung nach § 123 BGB zu. So das Gericht in seinem Urteil vom 23. Mai 2024 (Az.: 5 O 128/21). Die beklagte Versicherung hatte die Leistung aus dem Versicherungsvertrag nach Ansicht des Gerichts berechtigt verweigert, da diese zu Recht die Anfechtung erklären konnte. Im streitgegenständlichen Sachverhalt hatte das klagende Unternehmen bei Versicherungsvertragsabschluss einen Fragenkatalog zu den tatsächlichen Voraussetzungen beantwortet (hier wird auf die vollständige Darstellung verzichtet, die Details sind dem verlinkten Urteil zu entnehmen).

Unter anderem enthielt der Fragenkatalog folgende Fragen und Antworten des klagenden Unternehmens:

„3. Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet:

Ja

4. Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme):

Ja“

 Im Rahmen der Schadensregulierung nach einem erfolgten Hackangriff Ende des Jahres 2020 stellte sich heraus, dass das klagende Unternehmen für den Betrieb des Onlineshops einen Web SQL-Server mit dem Windows-Betriebssystem 2008 zum Einsatz brachte. Für diesen wurden nachweislich seit Januar 2020 kein Update für die Software bereitgestellt.

Zudem wurde neben einem Fax-Server mit Windows 2003 Betriebssystem auch noch zwei weitere stationären PC eingesetzt, die ebenfalls mit dem Betriebssystem Windows 2003 betrieben wurden und als Speicherort für Informationen dienten, auf den die lokalen Arbeitsplatzrechner Zugriff nehmen konnten.

Das Gericht bejahte den Anfechtungsgrund und führt in den Entscheidungsgründen unter anderem aus:

„…Jedenfalls die hier gestellten Risikofragen zu Ziffer 3) und 4) wurden bezogen auf den als Speicherplatz genutzten Windows 2003 Rechner, den für den Betrieb des WEB-Shops eingesetzten Windows 2008 SQL-Server und den noch im Auslieferungszustand von 2019 befindlichen Domain-Controller DC09 objektiv falsch beantwortet, so dass dahin gestellt bleiben kann, inwieweit auch weitere Fragen falsch beantwortet worden sind. Die Frage zu 3), ob „alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet“ sind, wurde mit „ja“ beantwortet. Ebenso wurde die Frage zu Ziffer 4) nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und dem Einsatz von Produkten für die Software für Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme usw., für die vom Hersteller Sicherheitsupdates bereitgestellt werden, bejaht. Tatsächlich war unstreitig auf dem Windows 2003 Rechner kein Virenschutzprogramm installiert und Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar. Das gilt auch für den zum Betrieb des WEB-Shops als Verbindung zum Warenwirtschaftssystem der Klägerin eingesetzten Windows 2008 Rechner. Auch hier war vor dem Vertragsschluss im Januar 2020 das von dem Hersteller bereit gestellte Sicherheitsupdate ausgelaufen. Einen erweiterten Supportvertrag, über den weiterhin Sicherheitsupdates hätten abgerufen werden können, hatte die Klägerin unstreitig für diesen Rechner nicht abgeschlossen. Zudem bestätigte der Zeuge J., dass, wie sich auch aus der von der Beklagten beauftragten forensischen Analyse durch die Diplom-Informatikerin R. ergibt, der Microsoft Windows 2008 R2 Rechner, der als WEB-SQL Server genutzt worden ist, nicht über einen Virenscanner verfügte. Schließlich befand sich auch der Domaincontroller DC 09 noch im Auslieferungszustand von 2019, dass heißt weder waren Sicherheitsupdates und Aktualisierung erfolgt noch ein Virenschutz installiert. Die Fragen zu Ziffer 3) und 4) sind damit objektiv falsch beantwortet worden…“