Dann, so das Gericht in seinem Urteil vom 15. Oktober 2024 (Az.: 9 O 258/23) liegt kein Eintrittsfall der beklagten Versicherung vor, da diese Handlungen nicht vom Leistungsumfang der abgeschlossenen Versicherung umfasst seien. Es handle sich insbesondere nicht um einen externen Eingriff in das IT-System des klagenden Unternehmens. Das Gericht führt in den Entscheidungsgründen unter anderem aus:
„…Auch eine Netzwerksicherheitsverletzung liegt nicht vor. Dies ergibt die Auslegung der zugrundeliegenden AVB, hier Teil A Ziffer 3.3. der AVB.
Allgemeine Versicherungsbedingungen sind so auszulegen, wie ein durchschnittlicher, um Verständnis bemühter Versicherungsnehmer sie bei verständiger Würdigung, aufmerksamer Durchsicht und unter Berücksichtigung des erkennbaren Sinnzusammenhangs versteht. Dabei kommt es auf die Verständnismöglichkeiten eines Versicherungsnehmers ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an. In erster Linie ist vom Bedingungswortlaut auszugehen. Der mit dem Bedingungswerk verfolgte Zweck und der Sinnzusammenhang der Klauseln sind zusätzlich zu berücksichtigen, soweit sie für den Versicherungsnehmer erkennbar sind (BGH r+s 2020, 163 Rn. 9, beck-online m.w.N.).
Ein solcher Versicherungsnehmer wird die entsprechende Klausel dahin verstehen, dass es zu einer Verletzung der Sicherheit des Netzwerkes der Klägerin gekommen sein muss und eine derartige Verletzung bei dem Empfang von E-Mails, die von einem anderen als dem in den E-Mails angegebenen Absender stammen, nicht gegeben ist. Allein der Umstand, dass aufgrund der unautorisierten Verwendung des E-Mail Exchange Servers des Lieferanten möglicherweise eine nicht zu erkennende Täuschung vorgelegen hat, stellt keinen direkten Angriff auf die Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme der Klägerin dar. Die informationstechnischen Systeme – auch das E-Mail System der Klägerin – und letztlich auch das Netzwerk der Klägerin funktionierten wie vorgesehen. Mails konnten auf normale Weise und unverändert empfangen und gesendet werden. Betroffen von dem Cyber-Angriff war lediglich ein Netzwerk eines Dritten.
Berücksichtigt werden müssen bei einer Auslegung der Versicherungsbedingungen weiterhin die – nicht abschließenden – Regelbeispiele aus Teil A Ziff. 3.3.1., in denen es auszugsweise heißt:
Keine Netzwerksicherheitsverletzung liegt vor, wenn
(3) Beeinträchtigungen der oben genannten Art in Netzwerken Dritter stattfinden, die Auswirkungen jedoch auch beim Versicherungsnehmer auftreten (z. B. man-in-the-middle Angriff bei Zulieferer);
52
(4) kein Eingriff in das Netzwerk des Versicherungsnehmers stattgefunden hat (z. B. fake president Angriffe mittels nachgebildeter E-Mail-Adresse).
Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt. Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt. Beeinträchtigungen bei Dritten sind keine Netzwerksicherheitsverletzung bei der Klägerin. In Abgrenzung zu einem Cyber-Angriff handelt es sich im vorliegenden Fall einer dem „normalen“ Betrug nahen Tat.
Auch im Übrigen ist dieses Verständnis der AVB sachgerecht. Denn im vorliegenden Fall ist die Klägerin auf eine betrügerische E-Mail hereingefallen. Dieses Risiko ist heute allgegenwärtig und nichts, was notwendigerweise durch eine Cyber-Versicherung abzusichern wäre. Andernfalls wäre jedweder E-Mail-Verkehr mit Spam- oder Phishing-Mails eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer. Das versicherte Risiko würde sich auf den weltweiten E-Mail-Verkehr ausweiten…“
Hinweis des Autors:
Dem Autor ist zum Zeitpunkt der Erstellung des Beitrages nicht bekannt, ob gegen die Entscheidung das Rechtsmittel der Berufung eingelegt wurde.