Unternehmen werden immer wieder indirekt Opfer von Hackerangriffen, bei denen E-Mails und Kontodaten manipuliert werden. Das Landgericht Hagen entschied nunmehr, dass ein solcher Betrug bei Angriffen auf fremde IT-Systeme nicht automatisch durch die eigene Cyberversicherung gedeckt ist. Dennoch lohnt sich für Unternehmen eine genaue Analyse.
Unternehmen stehen heutzutage vor immer raffinierteren Betrugsmaschen, bei denen Kriminelle E-Mail-Kommunikation und Zahlungsvorgänge manipulieren. Während früher oft nur einzelne Mitarbeitende „günstige Gelegenheiten“ ergriffen, um Kontodaten von Rechnungserstellern durch die eigenen zu ersetzen, hat sich die Vorgehensweise heute professionalisiert. Hacker verschaffen sich Zugriff auf die E-Mail-Postfächer von Rechnungsstellern und fälschen gezielt Informationen, um Bankdaten zu ändern. Das Ziel: Die Empfänger sollen Zahlungen auf Konten der Betrüger leisten, ohne dass zunächst jemand Verdacht schöpft. Bis der Rechnungssteller mahnt, ist das betrügerische Zahlkonto längst „leergeräumt“. Ansprüche gegenüber den selbst oftmals arglosen Inhabern des betrügerischen Zahlkontos sind regelmäßig wenig erfolgsversprechend und so sehen sich betroffene Unternehmen nach weiteren Regressmöglichkeiten um.
Gerade bei solchen Manipulationsfällen stellt sich schnell die Frage nach einer möglichen Deckung durch die eigene Cyberversicherung. Viele Unternehmen haben heute Policen abgeschlossen, die Schutz vor Schäden im Zusammenhang mit Hacking, Phishing, Ransomware oder sonstigen Formen der Cyberkriminalität versprechen. Im Idealfall decken diese Versicherungen finanzielle Verluste ab, die durch Angriffe auf die IT-Infrastruktur oder sonstige Manipulationen entstehen. Allerdings setzt ein wirksamer Versicherungsschutz oftmals voraus, dass die eigenen informationstechnischen Systeme unmittelbar betroffen sind. Das Landgericht Hagen nunmehr erstmals hierzu entschieden.
Im vom Landgericht Hagen entschiedenen Fall (Urteil vom 15. Oktober 2024, Az. 9 O 258/23) erhielt ein Unternehmen eine E-Mail, die vermeintlich von einem langjährigen Lieferanten stammte. Darin war die Rede von einer geänderten Bankverbindung. Die Domäne und Signatur des Lieferanten wurden wohl tatsächlich verwendet und nicht nur „täuschend echt“ nachgebildet. Gutgläubig änderte die Versicherungsnehmerin daraufhin im System die Bankverbindung des Lieferanten und überwies eine größere Summe auf das neue Konto. Erst als der eigentliche Lieferant offene Rechnungen anmahnte, kam der Schwindel ans Licht. Es stellte sich heraus, dass das verwendete Konto gar nicht dem Lieferanten gehörte. Vielmehr hatten wohl Hacker das E-Mail-Postfach des Lieferanten kompromittiert und in seinem Namen agiert.
Im Zentrum des Rechtsstreits stand die Frage, ob die Cyberversicherung der Klägerin für den entstandenen Schaden eintreten muss. Die Versicherungsbedingungen sahen vor, dass der Versicherungsfall nur dann eintritt, wenn eine „Informationssicherheitsverletzung“ im eigenen Netzwerk vorliegt. Diese wurde in den Bedingungen als „Netzwerksicherheitsverletzung“ definiert und unmittelbare Beeinträchtigungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme des Versicherungsnehmers voraussetzte.
Das Landgericht Hagen verneinte einen Versicherungsfall. In den Augen des Gerichts handelte es sich allein um eine Täuschungshandlung, bei der weder die IT-Systeme der Klägerin direkt angegriffen noch deren Daten manipuliert wurden. Die Versicherungsnehmerin konnte ihre E-Mails trotz allem weiter empfangen und senden; es gab also keine Störung in ihrer Infrastruktur. Damit handelte es sich aus Sicht des Gerichts nicht um eine versicherte Cyberattacke auf das System der Klägerin, sondern vielmehr um eine indirekte Folge eines Angriffs auf ein fremdes System (das E-Mail-Konto des Lieferanten).
Eine weitere Begründung für die Abweisung des Versicherungsschutzes: Nach Auffassung des Gerichts würden Unternehmen ihren Versicherungsschutz unangemessen ausdehnen, wenn jede Art von betrügerischer E-Mail-Kommunikation als Cyberangriff am eigenen System gewertet würde. Kriminelle E-Mails, Phishing-Versuche und Spam werden heute millionenfach versendet. Würde jede Form des „Hereinfallens“ auf solche E-Mails automatisch versichert sein, würde sich das versicherungstechnische Risiko beliebig auf alle E-Mail-bezogenen Betrugsversuche ausweiten.
Die Klausel in den Allgemeinen Versicherungsbedingungen (AVB), die den Versicherungsschutz auf Verletzungen des eigenen Netzwerks beschränkt, ist nach Ansicht des Gerichts zudem nicht im Sinne von § 307 BGB (AGB-Kontrolle) unwirksam. Sie sei vielmehr eine Leistungsbeschreibung für den Kernbereich der Cyberversicherung. Solche Klauseln unterlägen lediglich einer Transparenzkontrolle, an der es in diesem Fall aber nicht fehle. Ein durchschnittlicher Versicherungsnehmer verstehe durchaus, dass nur Angriffe auf die eigene IT-Landschaft und nicht Angriffe auf ein Drittsystem vom Versicherungsschutz erfasst würden.
Die Entscheidung ist bedeutsam, da sie sich erstmals mit der Frage des Versicherungsfalls im Rahmen der Cyberversicherung befasst und viele im deutschen Markt tätige Anbieter vergleichbare Definitionen verwenden. Es gibt im Markt aber auch Policen, die derartige Fälle abdecken, so dass sich für Unternehmen auch weiterhin eine genauere Analyse der Cyberversicherungsbedingungen lohnt.
Erfolgsversprechender – als ein Vorgehen gegen den Versicherer oder die eingebundenen Banken – ist für Unternehmen regelmäßig eine Verteidigung gegen die erneute Forderung durch den Rechnungssteller. Sieht sich ein Unternehmen dementsprechend mit einer solchen „Doppelforderung“ konfrontiert, sollte genau analysiert werden, ob nicht die Zahlung auf – objektiv unzutreffende – Konto Erfüllungswirkung hatte oder ob der Zahlungsaufforderung des Rechnungsstellers der dolo-agit-Einwand entgegenhalten werden kann (OLG Karlsruhe, Urteil vom 27.7.2023 – 19 U 83/22).
Der Fall des Landgerichts Hagen verdeutlicht, dass Unternehmen ein erhebliches Risiko eingehen, wenn sie sich allein auf den Schutz ihrer Cyberversicherung verlassen und keine weiteren Vorsichtsmaßnahmen treffen. Das bedeutet, dass Unternehmen präventiv vor allem Kontrollmechanismen bei der Änderung von Kontoverbindungen etablieren sollten und Mitarbeiter durch kontinuierliche Trainings sensibilisieren sollten.
Kommt es dann aber tatsächlich zu einer Auseinandersetzung sollten keine „Doppelzahlungen“ erfolgen und frühzeitig juristischer Rat eingeholt werden.