Keine Branche bleibt von Cyber-Angriffen verschont. Dies gilt auch für das besonders stark betroffene Gesundheitswesen. Krankenhäuser, Arztpraxen, Labore, medizinische Forschungseinrichtungen, Wohlfahrtsverbände etc. sind immer wieder Zielscheibe für Cyber-Angriffe. Aufgrund des hohen Angriffsrisikos, gepaart mit einem erheblichen Schadenspotenzial (Verlust von Patientendaten, Anbieten medizinischer Daten im Darknet, Unterbrechung des Betriebs und der Patientenversorgung, Reputationsschaden, Wiederherstellungsaufwand etc.), kommt der Abschluss von Cyber-Versicherungsverträgen in Betracht.
Soweit ersichtlich, ist nun das erste Urteil eines Instanzgerichts zur Einstandspflicht des Cyber-Versicherers ergangen. Der Versicherungsnehmer war durch eine Phishing-E-Mail Opfer eines Verschlüsselungs-Trojaners geworden, der das gesamte IT-System des Versicherungsnehmers lahmgelegt hatte. Das Landgericht (LG) Tübingen verurteilte den Cyber-Versicherer auf Zahlung in Höhe von 2,85 Millionen Euro (Urteil vom 26. Mai 2023, Aktenzeichen 4 O 193/21, das Urteil ist nicht rechtskräftig).
Folgende Kernpunkte des Urteils sind hervorzuheben:
- Nach Ansicht des LG Tübingen ist eine vorvertragliche Risiko-Frage nicht nachträglich eng auszulegen, wenn die Frage vom Versicherer weit formuliert worden ist. Dann bleibt es bei einer weiten Auslegung der Frage, sodass sich der Versicherer nicht ohne Weiteres auf eine falsche Beantwortung seitens des Versicherungsnehmers und den Verlust des Versicherungsschutzes zurückziehen kann.
- Stellt der Versicherer vorvertraglich keine hohen Anforderungen hinsichtlich der IT-Sicherheit des Versicherungsnehmers, beeinflusst dieses vorvertragliche Verhalten des Versicherers den Sorgfaltsmaßstab des Unternehmens und damit das Rücktrittsrecht des Versicherers.
- Der Versicherungsschutz bezog sich auf alte IT-Systeme, für die bereits bei Abschluss des Versicherungsvertrages zum Teil keine Sicherheitsupdates mehr zur Verfügung standen. Die fehlenden Sicherheitsupdates hätten den Cyber-Angriff ohnehin nicht verhindern können, da unabhängig von der Aktualität des Systems eine generelle Schwachstelle ausgenutzt wurde. Auch obliegenheitskonformes Verhalten des Versicherungsnehmers hätte somit zur erfolgreichen Cyber-Attacke geführt.
Wie Sie auf das Urteil reagieren sollten
Das oben genannte Urteil zeigt, dass Cyber-Versicherer nicht durch Verweis auf eine unzureichende IT-Sicherheit beim Versicherungsnehmer, die erst den Cyber-Angriff ermöglichte, wegen (grob) fahrlässigen Verhaltens die Versicherungsleistung kürzen oder verweigern können.
Vielmehr kommt es im Einzelfall darauf an, ob die Schwächen in der IT-Sicherheit bereits bei Vertragsschluss bestanden und Gegenstand der Risikoprüfung des Versicherers waren beziehungsweise hätten sein können. Ob und inwieweit vorvertragliche Risikofragen falsch beantwortet und Anzeigeobliegenheiten verletzt wurden, hängt maßgeblich von der vorvertraglichen Kommunikation des Versicherers, den von ihm gestellten Fragen sowie dem Umfang und der Tiefe der Risikoprüfung ab. Erst nach einem erfolgreichen Cyber-Angriff aufgedeckte Sicherheitsmängel befreien den Versicherer folglich nicht automatisch von seiner zugesicherten Leistungspflicht.
Für Unternehmen bedeutet dies, dass sie die vorvertragliche Kommunikation mit dem Versicherer zu dem eingesetzten IT-System und dem vorhandenen Sicherheitsniveau umfassend dokumentieren sollten. Im Falle eines Cyber-Angriffs kann es sodann einer sorgfältigen Analyse und Dokumentation des Angriffs in technischer Hinsicht bedürfen, um ggf. substantiiert darlegen zu können, dass der Cyber-Angriff auch erfolgreich gewesen wäre, wenn der Versicherungsnehmer bestimmte, als geboten und geeignet erscheinende Sicherheitsmaßnahmen ergriffen hätte.
Gleichwohl sollten Versicherungsnehmer das Urteil nicht als Freifahrtschein verstehen. Eine funktionierende IT-Sicherheit und regelmäßige Sicherheitsupdates sind gerade im Gesundheitswesen mit einer fortschreitenden Digitalisierung, etwa in Krankenhäusern mit vernetzten Systemen, Kommunikationsplattformen, personalisierter Medizin und digitalen medizinischen Geräten, zwingend erforderlich, um ein hohes Maß an Cyber-Sicherheit zu gewährleisten und um compliant zu sein.
Wir stehen Ihnen gerne für Fragen und zur Auswahl beziehungsweise Überprüfung von Cyber-Versicherungsverträgen zur Verfügung.
