orgaMAX Blog | Mehr Wissen für Ihren Büroalltag

Falsche Angaben bei Abschluss einer Cyberversicherung können sich rächen

Geschrieben von orgaMAX Redaktionsteam | 26.07.24 12:04

Eine Cyberversicherung benötigen Unternehmen aller Branchen und Größen. Sie übernimmt die Schäden nach einem Cyber-Angriff, etwa einer Ransomware-Attacke. Wegen der großen Zahl an Schadensfällen schauen die Versicherer beim Abschluss neuer Policen inzwischen recht genau hin. Wer ihre Risikofragen falsch beantwortet und den Zustand der betrieblichen IT beschönigt, tut sich keinen Gefallen: dann kann das Versicherungsunternehmen im Ernstfall die Zahlung verweigern. Das wurde vom Landgericht Kiel bestätigt.

Ein Großhändler wird Opfer von Ransomware

Ein im Großhandel tätiges Unternehmen mit 16 Standorten in ganz Norddeutschland wurde Opfer einer Cyber-Attacke. Dabei wurde eine Backdoor-Software eingeschleust. Das Unternehmensnetzwerk musste komplett neu aufgesetzt werden. Die Folgen: ein Betriebsausfall und hohen Kosten für externe Dienstleister.

Trotz bestehender Cyber-Versicherung wurde der Schaden nicht übernommen. Das Unternehmen hatte dem Versicherer gegenüber den Stand der IT-Sicherheitsmaßnahmen falsch dargestellt.

 

Cyber-Angriffe auf Unternehmen: nicht ob, sondern wann ist die Frage

Für betroffene Unternehmen sind Cyber-Attacken häufig katastrophal. Der Betrieb kommt von einem Moment zum nächsten zum Erliegen. Aufträge können nicht mehr ausgeführt werden. Bei Ransomware geht regelmäßig der Zugriff auf sämtliche Unterlagen und Daten zu Kunden und Geschäftsvorgängen verloren. Normalerweise müssen die Systeme neu aufgesetzt beziehungsweise installiert werden, denn selbst die Datensicherungen können kompromittiert sein. Kunden, Interessenten und Geschäftspartner müssen über den illegalen Zugriff auf ihre personenbezogenen Daten informiert werden.

Oft zieht sich die Betriebsunterbrechung mehrere Wochen oder sogar Monate hin. Dazu kommt der Image- und Vertrauensverlust. Bei Datendiebstahl ist mit Schadenersatzklagen Betroffener zu rechnen. Für Versäumnisse, die einen DSGVO-Verstoß darstellen, drohen hohe Bußgelder.

Gleichzeitig sind Cyber-Angriffe zur alltäglichen Bedrohung geworden. Sie treffen Unternehmen jeder Größe. Die Frage sei nicht mehr ob, sondern wann ein Angriff erfolgt. So lautet zumindest ein Satz, den man von IT-Sicherheitsexperten häufig zu hören bekommt. Die Strafverfolgung bringt selten Erfolge. Die Drahtzieher hinter Ransomware, Bitcoin Mining, Daten- und Identitätsdiebstahl und anderen Cyber-Straftaten agieren fast immer aus dem Ausland. Sie können selten ermittelt und noch seltener zur Verantwortung gezogen werden.

 

Risikofragen des Versicherers: das Unternehmen sieht sich bestens aufgestellt

Vor dem Abschuss der Cyberversicherung im März 2020 hatte der Versicherer dem Großhandelsunternehmen eine Reihe von Risikofragen gestellt. Das Unternehmen hatte sie positiv beantwortet. Es bestätigte unter anderem, dass in dem Betrieb …

  • Spezialisten die IT betreuten
  • die Daten mindestens einmal pro Woche gesichert würden
  • auf allen Rechnern aktuelle Virenscanner installiert und das Unternehmensnetzwerk durch entsprechende Hard- und Software gesichert sei, etwa Firewalls
  • für grundlegende Aufgaben wie Betriebssysteme, Virenscanner, Firewall, Router oder NAS-Systeme nur Software mit regelmäßigen Sicherheitsupdates eingesetzt werde und dass diese umgehend installiert würden
  • für die Unternehmens-IT ein Berechtigungsmanagement mit abgestuftem Zugriff gelte

Backdoor auf dem Server: mehr als 400.000 Euro Schaden

Im September des Jahres bekamen Angreifer Zugriff auf die Rechner des Unternehmens. Sie schleusten die Backdoor-Programme DoublePulsar und EternalBlue ein. Ein Datenbankserver für die Web-Anwendungen wurde in großem Umfang für illegales Bitcoin Mining missbraucht. Dabei nutzen Cyberkriminelle fremde Rechenkapazität, um virtuelle Geldeinheiten der Kryptowährung zu erstellen.

Nachdem dies im Oktober 2020 bemerkt wurde, musste die gesamte IT-Infrastruktur neu installiert werden. Die Kosten bezifferte der Großhändler mit rund 420.000 Euro. Die wollte er von seiner Cyber-Versicherung wiederhaben. Doch das Versicherungsunternehmen lehnte die Zahlung ab und trat vom Versicherungsvertrag zurück.

 

Die Realität: Software von 2003, ungeschützte Rechner

Nach dem Angriff wurde eine Informatikerin mit einer forensischen Klärung beauftragt. Ihre Analyse ergab, dass bei den IT-Systemen des Großhändlers vieles im Argen lag:

  • Die kompromittierte SQL-Datenbank lief auf einem Rechner mit Windows Server 2008 als Betriebssystem. Dafür stellte Microsoft seit Beginn des Jahres 2020 keine Sicherheitsupdates mehr bereit. Reguläre Updates gab es bereits seit 2015 nicht mehr. Die Möglichkeit einer verlängerten Versorgung mit Sicherheitspatches hätte einen Zusatzvertrag erfordert. Dieser wurde nicht abgeschlossen.
  • Der Datenbankserver war weder durch eine Firewall noch durch einen Virenscanner geschützt.
  • Im Unternehmensnetzwerk gab es außerdem einen alten FAX-Server und zwei betagte File Server mit dem Betriebssystem Windows Server 2003. Für dieses Betriebssystem lief der erweiterte Support bereits 2015 aus. Auch diese Rechner hatten keinen Virenscanner.
  • Ein Domain Controller wurde seit 2019 im Auslieferungszustand betrieben, ohne jedes Update. Domain Controller sind Server, die zentral für die Authentifizierung von Rechnern und die Anmeldung von Benutzern im Netzwerk zuständig sind.
  • Auf einem Rechner des Firmennetzes war noch das SMB1-Protokoll aktiv. Dieses Protokoll ermöglicht die Freigabe von Netzwerk-Dateien. Von der Version 1 waren bereits seit 2017 gravierende Sicherheitslücken bekannt, die Deaktivierung wurde dringend empfohlen.
  • Im Unternehmensnetz gab es nicht weniger als 77 Nutzerkonten mit Administrationsberechtigung.
  • Als Passwörter waren zum Teil einfache, kurze Worte wie „ANNA“, „BERLIN“, „EDDA“ und „PICASSO“ in Gebrauch.

Das Urteil: Der Versicherer muss nicht bezahlen

Das geschädigte Unternehmen verklagte seinen Cyber-Versicherer auf Übernahme der Schäden, nachdem dieser die Versicherungsleistung verweigert hatte. Das Landgericht Kiel hielt diese Forderung jedoch für unbegründet. Das Versicherungsunternehmen musste nicht zahlen (LG Kiel 23.05.2024 - 5 O 128/21).

Die Richter warfen dem Unternehmen vor, den Versicherer durch die falsche Beantwortung der Risikofragen „arglistig getäuscht“ zu haben. Besonders ging es dem Landgericht um die Frage, ob „alle stationären und mobilen Arbeitsrechner“ mit „aktueller Software zur Erkennung und Vermeidung von Schadsoftware“ ausgestattet waren, und ob verfügbare Sicherheitsupdates „ohne schuldhaftes Zögern durchgeführt“ sowie nur Software eingesetzt wurde, „für die vom Hersteller Sicherheitsupdates bereitgestellt werden“. Das zu bejahen, war angesichts der veralteten Server-Betriebssysteme und fehlenden Virenscanner „objektiv falsch“, so das Gericht.

Dass der IT-Leiter, der die Fragen beantwortete, die veralteten Programme und ungeschützten Rechner nach eigener Aussage „übersehen“ und „einfach vergessen“ hatte, sie ihm unbekannt waren und er sich blind auf Mitarbeiter und Dienstleister verlassen hatte, kam erschwerend hinzu. Er habe nicht nur mit fahrlässiger, sondern mit bewusster Unkenntnis gehandelt. Dank Sicherheitskonsole und Windows Server Update Services wäre es relativ einfach gewesen, sich einen Überblick zu verschaffen, so das Gericht.

 

IT-Sicherheit und Cyber-Versicherung: beide Seiten bedingen einander

Die Lehren aus dem Urteil sind klar: Wer bei beziehungsweise vor Abschluss einer Cyberversicherung die Lage im eigenen Betrieb beschönigt, zahlt anschließend Versicherungsprämien, ohne sich auf den Versicherungsschutz verlassen zu können. Im Ernstfall ist der Vertrag nichtig.

Doch der Fall zeigt noch mehr. Er belegt auch, dass eine vernachlässigte IT-Infrastruktur für Unternehmen nicht weniger gefährlich ist als mangelnder Brandschutz. Und er beweist die fatalen Folgen der Einstellung „nicht so schlimm, wir sind ja versichert“.

Eine Feuerversicherung ist kein Grund, an Feuerlöschern und Brandschutztüren zu sparen. Bei Cyber-Versicherungen ist es genauso. In Zeiten, in denen die Policen teurer und die Versicherungsunternehmen wählerischer werden, gilt das besonders. Zumal der Abschluss auf Basis des schönen Scheins nichts bringt.

Stattdessen lässt sich der angestrebte Versicherungsabschluss für eine generelle Bestandsaufnahme in Sachen IT-Sicherheit nutzen. Sicher, externe Berater, neue Hardware und Software sowie die interne Umstellung des Betriebs kosten Geld und Zeit. Doch all das steigert nicht nur die Attraktivität als Versicherungskunde. Der Fokus auf eine sichere betriebliche IT ist aktives Risikomanagement in einem besonders gefährdeten Bereich.

Umgekehrt ist es genauso kurzsichtig, allein auf technische und organisatorische Maßnahmen zu setzen. Sicherheitssysteme verringern die Wahrscheinlichkeit einer Sicherheitsverletzung. Unüberwindbar sind sie nie. Dazu kommt der Faktor Mensch als schwächstes Glied der Sicherheitskette. Sind Angriffe trotz aller Maßnahmen erfolgreich, bildet Versicherungsschutz eine letzte, wirtschaftliche Verteidigungslinie. Sie kann ein Unternehmen im schlimmsten Fall vor der Insolvenz retten. Dieses Szenario ist keineswegs übertrieben. Ransomware-Attacken können zu monatelangen Betriebsunterbrechungen, massenhafter Datendiebstahl zu hohen Schadenersatzforderungen führen. Dann wird eine Cyber-Versicherung zum Rettungsanker – vorausgesetzt, sie kann nicht die Leistung verweigern, weil man die Risikofragen zu wenig ernst nahm.

 

Tipp: Wann ist eine Rechtsschutzversicherung sinnvoll?

Rechtschutzversicherungen für Selbstständige und Unternehmen sind Thema eines weiteren Beitrags im orgaMAX-Blog: „Rechtsschutzversicherung für Selbstständige: sinnvoll oder überflüssiger Kostenfaktor?

 

Lektüretipps

Weiterführende Informationen zu Rechts- und Steuerthemen finden Sie im orgaMAX-Blog und im Newsletter-Archiv:

 
Vollständigen Beitrag anzeigen