Betrugsmail: Cyberversicherung muss Schaden nicht ersetzen

Klassisches Mail-Spoofing kostete eine deutsche Firma 85.000 Euro. Ihre Cyberversicherung deckt den Schaden nicht, sagt das Landgericht Hagen.

In Pocket speichern vorlesen Druckansicht 147 Kommentare lesen
GĂĽldene Statue der Justizia

(Bild: Wirestock Images/Shutterstock.com)

Lesezeit: 4 Min.

Hohe Bankspesen veranlassen einen ausländischen Lieferanten dazu, das Geldinstitut zu wechseln. Er informiert seinen Kunden per E-Mail über die neue Bankverbindung, der daraufhin vier Überweisungen zu insgesamt 85.000 Euro auf das neue Konto veranlasst. Leider ist der angebliche Bankwechsel ein Trick eines Betrügers, der den Exchange-Server des Lieferanten geknackt und dann darüber E-Mails unter Missbrauch eines bekannten Absendernamens verschickt hat. Da die Banken das Geld nicht zurückholen können, wendet sich der entreicherte Zahler an seine Cyberversicherung, die er sowohl für Netzwerksicherheitsverletzungen als auch Täuschungsschäden abgeschlossen hat. Doch die Versicherung zahlt nicht.

Zu Recht, wie aus einer nun bekannt gewordenen Entscheidung des Landgerichts Hagen hervorgeht (Az. 9 O 258/23). Denn der beim Versicherungsnehmer eingetretene Schaden ist gar kein Versicherungsfall.

Das kommt so: Die Versicherungsbedingungen definieren Netzwerksicherheitsverletzungen als "Beeinträchtigungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Versicherungsnehmers." Die Täter haben allerdings beim Versicherten nichts kompromittiert, sondern den Exchange-Server eines Dritten, nämlich des Lieferanten. Zusätzlich enthalten die Versicherungsbedingungen Beispiele dafür, wann keine versicherte Netzwerksicherheitsverletzung vorliegt, darunter "Beeinträchtigungen ... in Netzwerken Dritter", selbst wenn die Auswirkungen auch beim Versicherungsnehmer auftreten, sowie "fake president Angriffe mittels nachgebildeter E-Mail-Adresse" ohne Eingriff in das Netz des Versicherungsnehmers.

"Aus diesen Regelbeispielen kann ein durchschnittlicher und verständiger Versicherungsnehmer erkennen, dass der vorliegende Fall, der zu den eben genannten Regelbeispielen Ähnlichkeiten aufweist, nicht zu den versicherten Risiken zählt", erläutert das Gericht. "Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die nicht vorliegt."

Doch auch die Deckung für Täuschungsschäden greift nicht. Diese gilt laut Versicherungsbedingungen, wenn ein Mitarbeiter "auf Grund einer Informationssicherheitsverletzung, die einen Straftatbestand … erfüllt" dazu verleitet wird, Zahlungen zu veranlassen. Der Begriff Informationssicherheitsverletzung umfasst neben im konkreten Fall nicht vorliegenden Sachverhalten die bereits erwähnten Netzwerksicherheitsverletzungen im Netz des Versicherungsnehmers. So eine Verletzung gab es allerdings nur beim Lieferanten, der von der Versicherung nicht umfasst ist.

Die klagende Firma versuchte noch, die Versicherungsbedingungen unter Verweis auf Paragraf 307 BGB für unwirksam erklären zu lassen. Es handle sich um Allgemeine Geschäftsbedingungen, die unangemessen benachteiligen. Doch das Gericht führt aus, dass die angefochtenen Klauseln nicht etwa die Versicherungsdeckung einschränken, sondern überhaupt erst definieren, was gedeckt ist.

Zudem seien die Klauseln nicht intransparent und daher zulässig: "Denn für eine Cyber-Versicherung ist typisch und für den Durchschnittskunden erkennbar, dass nur das Risiko der eigenen IT-Systeme geschützt werden soll und nicht weltweite Hacker-Angriffe, die in mittelbarer Weise Auswirkungen gegenüber dem Versicherungsnehmer haben können. Andernfalls wäre bereits die Teilnahme am E-Mail-Verkehr an sich ein großes Risiko, da niemand vor – auch gut gefälschten – Phishing Mails geschützt ist. Die Versicherungsbedingungen sind insoweit klar und verständlich formuliert, dass im Rahmen der Netzwerksicherheitsverletzung gerade eine Beeinträchtigung der eigenen Netzwerke vorliegen muss."

Mit der Frage, ob sich die Firma am ausländischen Lieferanten schadlos halten kann, dessen E-Mail-Server unzureichend gesichert war, hatte sich das Landgericht Hagen nicht zu befassen. Von außen lässt sich das nicht beurteilen, da nicht bekannt ist, ob der Lieferant seine Serversicherheit grob vernachlässigt hat und nach welchem Recht der ursprüngliche Vertrag zwischen der deutschen Firma und ihrem ausländischen Lieferanten abgeschlossen wurde. In den Standardfällen von Mail-Spoofing bleiben Kunden, die auf falsche Konten überweisen, auf ihrem Schaden sitzen, wenn es nach deutschem Recht geht.

(ds)