Keine Branche bleibt von Cyber-Angriffen verschont. Dies gilt auch für das besonders stark betroffene Gesundheitswesen. Krankenhäuser, Arztpraxen, Labore, medizinische Forschungseinrichtungen, Wohlfahrtsverbände etc. sind immer wieder Zielscheibe für Cyber-Angriffe. Aufgrund des hohen Angriffsrisikos, gepaart mit einem erheblichen Schadenspotenzial (Verlust von Patientendaten, Anbieten medizinischer Daten im Darknet, Unterbrechung des Betriebs und der Patientenversorgung, Reputationsschaden, Wiederherstellungsaufwand etc.), kommt der Abschluss von Cyber-Versicherungsverträgen in Betracht.
Soweit ersichtlich, ist nun das erste Urteil eines Instanzgerichts zur Einstandspflicht des Cyber-Versicherers ergangen. Der Versicherungsnehmer war durch eine Phishing-E-Mail Opfer eines Verschlüsselungs-Trojaners geworden, der das gesamte IT-System des Versicherungsnehmers lahmgelegt hatte. Das Landgericht (LG) Tübingen verurteilte den Cyber-Versicherer auf Zahlung in Höhe von 2,85 Millionen Euro (Urteil vom 26. Mai 2023, Aktenzeichen 4 O 193/21, das Urteil ist nicht rechtskräftig).
Folgende Kernpunkte des Urteils sind hervorzuheben:
Das oben genannte Urteil zeigt, dass Cyber-Versicherer nicht durch Verweis auf eine unzureichende IT-Sicherheit beim Versicherungsnehmer, die erst den Cyber-Angriff ermöglichte, wegen (grob) fahrlässigen Verhaltens die Versicherungsleistung kürzen oder verweigern können.
Vielmehr kommt es im Einzelfall darauf an, ob die Schwächen in der IT-Sicherheit bereits bei Vertragsschluss bestanden und Gegenstand der Risikoprüfung des Versicherers waren beziehungsweise hätten sein können. Ob und inwieweit vorvertragliche Risikofragen falsch beantwortet und Anzeigeobliegenheiten verletzt wurden, hängt maßgeblich von der vorvertraglichen Kommunikation des Versicherers, den von ihm gestellten Fragen sowie dem Umfang und der Tiefe der Risikoprüfung ab. Erst nach einem erfolgreichen Cyber-Angriff aufgedeckte Sicherheitsmängel befreien den Versicherer folglich nicht automatisch von seiner zugesicherten Leistungspflicht.
Für Unternehmen bedeutet dies, dass sie die vorvertragliche Kommunikation mit dem Versicherer zu dem eingesetzten IT-System und dem vorhandenen Sicherheitsniveau umfassend dokumentieren sollten. Im Falle eines Cyber-Angriffs kann es sodann einer sorgfältigen Analyse und Dokumentation des Angriffs in technischer Hinsicht bedürfen, um ggf. substantiiert darlegen zu können, dass der Cyber-Angriff auch erfolgreich gewesen wäre, wenn der Versicherungsnehmer bestimmte, als geboten und geeignet erscheinende Sicherheitsmaßnahmen ergriffen hätte.
Gleichwohl sollten Versicherungsnehmer das Urteil nicht als Freifahrtschein verstehen. Eine funktionierende IT-Sicherheit und regelmäßige Sicherheitsupdates sind gerade im Gesundheitswesen mit einer fortschreitenden Digitalisierung, etwa in Krankenhäusern mit vernetzten Systemen, Kommunikationsplattformen, personalisierter Medizin und digitalen medizinischen Geräten, zwingend erforderlich, um ein hohes Maß an Cyber-Sicherheit zu gewährleisten und um compliant zu sein.
Wir stehen Ihnen gerne für Fragen und zur Auswahl beziehungsweise Überprüfung von Cyber-Versicherungsverträgen zur Verfügung.
