Eine Cyberversicherung schützt Unternehmen vor Schäden durch Hacker und Trojaner. Wird bei Vertragsabschluss jedoch der Stand der IT-Sicherheit falsch dargestellt, muss die Versicherung im Ernstfall nicht zahlen. Das bestätigt eine Entscheidung des Landgerichts Kiel. Ein Großhändler aus Schleswig-Holstein blieb deshalb nach einem Trojanerangriff auf rund 400.000 Euro Schaden sitzen. So viel kostete die komplette Neuinstallation der Firmen-Systeme, nachdem dort ein Backdoor installiert worden war.
Anders als gegenüber dem Versicherer dargestellt, war die IT-Sicherheit des Großhändlers mangelhaft. So lief der Datenbank-Server des Online-Shops ohne Firewall, mehrere Rechner hatten keinen Virenscanner. Einige Server wurden mit längst veralteter Software wie Windows 2003 betrieben. Im Unternehmen gab es nicht weniger als 77 Nutzerkonten mit Administrationsrechten. Ihnen waren teilweise einfachste Passwörter wie "anna" zugeordnet, obwohl eine Passwort-Richtlinie komplexere Passphrasen verlangte.
Chaos in der IT-Abteilung ist genauso schlimm wie böser Wille
Die falschen Angaben bei Versicherungsabschluss wertete das Gericht als arglistige Täuschung. Damit war der Versicherungsvertrag nichtig (LG Kiel 23.05.2024 - 5 O 128/21). Hinter den Fehlinformationen verbarg sich offenbar eher internes Chaos als böse Absicht. Der für IT-Sicherheit zuständige Mitarbeiter war schwer erkrankt und dann verstorben, ein externer Dienstleister hatte nicht genug Einblick, dasselbe galt für den Leiter der IT-Abteilung, der die Risikofragen des Versicherers beantwortet hatte. Abgeschlossen wurde der Vertrag zwischen einem Makler und einem Assekuradeur, die die wahren Gegebenheiten vor Ort wohl nicht weiter prüften.
Für Versäumnisse in der IT-Sicherheit haftet die Unternehmensleitung
Das Fehlen einer bösen Absicht änderte nichts am Schaden. Und spätestens seit Inkrafttreten der EU-Cybersicherheits-Richtlinie NIS2 führen solche Versäumnisse für die Geschäftsführung schnell in die Haftung. Vor diesem Hintergrund wird es wichtig, sich als Chef ein objektives Bild der IT-Sicherheitslage im eigenen Haus zu verschaffen. Spezielle Dienstleister simulieren realistische Angriffe und decken damit mögliche Schwachstellen auf, bevor Cyber-Kriminelle dies tun. Der auf Cyber-Versicherungen spezialisierte Spezialmakler acant vermittelt seinen Kunden diesen Service.
Geschäftsführer haben damit einen objektiven Maßstab für die eigene "preparedness". Mehr noch: Kommt es zu einer Auseinandersetzung mit der Cyber-Versicherung wie im beschriebenen Fall, wird der erfolgreich absolvierte IT-Sicherheitstest durch einen unabhängigen Experten vor Gericht zum wichtigen Argument. Er zeigt, dass die IT-Sicherheit nicht vernachlässigt wurde.
Im Berlin Capital Club: Business-Talk-Frühstück mit dem Ethical Hacker Immanuel Bär
Im Berlin Capital Club findet am Dienstag, den 10. September 2024 von 09:00 bis 10:30 ein Business-Talk-Frühstück mit Immanuel Bär statt, Mitgründer der Prosec GmbH. Als Experte für Sicherheits-Scans und Penetration Testing prüft er auf realistische, aber gefahrlose Art, ob die IT-Systeme eines Unternehmens Angreifern gewachsen sind. acant, Berliner Fachmakler für Cyber-Versicherungsschutz, arbeitet regelmäßig mit Prosec zusammen, um bei den Kunden mögliche Schwachstellen aufzudecken und ein optimales Sicherheitsniveau zu gewährleisten.
Beim Business-Talk-Frühstück wird Bär seine Arbeit vorstellen und auf die besondere Herausforderung eingehen, die sich für Geschäftsführer aus der EU-Richlinie zur Cyber-Sicherheit NIS2 ergibt: Sie schreibt die persönliche Haftung der Geschäftsleitung für eine angemessene IT-Sicherheit fest.
Die Anmeldung zum Business-Talk-Frühstück mit Immanuel Bär und acant-Geschäftsführer Frank Schwandt ist unter events@berlincapitalclub.de oder unter +49 30 2062976 möglich.