Ein Unternehmen überweist 85.000 Euro an Betrüger – und bleibt auf dem Schaden sitzen. Der Grund: Der Phishing-Angriff erfolgte über ein gehacktes Drittsystem, nicht über die eigene IT. Das Landgericht Hagen entschied, dass in solchen Fällen die Cyberversicherung nicht greift. Der Fall wirft ein Schlaglicht auf eine riskante Lücke im digitalen Versicherungsschutz.
Ein mittelständisches Unternehmen, das infolge eines ausgeklügelten Phishing-Angriffs 85.000 Euro an Kriminelle verlor, erhält keinen Schadenersatz von seiner Cyberversicherung. Das hat das Landgericht Hagen mit Urteil vom 15. Oktober 2024 entschieden (Az. 9 O 258/23). Die Richter stellten klar, dass ein Cyberversicherungsvertrag nur dann greift, wenn ein unmittelbarer Eingriff in das eigene IT-System vorliegt. Ein Angriff auf ein externes System – in diesem Fall auf den E-Mail-Server eines Geschäftspartners – genüge nicht, um Versicherungsschutz auszulösen.
Ausgangspunkt des Falls war ein betrügerischer E-Mail-Verkehr, der sich über mehrere Wochen hinweg als glaubwürdig erwies. Das betroffene Unternehmen pflegte seit Jahren eine enge Geschäftsbeziehung mit einem polnischen Lieferanten. Die Kommunikation fand nahezu ausschließlich per E-Mail statt, auch bei sensiblen Themen wie Zahlungsabwicklungen. Im Frühjahr 2023 erhielt das Unternehmen eine Nachricht, in der der vermeintliche Lieferant eine neue Bankverbindung mitteilte. Der weitere Mailverkehr enthielt korrekte Bezugnahmen auf frühere Bestellungen und Rechnungen, wodurch die Glaubwürdigkeit zusätzlich gestärkt wurde. In der Folge überwies das Unternehmen 85.000 Euro auf das angegebene Konto – das sich später als Ziel eines organisierten Betrugsnetzwerks entpuppte.
Erst als der echte Lieferant Wochen später offene Forderungen anmahnte, wurde der Betrug erkannt. Die anschließende Untersuchung ergab, dass offenbar der Exchange Server des Lieferanten kompromittiert worden war. Die Täter hatten Zugriff auf den realen E-Mail-Verlauf und konnten so täuschend echte Nachrichten im Namen des Geschäftspartners versenden. Das Unternehmen erstattete Strafanzeige und wandte sich an seine Cyberversicherung, die den Vorfall jedoch nicht als versicherten Schaden anerkannte.
In der Klage vor dem Landgericht argumentierte das Unternehmen, dass durch den Eingriff in den geschäftlichen Kommunikationsprozess ein Schaden entstanden sei, der einem Angriff auf das eigene Telekommunikationsnetzwerk gleichkomme. Auch wurde geltend gemacht, dass die Versicherungsbedingungen zu unbestimmt seien und einer gerichtlichen Inhaltskontrolle nicht standhielten.
Das Gericht sah das anders. Die Richter kamen zu dem Schluss, dass für einen versicherten Schadenereignis eine konkrete Verletzung der eigenen IT-Infrastruktur vorliegen müsse. Eine solche sei hier nicht gegeben. Das unternehmenseigene E-Mail-System habe fehlerfrei funktioniert, es sei zu keinem unbefugten Zugriff, Datenverlust oder Systemausfall gekommen. Der Angriff sei ausschließlich auf Seiten des Lieferanten erfolgt – und damit außerhalb des Einfluss- und Schutzbereichs der Cyberversicherung. Auch der Erhalt betrügerischer E-Mails begründe allein keinen Cyberangriff im Sinne der Versicherungsbedingungen, da dies keinen technischen Eingriff in das eigene Netzwerk darstelle.
Zudem wiesen die Richter darauf hin, dass auch die Voraussetzungen eines sogenannten Vertrauensschadens nicht erfüllt seien. Ein solcher liege nur vor, wenn Mitarbeitende oder interne Vertrauenspersonen in betrügerische Handlungen verwickelt seien. Dies sei hier nicht der Fall. Schließlich betonte das Gericht, dass die Versicherungsbedingungen hinreichend klar und verständlich formuliert seien. Für den durchschnittlichen Versicherungsnehmer sei nachvollziehbar, dass der Versicherungsschutz auf Vorfälle begrenzt sei, die sich im eigenen System abspielten.
Die Entscheidung zeigt deutlich, dass der Schutz durch Cyberversicherungen in der Praxis enger gefasst ist als vielfach angenommen. Die zunehmend komplexen Methoden digitaler Kriminalität – insbesondere im Bereich des Social Engineering – führen zu Schäden, die rechtlich nicht zwangsläufig als Cybervorfall gewertet werden. Unternehmen stehen dadurch im Spannungsfeld zwischen technischen Sicherheitsmaßnahmen, organisatorischen Kontrollmechanismen und rechtlichen Abgrenzungen des Versicherungsschutzes.
Kommentar:
Das Urteil des Landgerichts Hagen stellt einen Weckruf für viele Unternehmen dar, die sich im Glauben an einen umfassenden Cyberversicherungsschutz in Sicherheit wiegen. Der Fall zeigt exemplarisch, wie eng die rechtlichen Voraussetzungen für eine Leistungspflicht gestrickt sind. Während der wirtschaftliche Schaden eindeutig feststellbar ist, bleibt die juristische Bewertung an einem scheinbar technischen Detail hängen: Der Ort des Angriffs. Nicht das eigene IT-System war Ziel, sondern das eines Dritten – und damit entfällt die Grundlage für den Versicherungsschutz.
Diese Unterscheidung mag juristisch korrekt sein, offenbart aber eine reale Schutzlücke im digitalen Geschäftsverkehr. In einer Wirtschaft, die auf vernetzte Kommunikation und automatisierte Prozesse angewiesen ist, können Angriffe auf Drittsysteme unmittelbare und schwerwiegende Auswirkungen auf unbeteiligte Unternehmen haben. Der Schutzgedanke einer Versicherung sollte in solchen Fällen eigentlich greifen, doch die Vertragswerke hinken den digitalen Realitäten häufig hinterher.
Der Fall verdeutlicht auch die Notwendigkeit, die eigenen Risikoeinschätzungen nicht allein auf Versicherungsverträge zu stützen. Unternehmen müssen prüfen, wie sie in der Kommunikation mit Partnern gegen sogenannte Man-in-the-Middle-Angriffe abgesichert sind, und ob Zahlungsfreigaben durch mehrstufige Authentifizierungen flankiert werden können. Zugleich sind Versicherer gefordert, ihre Produkte transparenter zu gestalten und offen zu kommunizieren, welche Szenarien tatsächlich abgesichert sind – und welche nicht.
In der Konsequenz steht weniger der konkrete Fall im Vordergrund, sondern die grundsätzliche Frage: Wie kann Versicherung in einer digitalen Welt gestaltet werden, in der Gefahren oft nicht mehr klar an Systemgrenzen haltmachen? Wenn der klassische Deckungsrahmen nicht mehr ausreicht, sind neue Lösungen gefragt – sei es durch erweiterte Policen oder durch gesetzgeberische Klarstellungen. Andernfalls droht ein Vertrauensverlust in ein Versicherungsprodukt, das eigentlich für Sicherheit in unsicheren Zeiten sorgen soll.
Von Engin Günder, Fachjournalist
Ein mittelständisches Unternehmen, das infolge eines ausgeklügelten Phishing-Angriffs 85.000 Euro an Kriminelle verlor, erhält keinen Schadenersatz von seiner Cyberversicherung. Das hat das Landgericht Hagen mit Urteil vom 15. Oktober 2024 entschieden (Az. 9 O 258/23). Die Richter stellten klar, dass ein Cyberversicherungsvertrag nur dann greift, wenn ein unmittelbarer Eingriff in das eigene IT-System vorliegt. Ein Angriff auf ein externes System – in diesem Fall auf den E-Mail-Server eines Geschäftspartners – genüge nicht, um Versicherungsschutz auszulösen.
Ausgangspunkt des Falls war ein betrügerischer E-Mail-Verkehr, der sich über mehrere Wochen hinweg als glaubwürdig erwies. Das betroffene Unternehmen pflegte seit Jahren eine enge Geschäftsbeziehung mit einem polnischen Lieferanten. Die Kommunikation fand nahezu ausschließlich per E-Mail statt, auch bei sensiblen Themen wie Zahlungsabwicklungen. Im Frühjahr 2023 erhielt das Unternehmen eine Nachricht, in der der vermeintliche Lieferant eine neue Bankverbindung mitteilte. Der weitere Mailverkehr enthielt korrekte Bezugnahmen auf frühere Bestellungen und Rechnungen, wodurch die Glaubwürdigkeit zusätzlich gestärkt wurde. In der Folge überwies das Unternehmen 85.000 Euro auf das angegebene Konto – das sich später als Ziel eines organisierten Betrugsnetzwerks entpuppte.
Erst als der echte Lieferant Wochen später offene Forderungen anmahnte, wurde der Betrug erkannt. Die anschließende Untersuchung ergab, dass offenbar der Exchange Server des Lieferanten kompromittiert worden war. Die Täter hatten Zugriff auf den realen E-Mail-Verlauf und konnten so täuschend echte Nachrichten im Namen des Geschäftspartners versenden. Das Unternehmen erstattete Strafanzeige und wandte sich an seine Cyberversicherung, die den Vorfall jedoch nicht als versicherten Schaden anerkannte.
In der Klage vor dem Landgericht argumentierte das Unternehmen, dass durch den Eingriff in den geschäftlichen Kommunikationsprozess ein Schaden entstanden sei, der einem Angriff auf das eigene Telekommunikationsnetzwerk gleichkomme. Auch wurde geltend gemacht, dass die Versicherungsbedingungen zu unbestimmt seien und einer gerichtlichen Inhaltskontrolle nicht standhielten.
Das Gericht sah das anders. Die Richter kamen zu dem Schluss, dass für einen versicherten Schadenereignis eine konkrete Verletzung der eigenen IT-Infrastruktur vorliegen müsse. Eine solche sei hier nicht gegeben. Das unternehmenseigene E-Mail-System habe fehlerfrei funktioniert, es sei zu keinem unbefugten Zugriff, Datenverlust oder Systemausfall gekommen. Der Angriff sei ausschließlich auf Seiten des Lieferanten erfolgt – und damit außerhalb des Einfluss- und Schutzbereichs der Cyberversicherung. Auch der Erhalt betrügerischer E-Mails begründe allein keinen Cyberangriff im Sinne der Versicherungsbedingungen, da dies keinen technischen Eingriff in das eigene Netzwerk darstelle.
Zudem wiesen die Richter darauf hin, dass auch die Voraussetzungen eines sogenannten Vertrauensschadens nicht erfüllt seien. Ein solcher liege nur vor, wenn Mitarbeitende oder interne Vertrauenspersonen in betrügerische Handlungen verwickelt seien. Dies sei hier nicht der Fall. Schließlich betonte das Gericht, dass die Versicherungsbedingungen hinreichend klar und verständlich formuliert seien. Für den durchschnittlichen Versicherungsnehmer sei nachvollziehbar, dass der Versicherungsschutz auf Vorfälle begrenzt sei, die sich im eigenen System abspielten.
Die Entscheidung zeigt deutlich, dass der Schutz durch Cyberversicherungen in der Praxis enger gefasst ist als vielfach angenommen. Die zunehmend komplexen Methoden digitaler Kriminalität – insbesondere im Bereich des Social Engineering – führen zu Schäden, die rechtlich nicht zwangsläufig als Cybervorfall gewertet werden. Unternehmen stehen dadurch im Spannungsfeld zwischen technischen Sicherheitsmaßnahmen, organisatorischen Kontrollmechanismen und rechtlichen Abgrenzungen des Versicherungsschutzes.
Kommentar:
Das Urteil des Landgerichts Hagen stellt einen Weckruf für viele Unternehmen dar, die sich im Glauben an einen umfassenden Cyberversicherungsschutz in Sicherheit wiegen. Der Fall zeigt exemplarisch, wie eng die rechtlichen Voraussetzungen für eine Leistungspflicht gestrickt sind. Während der wirtschaftliche Schaden eindeutig feststellbar ist, bleibt die juristische Bewertung an einem scheinbar technischen Detail hängen: Der Ort des Angriffs. Nicht das eigene IT-System war Ziel, sondern das eines Dritten – und damit entfällt die Grundlage für den Versicherungsschutz.
Diese Unterscheidung mag juristisch korrekt sein, offenbart aber eine reale Schutzlücke im digitalen Geschäftsverkehr. In einer Wirtschaft, die auf vernetzte Kommunikation und automatisierte Prozesse angewiesen ist, können Angriffe auf Drittsysteme unmittelbare und schwerwiegende Auswirkungen auf unbeteiligte Unternehmen haben. Der Schutzgedanke einer Versicherung sollte in solchen Fällen eigentlich greifen, doch die Vertragswerke hinken den digitalen Realitäten häufig hinterher.
Der Fall verdeutlicht auch die Notwendigkeit, die eigenen Risikoeinschätzungen nicht allein auf Versicherungsverträge zu stützen. Unternehmen müssen prüfen, wie sie in der Kommunikation mit Partnern gegen sogenannte Man-in-the-Middle-Angriffe abgesichert sind, und ob Zahlungsfreigaben durch mehrstufige Authentifizierungen flankiert werden können. Zugleich sind Versicherer gefordert, ihre Produkte transparenter zu gestalten und offen zu kommunizieren, welche Szenarien tatsächlich abgesichert sind – und welche nicht.
In der Konsequenz steht weniger der konkrete Fall im Vordergrund, sondern die grundsätzliche Frage: Wie kann Versicherung in einer digitalen Welt gestaltet werden, in der Gefahren oft nicht mehr klar an Systemgrenzen haltmachen? Wenn der klassische Deckungsrahmen nicht mehr ausreicht, sind neue Lösungen gefragt – sei es durch erweiterte Policen oder durch gesetzgeberische Klarstellungen. Andernfalls droht ein Vertrauensverlust in ein Versicherungsprodukt, das eigentlich für Sicherheit in unsicheren Zeiten sorgen soll.
Von Engin Günder, Fachjournalist
