LG Tübingen: Cyber-Versicherung
LG Tübingen, 26.5.2023 – 4 O 193/21
ECLI:DE:LGTUEBI:2023:0526.4O193.21.00
Volltext: BB-Online BBL2023-1858-8
unter www.betriebs-berater.de
Amtliche Leitsätze
1. Gelingt es, dass bei einem sog. "Pass-the-Hash"-Cyber-Angriff unter Ausnutzung einer bekannten Schwachstelle des Betriebssystems von Microsoft Administratorenrechte für alle Server des geschädigten Unternehmens erbeutet werden, lässt der Umstand, dass nicht alle Server mit den aktuellen Sicherheits-Updates ausgestattet waren, einen Leistungsanspruch gegen den Versicherer unberührt, weil eine mögliche Verletzung einer diesbezüglichen Anzeigeobliegenheit weder für den Eintritt oder die Feststellung des Versicherungsfalles noch für Feststellung oder den Umfang der Leistungspflicht ursächlich ist, es sei denn, der Versicherungsnehmer hat arglistig gehandelt.
2. Der Anwendungsbereich von § 81 Abs. 2 VVG ist dann nicht eröffnet, wenn die betreffende Gefahrenlage – hier: fehlende Sicherheitsmaßnahmen zur Vermeidung eines Cyber-Angriffs, die über den Einsatz einer Firewall und eines Anti-Viren-Scanners hinausgehen – bereits bei Vertragsschluss bestand und Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können.
Sachverhalt
I.
Die Klägerin verlangt von der Beklagten Leistungen aus einem Cyber-Versicherungsvertrag.
Die Klägerin hat ihren Firmensitz in [...]. Sie fertigt Komponenten für ökologische Heizungsanlagen [...].
Im Jahr 2020 verfügte die interne IT-Infrastruktur der Klägerin über verschiedene Server, von denen – was im Laufe des Prozesses unstreitig geworden ist – nicht alle mit den aktuellen Sicherheits-Updates des Betriebssystems von Microsoft Windows ausgestattet waren. Außerdem waren Server der Klägerin ausgelagert bei der Fa. B. AG, einem führenden IT-Systemhaus.
Zwischen den Parteien besteht mit Wirkung zum 06.04.2020 unter der Versicherungsscheinnummer [...] ein sog. Cyber-Versicherungsvertrag. Es handelt sich hierbei um eine Mehrkomponenten-Versicherung, die u.a. folgende Risiken (als sog. „Bausteine“) abdeckt:
- Schutz von Sachen und Daten
- Betriebsunterbrechung
- Schutz in Fällen von Fremdschäden (Haftpflicht) sowie bei Datenschutzvorfällen
- Schutz von Identität und Reputation
- Schutz von Konten und Zahlungsmitteln
- Kosten eigener Sachverständiger.
Die Deckungssumme beträgt 5 Mio. € (vgl. Versicherungsschein, Anlage K 1). Die Haftzeit beträgt laut der Police 12 Monate (dort. S. 3). Dem Versicherungsvertrag liegen als Allgemeine Versicherungsbedingungen die „AVB [...], Stand: [...], zugrunde (Anlage K 1, ab Seite 13 - im Folgenden: AVB).
Die AVB enthalten zur vorvertraglichen Anzeigepflicht folgende Klauseln:
B3-1 Anzeigepflichten des Versicherungsnehmers oder seines Vertreters bis zum Vertragsschluss
B3-1.1 Vollständigkeit und Richtigkeit von Angaben über gefahrerhebliche Umstände
Der Versicherungsnehmer hat bis zur Abgabe seiner Vertragserklärung dem Versicherer alle ihm bekannten Gefahrumstände anzuzeigen, nach denen der Versicherer in Textform (z.B. E-Mail, Telefax oder Brief) gefragt hat und die für den Entschluss des Versicherers erheblich sind, den Vertrag mit dem vereinbarten Inhalt zu schließen. Diese Anzeigepflicht gilt auch dann, wenn der Versicherer dem Versicherungsnehmer nach seiner Vertragserklärung, aber vor der Vertragsannahme Fragen im Sinn von Satz 1 in Textform stellt.
Wird der Vertrag von einem Vertreter des Versicherungsnehmers geschlossen, so sind bei der Anwendung von Absatz 1 und B3-1.2 sowohl die Kenntnis und die Arglist des Vertreters als auch die Kenntnis und die Arglist des Versicherungsnehmers zu berücksichtigen.
Der Versicherungsnehmer kann sich darauf, dass die Anzeigepflicht nicht vorsätzlich oder grob fahrlässig verletzt worden ist, nur berufen, wenn weder dem Vertreter noch dem Versicherungsnehmer Vorsatz oder grobe Fahrlässigkeit zur Last fällt.
B3-1.2 Rechtsfolgen der Verletzung der Anzeigepflicht
B3-1.2.1 Rücktritt und Wegfall des Versicherungsschutzes
Verletzt der Versicherungsnehmer seine Anzeigepflicht nach B3-1.1 Absatz 1, kann der Versicherer vom Vertrag zurücktreten. Im Fall des Rücktritts besteht auch für die Vergangenheit kein Versicherungsschutz.
Der Versicherer hat jedoch kein Rücktrittsrecht, wenn der Versicherungsnehmer nachweist, dass er die unrichtigen oder unvollständigen Angaben weder vorsätzlich noch grob fahrlässig gemacht hat.
Das Rücktrittsrecht des Versicherers wegen grob fahrlässiger Verletzung der Anzeigepflicht besteht nicht, wenn der Versicherungsnehmer nachweist, dass der Versicherer den Vertrag auch bei Kenntnis der nicht angezeigten Umstände zu gleichen oder anderen Bedingungen geschlossen hätte.
Tritt der Versicherer nach Eintritt des Versicherungsfalles zurück, darf er den Versicherungsschutz nicht versagen, wenn der Versicherungsnehmer nachweist, dass der unvollständig oder unrichtig angezeigte Umstand weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich war. Auch in diesem Fall besteht aber kein Versicherungsschutz, wenn der Versicherungsnehmer die Anzeigepflicht arglistig verletzt hat.
Zur Gefahrerhöhung ist in den AVB bestimmt:
B3-2.2 Pflichten des Versicherungsnehmers
B3-2.2.1 Nach Abgabe seiner Vertragserklärung darf der Versicherungsnehmer ohne vorherige Zustimmung des Versicherers keine Gefahrerhöhung vornehmen oder deren Vornahme durch einen Dritten (A115) gestatten.
B3-2.2.2 Erkennt der Versicherungsnehmer nachträglich, dass er ohne vorherige Zustimmung des Versicherers eine Gefahrerhöhung vorgenommen oder gestattet hat, so muss er diese dem Versicherer unverzüglich anzeigen.
B3-2.2.3 Eine Gefahrerhöhung, die nach Abgabe seiner Vertragserklärung unabhängig von seinem Willen eintritt, muss der Versicherungsnehmer dem Versicherer unverzüglich anzeigen, nachdem er von ihr Kenntnis erlangt hat.
[...]
B3-2.5 Leistungsfreiheit wegen Gefahrerhöhung
B3-2.5.1 Tritt nach einer Gefahrerhöhung der Versicherungsfall ein, so ist der Versicherer nicht zur Leistung verpflichtet, wenn der Versicherungsnehmer seine Pflichten nach B3-2.2.1 vorsätzlich verletzt hat. Verletzt der Versicherungsnehmer diese Pflichten grob fahrlässig, so ist der Versicherer berechtigt, seine Leistung in dem Verhältnis zu kürzen, das der Schwere des Verschuldens des Versicherungsnehmers entspricht. Das Nichtvorliegen einer groben Fahrlässigkeit hat der Versicherungsnehmer zu beweisen.
B3-2.5.2 Nach einer Gefahrerhöhung nach B3-2.2.2 und B3-2.2.3 ist der Versicherer für einen Versicherungsfall, der später als einen Monat nach dem Zeitpunkt eintritt, zu dem die Anzeige dem Versicherer hätte zugegangen sein müssen, leistungsfrei, wenn der Versicherungsnehmer seine Anzeigepflicht vorsätzlich verletzt hat. Hat der Versicherungsnehmer seine Pflicht grob fahrlässig verletzt, so gilt B3-2.5.1 Satz 2 und 3 entsprechend. Die Leistungspflicht des Versicherers bleibt bestehen, wenn ihm die Gefahrerhöhung zu dem Zeitpunkt, zu dem ihm die Anzeige hätte zugegangen sein müssen, bekannt war.
B3-2.5.3 Die Leistungspflicht des Versicherers bleibt bestehen,
a. Soweit der Versicherungsnehmer nachweist, dass er die Gefahrerhöhung nicht ursächlich für den Eintritt des Versicherungsfalles oder den Umfang der Leistungspflicht war
[...].
Was die Berechnung insbesondere eines Betriebsunterbrechungsschadens betrifft, enthalten die AVB u.a. folgende Regelungen:
A.4-1.1.1 Betriebsunterbrechung (A023)
Eine Betriebsunterbrechung (A023) im Sinne des vorliegenden Versicherungsvertrages liegt vor, wenn infolge unbefugter Nutzung (A507) von IT-Systemen (A206) oder einer Datenschutzverletzung (A097) elektronische Daten (A090) oder informationsverarbeitende Systeme, die dem Versicherungsnehmer gehören oder die er entgeltlich von Dritten (A115) (z.B. externes Rechenzentrum, Cloud-Anbieter) in Anspruch nimmt oder betreiben lässt, nicht zur Verfügung stehen oder nicht die übliche Leistung erbringen und daraus ein Unterbrechungsschaden resultiert.
A4-1.1.2 Unterbrechungsschaden
Der Unterbrechungsschaden ist das Ausbleiben von Deckungsbeiträgen (A469) durch den Eintritt der Betriebsunterbrechung (A023) als Folge eines in diesem Vertrag versicherten Ereignisses innerhalb der im Versicherungsschein (A209) ausgewiesenen Haftzeit (A170) zur Deckung von Betriebsgewinn (A022) und trotz Betriebsunterbrechung (A023) fortlaufenden Kosten (A161), soweit dieser Deckungsbeitrag (A469) ohne den Eintritt der Betriebsunterbrechung (A023) vom Versicherungsnehmer erwirtschaftet worden wäre.
A4-1.3 Umfang der Entschädigung
A4-1.3.1 Entschädigungsberechnung
Der Versicherer leistet Entschädigung für den versicherten Ertragsausfallschaden (A472).
a. Bei der Feststellung des Ertragsausfallschadens (A472) sind alle Umstände zu berücksichtigen, die Gang und Ergebnis des Betriebes während des Unterbrechungszeitraumes, längstens jedoch bis zum Ende der Haftzeit (A170), günstig oder ungünstig beeinflusst haben würden, wenn die Unterbrechung oder Beeinträchtigung (A458) nicht eingetreten wäre.
b. Die Entschädigung darf nicht zu einer Bereicherung führen. Wirtschaftliche Vorteile, die sich nach dem Zeitpunkt, von dem an ein Ertragsausfallschaden (A472) nicht mehr entsteht, als Folge der Unterbrechung oder Beeinträchtigung (A458) innerhalb der Haftzeit (A170) ergeben, sind angemessen zu berücksichtigen.
c. Kosten werden nur ersetzt, soweit ihr Weiteraufwand rechtlich notwendig oder wirtschaftlich begründet ist und soweit sie ohne die Unterbrechung oder Beeinträchtigung (A458) erwirtschaftet worden wären.
d. Gebrauchsbedingte Abschreibungen auf Sachen, die dem Betrieb dienen, sind nicht zu entschädigen, soweit die Sachen infolge des Sachschadens nicht eingesetzt werden.
[...].
Teil D: Glossar
A469 Deckungsbeitrag
Unter Deckungsbeitrag im Sinne dieses Versicherungsvertrages ist die Differenz zwischen erzielten Erlösen (Umsatz) und den variablen Kosten zu verstehen, also der Betrag, der zur Deckung der Fixkosten sowie eines möglichen Gewinnes zur Verfügung steht.
A472 Ertragsausfallschaden vgl. Betriebsunterbrechungsschaden
Für den Vertragsschluss hat die Klägerin als Versicherungsmaklerin die Fa. [...] GmbH hinzugezogen, für die der Zeuge L. tätig geworden ist. Die Beklagte wurde von der Assekuradeurin [...] GmbH (im Folgenden: Assekuradeurin) vertreten, die u.a. auch die Allgemeinen Versicherungsbedingungen für die Beklagte ausgearbeitet hat.
Im Rahmen des Vertragsschlusses stellte die Beklagte insgesamt acht Risikofragen (wiedergegeben in den Angebotsunterlagen gemäß der Anlage [...]), wobei die Klägerin nur die letzte Frage mit „Nein“ und alle übrigen Fragen mit „Ja“ beantwortete. Die Fragen haben folgenden Wortlaut:
1. Die IT des Unternehmens wird durch mindestens einen IT-Spezialisten betreut.
2. Es werden regelmäßig (mind. wöchentlich) Datensicherungen durchgeführt. *
3. Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet. *
4. Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme). *
5. Es existieren Regelungen zum Umgang mit IT-Zugangsdaten im Unternehmen, deren Umsetzung überwacht wird. *
6. Es werden Hard- und Software (wie Firewalls) zum Schutz des Unternehmensnetzwerks eingesetzt. *
7. Mitarbeiter dürfen private Geräte für dienstliche Zwecke verwenden.
8. Gab es in den letzten drei Jahren einen Cyberschaden oder einen Datenschutzvorfall im Unternehmen?
Die vorerwähnten Risikofragen waren mit dem nachfolgenden Zusatz versehen:
[...] .
Die Anfrage der Klägerin wurde der Beklagten am 03.04.2020 übermittelt. Die Beklagte sandte der Klägerin noch am selben Tag ihrerseits sowohl per E-Mail als auch über ein Internet-Portal ein Vertragsangebot zu. Dem Angebot war als „Wichtige Angebotsunterlagen“ die Anlage [...] beigefügt. Die Klägerin nahm das Angebot durch ihren Makler L. am 06.04.2020 an (vgl. Ausdruck aus der EDV der Beklagten, Anlage [...]).
Vor Abschluss des Vertrags hatte am 13.02.2020 eine Veranstaltung in den Räumen der Klägerin stattgefunden. Der genaue Charakter der Veranstaltung ist zwischen den Parteien streitig. An der Veranstaltung nahm für die Assekuradeurin der Zeuge B. teil, der eine Powerpoint-Präsentation vorstellte. Für die Klägerin waren bei der Besprechung u.a. die Zeugen L., G., R. (als damaliger Geschäftsführer), U., S. und M. anwesend.
Die Klägerin wurde ab 29.05.2020 Opfer eines Cyber-Angriffs durch bislang nicht identifizierte Angreifer. Mittels einer sog. Phishing-Mail wurde ein Verschlüsselungs-Trojaner (sog. „Ransomware“) eingeschleust und legte fast die gesamte IT-Infrastruktur der Klägerin lahm. Ein Mitarbeiter hatte auf seinem Dienst-Laptop (“Client [...]“) einen als Rechnung getarnten E-Mail-Anhang geöffnet. Der Dienst-Laptop war über einen VPN-Tunnel mit dem Netzwerk der Klägerin verbunden, so dass der Trojaner über den VPN-Tunnel in das IT-System der Klägerin gelangte. Die Verschlüsselung wurde erst um 23 Uhr in der Nacht vom 29.05.2020 (Freitag) auf den 30.05.2020 (Samstag) aktiviert und vom IT-Betreuer der Klägerin U. am 30.05.2020 entdeckt und um 12.25 Uhr an [...] GmbH gemeldet, welche ihn an deren IT-Dienstleister [...] GmbH verwies. Der Trojaner bewirkte, dass sämtliche Server heruntergefahren wurden. Ein Neustart scheiterte an der Verschlüsselung. Auf den Bildschirmen wurde eine Mitteilung der Angreifer angezeigt, die ein Lösegeld in Bitcoins verlangten und mit der Veröffentlichung sensibler Firmendaten drohten (vgl. Screenshot, Anlage K 2).
Die Klägerin ging auf die Forderung nicht ein, sondern wandte sich an die Kriminalpolizei, welche die Täter bis dato nicht ermitteln konnte. Eine von der Assekuradeurin veranlasste forensische Sicherung durch den externen Dienstleister [...] GmbH gelang nur zu einem kleinen Teil. Die IT-Infrastruktur der Klägerin blieb verschlüsselt und musste wieder neu aufgebaut werden. Die Wiederaufstellungsarbeiten waren nach der Darstellung der Klägerin im Oktober 2020 beendet.
In der Folge erstellte die [...] GmbH (im Folgenden: n.) im Auftrag der Assekuradeurin ein Gutachten (Abschlussbericht vom 24.06.2020, Anlage [...]). Die Klägerin ließ dieses durch [...] GmbH prüfen (Kommentierung vom 11.07.2020, Anlage K 9). Auf den Inhalt der Anlagen wird Bezug genommen.
Mit Schreiben vom 04.06.2020 (Anlage K 7) erklärte die Beklagte durch die Assekuradeurin den Rücktritt vom Vertrag mit der Begründung, die Klägerin habe ihre vorvertraglichen Anzeigepflichten verletzt, indem sie die Risikofragen Nr. 3, 4 und 6 falsch beantwortet habe. Denn für mehrere Server der Klägerin seien seit Jahren keine Sicherheits-Updates mehr verfügbar gewesen, was der Klägerin bekannt gewesen sei.
II.
Die Klägerin macht nach einer Klageerweiterung und unter Abzug der Selbstbehalte einen Gesamtschaden von nunmehr 3.771.767,12 € geltend, der sich wie folgt zusammensetzt (Antrag Ziff. 1):
Kostenpunkt |
Kosten |
Selbstbehalt |
Summe Deckungs-verpflichtung |
Sachschaden |
322.540,58 € |
|
322.540,58 |
Betriebsunterbrechungs- |
3.657.303,2 |
- 23.145,05 |
3.746.698,73 |
schaden |
|||
Schadensminderungs- |
29.073,96 € |
|
3.775.772,69 |
maßnahmen |
|||
Kosten der |
10.994,43 € |
|
3.786.767,12 |
Schadensfeststellung |
|||
Kosten des eigenen |
10.000,00 € |
|
3.796.767,12 |
Sachverständigen |
|||
allgemeiner Selbstbehalt |
|
-25.000,00 |
3.771.767,12 |
Gesamt |
4.029.912,17 |
|
3.771.767,12 |
Die Klägerin trägt vor, die verwendeten Risikofragen seien nicht geeignet, das Risiko- und Schadenspotential zutreffend zu ermitteln und teils so unpräzise und weit gefasst, dass das Risiko einer Fehleinschätzung dem Versicherungsnehmer aufgebürdet werde. Es lägen daher bereits keine relevanten Fragen im Sinne von § 19 Abs. 1 VVG vor.
Abgesehen davon habe sie die genannten Risikofragen objektiv richtig beantwortet. Neben der schriftlichen Beantwortung der Risikofragen seien auch die mündlichen Äußerungen zu berücksichtigen, die anlässlich der Veranstaltung am 13.02.2020 gegenüber Herrn B. gemacht worden seien. Bei dieser Veranstaltung habe es sich um einen Workshop gehandelt, bei welchem u.a. der technische Stand der IT-Infrastruktur der Klägerin besprochen worden sei. Von den Mitarbeitern der Klägerin sei erklärt worden, dass neben modernsten Serveranlagen auch noch ältere Systeme wie beispielsweise Microsoft Windows Server 2003 in Betrieb seien, deren Austausch jedoch geplant sei, und dass bei diesen älteren Servern aus technischen Gründen keine Updates mehr durchgeführt werden könnten, da die Gefahr bestünde, dass diese andernfalls - u.a. wegen der Größe des Betriebssystems - ausfallen würden. Herr B. habe insoweit keine Einwände geäußert und hierdurch bestätigt, dass dies den Anforderungen der Risikofrage Nr. 4 genüge. Die Mitarbeiter der Klägerin hätten Herrn B. detailliert befragt, wie er die IT-Ausstattung in Hinblick auf Versicherbarkeit beurteile. Herr B. habe zu keinem Zeitpunkt erkennen lassen, dass es hier Probleme geben könnte. Unter anderem habe er auf die Frage von R., ob besondere Anforderungen an eine Firewall zu stellen seien, geantwortet, „da tue es jede Fritzbox“. Auf ausdrückliche Frage habe Herr B. eine detaillierte Überprüfung der IT-Infrastruktur der Klägerin abgelehnt mit der Begründung, dies sei bei der Unternehmensgröße der Klägerin nicht erforderlich. Eine Prüfung würde in diesem Segment nur auf ausdrücklichen Wunsch des Kunden und gegen Entgelt erfolgen.
Zumindest habe die Klägerin die Risikofragen angesichts des Eindrucks, welchen die Antworten und Reaktionen Herrn B. am 13.02.2020 vermittelt hätten, subjektiv richtig beantwortet, weshalb sie allenfalls einfache Fahrlässigkeit treffe.
Jedenfalls könne der Kausalitätsgegenbeweis gem. § 21 Abs. 2 Satz 1 VVG bzw. B3-1.2.1(4) AVB geführt werden: Da es sich um einen sogenannten „Pass-the-Hash-Angriff“ gehandelt habe, seien mögliche Mängel der IT-Struktur der Klägerin weder für den Cyber-Angriff als solchen noch für dessen Ausmaß ursächlich geworden. Im Rahmen des „Pass-the-Hash-Angriffs“ seien Anmeldeinformationen (Passwörter) vom Konto des Mitarbeiters “Client [...]“ abgegriffen worden, so dass sich der Angreifer mit diesen Anmeldeinformationen innerhalb des Netzwerks authentifiziert und somit Zugriff auf Dienste im Namen des Benutzers erhalten habe. Der Angriff sei somit von innerhalb der Firewall der Klägerin ausgegangen. Hierbei handele es sich um eine bekannte gravierende Sicherheitslücke, die bei sämtlichen - auch aktuellen - Microsoft Betriebssystemen bestehe und somit auch bei dem auf dem Laptop [...] verwendeten Betriebssystem Windows 10 Pro.
Die Klägerin hat ihren Betriebsunterbrechungsschaden zunächst dergestalt ermittelt, dass sie den tatsächlich erzielten Rohertrag je geleisteter Personenstunde für den Zeitraum 01.06.2020 bis 30.04.2021 mit den angeblich ausgefallenen Personenstunden multipliziert hat. Wegen der Einzelheiten wird auf die Klageschrift Seite 13 (Bl. 13 d.A.) sowie die Replik vom 24.12.2021 Seite 35-37 (Bl. 158-160 d.A.) verwiesen. Auf Hinweis der Kammer hat die Klägerin sodann die Jahresabschlüsse bzw. betriebswirtschaftlichen Auswertungen für die Jahre 2019 bis 2021 vorgelegt (Anlagen K13 bis K15) und auf dieser Grundlage eine Neuberechnung ihres Unterbrechungsschadens vorgenommen, diesmal für den Zeitraum Juni 2020 bis Oktober 2020 (Schriftsatz vom 30.03.2022 Seite 9-12, Bl. 270-273 d.A.). Die Klägerin ist der Auffassung, dass die betriebswirtschaftlichen Werte des Jahres 2019 nicht zur Schadensschätzung herangezogen werden dürften. Denn infolge des im Oktober 2019 verabschiedeten Klimaschutzprogramms 2030 der Bundesregierung seien der Gewinn und Umsatz in den Jahren ab 2020 sprunghaft angestiegen. Von den danach allein maßgeblichen Kennzahlen der Geschäftsjahre 2020 und 2021 seien dabei jeweils nur die Monate Juni bis einschließlich Oktober heranzuziehen, da die Branche, in welcher die Klägerin tätig sei, starken Schwankungen im Jahresverlauf unterliege. Während in den Monaten Januar, Februar und März üblicherweise ein geringerer Umsatz erzielt werde, stiegen die Ergebnisse zur Mitte des Jahres hin an und seien dann zum Ende des Jahres in den Monaten November und Dezember wieder rückgängig.
Ferner meint die Klägerin, dass die Beklagte verpflichtet sei, alle weiteren Sach- und Vermögensschäden aus dem Cyber-Angriff zu ersetzen. Ein Feststellungsinteresse bestehe insoweit deshalb, weil die Angreifer angekündigt hätten, erbeutete Daten der Klägerin im Internet zu veröffentlichen, weshalb zukünftige Versicherungsfälle durch DSGVO-Bußgeldverfahren drohen könnten (Antrag Ziff. 2). Außerdem sei es vorstellbar, dass Dritte wegen eines Datenschutzverstoßes nach Art. 82 Abs. 2 DSGVO Schadensersatzansprüche gegen die Klägerin erheben würden.
Die Klägerin beantragt zuletzt:
1. Die Beklagte wird verurteilt, an die Klägerin 3.771.767,12 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 05.06.2020 zu bezahlen.
2. Es wird festgestellt, dass die Beklagte auch jeden weiteren Schaden bis zu einer Gesamthöhe von 1.228.232,88 € zu decken hat, der unter dem zwischen den Parteien bestehenden Versicherungsvertrag Nr. DE01.001.100390.100001.102830 und den geltenden Allgemeinen Versicherungsbedingungen „C Cyber Gewerbeversicherung AVB C Cyber Pro+“, Stand 26.07.2019, versichert ist und der auf den Cyber-Angriff gegen die Klägerin vom 29. Mai 2020 zurückzuführen ist.
Die Beklagte beantragt,
die Klage abzuweisen.
Die Beklagte trägt vor, die Klägerin habe die Risikofragen 3, 4 und 6 falsch beantwortet. Aus der Gesamtschau ergebe sich, dass die Klägerin hierbei vorsätzlich gehandelt habe. Auch sei aus der objektiv falschen Beantwortung von Risikofragen regelmäßig auf Vorsatz zu schließen.
Bei der Veranstaltung am 13.02.2020 habe es sich um eine reine Vertriebsveranstaltung gehandelt, bei welcher eine Standard-Präsentation zum Thema „Cyber-Versicherung“ vorgeführt worden sei. Ein inhaltlicher Austausch über die IT-Infrastruktur der Klägerin habe nicht stattgefunden, u.a. sei nicht über Anforderungen an eine Firewall gesprochen worden. Herr B. habe vertragsrelevante Erklärungen sonst immer schriftlich fixiert und der Beklagten weitergegeben; warum das diesmal anders gewesen sein solle, erschließe sich nicht. Angesichts der Tatsache, dass der Vertragsschluss erst zwei Monate später erfolgte sei, komme etwaigen mündlichen Angaben ohnehin keine Bedeutung zu. Die Risikoeinschätzung seitens der Beklagten erfolge erst später auf Grundlage der im Rahmen des Vertragsschlusses beantworteten Risikofragen. Gerade bei der Cyber-Versicherung komme dem Zeitfaktor eine besondere Rolle zu, da sich die Risiken in diesem Bereich - etwa in Bezug auf das Einspielen zwischenzeitlich bereitgestellter Sicherheitsupdates - rasch änderten.
Im Einzelnen listet die Beklagte folgende Defizite der IT-Infrastruktur der Klägerin explizit auf:
- Einsatz von Windows-Servern 2003: spätestens seit 2015 kein Support mehr von Microsoft
- Einsatz von Windows-Servern 2008 und 2008 R2:
- keine kostenlos verlängerten Sicherheitsupdates, da keine Migration der Workloads auf Azure
- kein Erwerb kostenpflichtiger Sicherheitsupdates
=> seit dem 14.01.2020 keine Sicherheitsupdates mehr verfügbar
- hierzu zähle u.a. der Exchange-Server
=> letztes erfolgreiches Patch am 09.12.2018, danach nur noch fehlgeschlagene Patches
- Support für den Server „[...] “ habe schon am 14.04.2009 geendet
- Firewall für das Betriebssystem Server 2008 sei deaktiviert gewesen
- allein auf vier der untersuchten (und überhaupt untersuchbaren, da forensisch gesicherten) Server sei weder „Windows Defender“ noch „Trend Micro Office Scan“ installiert gewesen;
dies betreffe die Server:
− [...
−
−
− ...].
Der Klägerin sei zwar zuzustimmen, dass der Cyber-Angriff vom 29./30.05.2020 möglicherweise auch dann geschehen wäre, wenn das IT-System der Klägerin aktuell gewesen wäre und nicht die beschriebenen Defizite aufgewiesen hätte. Die Defizite hätten sich aber auf den Umfang des eingetretenen Schadens ausgewirkt, da moderne Systeme insoweit deutlich widerstandsfähiger seien und das Ausmaß des Angriffs hätten beschränken können. Die Täter hätten bei ihrem Angriff das sog. Empire-Framework eingesetzt, wodurch gezielt bekannte Schwachstellen und Sicherheitslücken ausgenutzt würden, um weitere Teile der IT-Infrastruktur zu befallen und lahmzulegen.
Bei wahrheitsgemäßer Beantwortung der Risikofragen wäre der Versicherungsvertrag von der Beklagten nie abgeschlossen worden. In diesem Zusammenhang verweist die Beklagte auf eine interne Zeichnungsrichtlinie (Anlage BLD 9).
Hilfsweise beruft sich die Beklagte auf eine Gefahrerhöhung im Sinne von §§ 23 ff. VVG i.V.m. B3-2 AVB bzw. die grob fahrlässige Herbeiführung des Versicherungsfalls gem. § 81 Abs. 2 VVG infolge fehlender bzw. unzureichender Sicherheitsmaßnahmen der Klägerin zur Abwehr eines Cyber-Angriffs. Eine Gefahrerhöhung liege darin, dass die Klägerin nach Vertragsschluss (entgegen ihrem eigenen Vortrag zu Äußerungen am 13.02.2020) die Microsoft Windows Server 2003 nicht ausgetauscht habe und nach Vertragsschluss kostenpflichtige Sicherheitsupdates für die Windows Server 2008 nicht durchgeführt habe.
Des Weiteren bestreitet die Beklagte den geltend gemachten Schaden der Höhe nach. Insbesondere sei der Schaden infolge der Betriebsunterbrechung unzutreffend ermittelt worden. Die Beklagte trägt vor, der Klägerin sei kein bzw. allenfalls ein rein marginaler Betriebsunterbrechungsschaden entstanden. Der Unterbrechungsschaden sei anhand vollständiger monatlicher betriebswirtschaftlicher Auswertungen für alle Kontenklassen für die Jahre 2019 bis 2021 zu ermitteln. Der ersten Schadensberechnung der Klägerin nach Rohertrag je geleisteter Personenstunde ist die Beklagte daher entgegen getreten. Die zweite Schadensberechnung der Klägerin hält die Beklagte für unschlüssig. Die Klägerin habe keine Anknüpfungstatsachen substantiiert vorgetragen, die eine Schadenschätzung gemäß § 287 ZPO zuließen. Angebliche Förderprogramme zum energieeffizienten Bauen und Sanieren hat die Beklagte mit Nichtwissen bestritten. Während der Corona-Pandemie sei es im Allgemeinen zu Umsatzeinbrüchen gekommen. Insbesondere für das Geschäftsjahr 2020 lasse sich mit Blick auf die zu diesem Zeitpunkt starken Auswirkungen der Corona-Pandemie und der sich daraus ergebenden weltweiten und alle Branchen betreffenden Lieferengpässe kein Rückschluss auf einen signifikanten Leistungsrückgang gerade infolge eines Cyberangriffs ziehen. Was den von der Klägerin geltend gemachten Sachschaden an IT-Geräten, Daten und Software betreffe, sei keine Sachsubstanzschädigung eingetreten; die Geräte seien nach Neuaufsetzen uneingeschränkt wiederverwertbar. Es werde bestritten, dass die angeblich betroffenen Sachen im Eigentum der Klägerin gestanden hätten. Außerdem seien Mehrkosten durch Verbesserungen angefallen, die nach den AVB nicht zu erstatten seien.
Schließlich hält die Beklagte den Klageantrag Ziffer 2 für unzulässig: Es sei nicht nachvollziehbar, weshalb ein Jahr nach dem Cyber-Angriff keine abschließende Bezifferung möglich sei. Nach der Art des Angriffs habe sich dieser allein auf den Betrieb der Klägerin bezogen. Schadensersatzansprüche Dritter, für welche die Klägerin hafte, seien daher ausgeschlossen. Da in der Sachversicherung auch unzutreffende Angaben zur Schadenshöhe zur Verwirkung des Anspruchs führen könnten, könnten sich in einem späteren Höhenverfahren Einwände zum Anspruchsgrund ergeben und zu Widersprüchen zwischen Feststellungsurteil und späterem Urteil führen.
Mit nicht nachgelassenen Schriftsätzen vom 04.05.2023 und 17.02.2023 hat die Beklagte u.a. weiter zur Schadenshöhe vorgetragen und ein Parteigutachten zur Berechtigung der einzelnen von der Klägerin eingereichten Rechnungen (Anlage BLD 11) sowie zur Höhe des Betriebsunterbrechungsschadens (Anlage BLD 13) vorgelegt.
Wegen der weiteren Einzelheiten des Parteivorbringens wird auf die gewechselten Schriftsätze sowie auf die zu den Akten gereichten Unterlagen verwiesen.
III.
Das Gericht hat den Geschäftsführer der Klägerin informatorisch angehört und Beweis erhoben durch Vernehmung der Zeugen G., L., B., U., R., M., S. sowie Sa. Des Weiteren hat das Gericht ein schriftliches Sachverständigengutachten eingeholt, welches von Herrn Dr.-Ing. [...] mündlich erläutert worden ist.
Wegen des Ergebnisses der Beweisaufnahme wird Bezug genommen auf die Protokolle der mündlichen Verhandlungen vom 04.02.2022 (Bl. 214 ff. d.A. mit Berichtigungsvermerk Bl. 304 d.A.), vom 06.05.2022 (Bl. 214 ff. d.A.) und vom 28.04.2023 (Bl. 583 ff. d.A.) sowie auf das Sachverständigengutachten vom 30.01.2023 (Bl. 438 ff. d.A.).
Aus den Gründen
A.
Der Antrag Ziff. 2 erweist sich bereits als unzulässig (I.). Der zulässige Antrag Ziff. 1 hat nur im Umfang von 2.858.923,54 € Erfolg (II.).
I.
Dem Feststellungsantrag fehlt das erforderliche Feststellungsinteresse (§ 256 ZPO).
1.
Nach der Rechtsprechung des BGH hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts ab (BGH, Urt. v. 15.10.1992 – IX ZR 43/92 , MDR 1993, 693 = WM 1993, 251 [259 f.]; v. 24.1.2006 – XI ZR 384/03 – Rz. 27, BGHZ 166, 84 = MDR 2006, 940 m.w.N.; v. 20.3.2008 – IX ZR 104/05 – Rz. 8, MDR 2008, 799 = WM 2008, 1042). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH MDR 2014, 1341, 1342).
2.
Dies ist vorliegend zu verneinen. Die Schadensentwicklung bei der Klägerin selbst ist abgeschlossen. Diesen Schaden hat die Klägerin in Klageantrag Ziffer 1 beziffert. Der Feststellungsantrag betrifft nur potentielle Versicherungsfälle im Falle einer Verletzung der DSGVO bzw. den möglicherweise bei Dritten entstandenen Schaden, wenn die bei dem Cyber-Angriff erlangten Daten veröffentlicht werden, und die daraus folgende mögliche Inanspruchnahme der Klägerin durch diese Dritten. Dazu hat der Geschäftsführer der Klägerin im Zuge der letzten mündlichen Verhandlung mitgeteilt, dass bislang keine Kunden oder dritte Firmen mit entsprechenden Forderungen an die Klägerin herangetreten seien und auch sonst nicht bekannt geworden sei, dass Daten veröffentlicht bzw. im Internet auffindbar seien (Protokoll vom 28.04.2023, Bl. 584 d.A.). Nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge ist angesichts des langen Zeitablaufs jetzt auch nicht mehr mit einer derartigen Inanspruchnahme der Klägerin zu rechnen, so dass es an der hinreichenden Wahrscheinlichkeit eines Schadenseintritts fehlt.
II.
Die Klägerin kann von der Beklagten aus § 1 VVG i.V.m. A1-1, A1-4, A2-2, A4 ff. AVB Zahlung von 2.858.923,54 € zuzüglich Zinsen wie aus dem Tenor ersichtlich verlangen. Im Übrigen war die Klage abzuweisen.
1.
Zwischen den Parteien ist ein wirksamer Versicherungsvertrag über verschiedene Cyber-Deckungsbausteine zustande gekommen, der das Risiko einer Betriebsunterbrechung mit einschließt.
2.
Mit dem Cyber-Angriff vom 29./30.05.2020 ist der Versicherungsfall eingetreten, A1-4 AVB i.V.m. A1-1 AVB. Dies wird von der Beklagten nicht in Abrede gestellt.
3.
Die Beklagte ist weder wegen Verletzung einer vorvertraglichen Anzeigepflicht nach B3-1.2.1 Abs. 1 Satz 2 AVB (a) noch wegen Gefahrerhöhung nach B3-2.5 AVB leistungsfrei geworden (b).
a.
Zur Verletzung einer vorvertraglichen Anzeigepflicht
Es kann dahin stehen, ob die Klägerin die ihr gestellten Risikofragen vorsätzlich oder grob fahrlässig falsch beantwortet und insofern ihre vorvertragliche Anzeigepflicht nach B3-1.1 AVB verletzt hat. Jedenfalls hat die Klägerin gem. § 21 Abs. 2 S. 1 VVG nachgewiesen, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen ist (sog. Kausalitätsgegenbeweis), so dass die Beklagte nach B3-1.2.1 Abs. 4 Satz 1 AVB den Versicherungsschutz nicht versagen darf (dazu unter aa.). Eine arglistige Verletzung der Anzeigepflicht (B3-1.2.1 Abs. 4 Satz 2 AVB) liegt nicht vor (dazu unter bb.). Daher bedarf auch die von der Klägerin aufgeworfene Frage keiner abschließenden Entscheidung, ob es sich bei den im Tatbestand wiedergegebenen Risikofragen überhaupt um zulässige Fragen gehandelt hat.
aa. Kausalitätsgegenbeweis
Der Sachverständige Dr. [...] hat - für die Kammer nachvollziehbar und überzeugend - ausgeführt, dass zwar eine Vielzahl der von der Klägerin eingesetzten Server nicht über aktuelle Sicherheits-Updates verfügten und damit veraltet waren, sich dies aber weder auf den Eintritt des Versicherungsfalls noch auf das Ausmaß des hierdurch ausgelösten Schadens ausgewirkt hat. Der Sachverständige ist seit 20 Jahren selbständig beratend im IT-Bereich tätig und arbeitet gegenwärtig überwiegend für eine Bank (Protokoll vom 28.04.2023 Seite 19, Bl. 601 d.A.), weshalb er insbesondere für den Bereich der IT-Sicherheit über eine große Expertise verfügt. Die Einholung eines Obergutachtens nach § 412 Abs. 1 ZPO, wie von der Beklagten beantragt, war daher nicht veranlasst.
Nach dem Cyber-Angriff konnten die Daten von insgesamt 21 der von der Klägerin teils betriebsintern, teils extern bei dem IT-Dienstleister Bechtle eingesetzten Servern forensisch gesichert werden. Von diesen 21 Servern verfügten nach den Feststellungen des Sachverständigen lediglich 10 über die erforderlichen Sicherheits-Updates; dagegen waren 11 Server nicht auf dem aktuellen Stand (Gutachten S. 27, Bl. 464 d.A.). Der Cyber-Angriff verlief jedoch bei insgesamt 16 der 21 Server erfolgreich (Gutachten S. 22, Bl. 459 d.A.) und betraf Systeme mit allen Betriebssystemversionen, darunter auch die - aktuellen - Windows Server 2019 (Gutachten S. 24, Bl. 461 d.A.). Verschlüsselt wurden sogar die bei der Fa. B. AG ausgelagerten Server. Dies erklärt sich daraus, dass über die Phishing-Mail an den Nutzer „[...]“ letztendlich die Administratorrechte u.a. für die Domäne Paradigma erbeutet wurden (Gutachten S. 27, Bl. 464 d.A.). Diese Administratorrechte erlaubten den Angreifern - was insbesondere auch für das Ausmaß des eingetretenen Schadens maßgeblich ist -, mit dem System „alles [...] zu machen“ (Protokoll vom 28.04.2023 Seite 18, Bl. 600 d.A.). Den Angreifern war es dadurch ohne Weiteres möglich, vorhandene Schutzmaßnahmen wie etwa den Virenscanner und die Firewall zu deaktivieren (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Dies ergibt sich ebenso aus dem von Beklagtenseite vorgelegten Parteigutachten [...] vom 24.06.2020 (Anlage BLD 1), wonach bei der Analyse verschiedener Server festgestellt wurde, dass der Antivirenscanner Trend Micro Apex ONE NT, der Windows Defender und die Windows Firewall zu jeweils unterschiedlichen Zeitpunkten am 30.05.2023, also zeitlich nach dem Pass-the-Hash-Angriff, deaktiviert wurden (a.a.O. Seite 22, 42 und 51). Der auf dem betroffenen Notebook „[...]“ installierte Virenscanner Trend Micro OfficeScan hatte am 29.05.2020 noch einen Schadsoftwarebefall festgestellt, der sich jedoch augenscheinlich nicht bereinigen ließ (a.a.O. Seite 8).
Soweit die Beklagte nun erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 vorträgt, dass die Firewalls bereits zum Schadenzeitpunkt deaktiviert gewesen seien (dort Seite 4, Bl. 555 d.A.), und mit (ebenfalls nicht nachgelassenem) Schriftsatz vom 15.05.2023 (dort Seite 6, Bl. 610 d.A.) in Frage stellt, ob der Anti-Virus-Verwaltungsserver im Zeitpunkt des Angriffs aktiviert war, kann offenbleiben, ob dies zutrifft oder sogar in Widerspruch zu dem Gutachten der [...] vom 24.06.2020 (Anlage BLD 1) und damit zum eigenen bisherigen Vortrag der Beklagten steht; jedenfalls ist dieser Vortrag verspätet und aus diesem Grund prozessual unbeachtlich, § 296a Satz 1 ZPO.
Nach den Feststellungen des Sachverständigen Dr. [...], denen sich das Gericht nach eigener Überzeugungsbildung anschließt, wurde bei dem streitgegenständlichen Cyber-Angriff eine vorhandene Schwachstelle (sog. „Design-Schwäche“) von Windows ausgenutzt (Gutachten S. 33, Bl. 470 d.A.), die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kommt daher nachvollziehbar und überzeugend zu dem Ergebnis, dass auch ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens hätte beeinflussen können. Weder die Anzahl der betroffenen Server noch der Schaden wären verringert worden (Gutachten S. 27 und 33, Bl. 464 und 470 d.A.).
Soweit die Beklagte bezüglich des Schadensumfangs (sog. „lateral movement“) auf denkbare weitere Sicherheitsmaßnahmen seitens der Klägerin verweist, etwa eine Zwei-Faktoren-Authentifizierung oder ein Monitoring-System, so verkennt sie den Bezugspunkt der Regelung in B3-1.2.1 AVB. Diese Regelung knüpft (allein) an die Verletzung der vorvertraglichen Anzeigepflicht durch Falschbeantwortung der Risikofragen an (B3-1.1 AVB). Die von der Beklagten vermissten weiteren Sicherheitsmaßnahmen waren jedoch nicht Gegenstand der bei Antragstellung von der Klägerin zu beantwortenden Risikofragen. Dies gilt auch für die Risikofrage 5, deren Falschbeantwortung die Beklagte erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 gerügt hat. Die Risikofrage 5 ist derart weit formuliert, dass sie bereits zu bejahen ist, wenn lediglich grundlegende Regelungen wie etwa über die Nicht-Weitergabe von Login-Daten und -Passwörtern existieren und überwacht werden. Spezifische Sicherheitsmaßnahmen zur Abwehr von Pass-the-Hash- bzw. Verschlüsselungs-Angriffen sind hiervon nicht zwingend erfasst.
bb. keine Arglist
Von einer arglistigen Verletzung der Anzeigepflicht seitens der Klägerin bzw. der Maklerin konnte sich die Kammer nicht überzeugen.
(1) Die bewusste Falsch- oder Nichtbeantwortung von Fragen genügt für sich genommen nicht für Arglist. Vielmehr muss in subjektiver Hinsicht hinzukommen, dass der Versicherungsnehmer auf die Entschließung des Versicherers Einfluss nehmen will und sich daher bewusst ist, dass der Versicherer möglicherweise (bedingter Vorsatz genügt) seinen Antrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sage (BGH VersR 2007, 785 Rn. 8; 2011, 337 Rn. 19; OLG Koblenz VersR 2013, 1113, 1114; OLG Karlsruhe NJW 2014, 3733; OLG Hamm VersR 2018, 282, 283; 2020, 538, 539). Eine Vermögensschädigung braucht aber nicht geplant zu sein (RGZ 96, 345, 346; BGH VersR 1957, 351, 352; 2007, 785 Rn. 8; 2008, 809 Rn. 8; OGH VersR 1978, 954). Unkenntnis entlastet den Versicherungsnehmer nicht, wenn er im Bewusstsein seiner Unkenntnis „ins Blaue hinein“ Angaben macht (OLG Hamm VersR 1990, 765; OLG München VersR 2000, 711, 712; OLG Koblenz VersR 2004, 849, 851; KG VersR 2007, 381, 382; OLG Frankfurt/M. ZfS 2009, 269; OLG Saarbrücken VersR 2020, 91 (Ls.) = BeckRS 2019, 23766 Rn. 35; OLG Hamm VersR 2020, 538, 539). Dasselbe gilt, wenn er sich sehenden Auges der Kenntnis verschließt (BGH VersR 1993, 170, 171). Dass Arglist vorgelegen hat, muss der Versicherer darlegen und beweisen (BeckOK VVG/Spuhl, 18. Ed. 1.2.2023, VVG § 21 Rn. 55).
(2) Nach B3-1.1 Absatz 2 und 3 AVB kommt es sowohl auf die Kenntnis des Versicherungsnehmers selbst als auch auf die Kenntnis seines Vertreters an.
Die Klägerin hat sich beim Vertragsschluss durch den von ihr eingeschalteten Makler L. vertreten lassen, welcher die Antworten auf die Risikofragen in das Online-Portal der Beklagten eingegeben hat (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A., und Seite 7, Bl. 220 d.A.). Wie die einzelnen Fragen zu beantworten waren, hatte dem Makler der Zeuge G. vorgegeben, welcher die Risikofragen zuvor mit dem IT-Manager U. der Klägerin durchgesprochen hatte (Protokoll vom 04.02.2022 Seite 8, Bl. 221 d.A., Seite 17, Bl. 230 d.A., und Seite 34f, Bl. 247f d.A.).
(3) Nach dem Ergebnis der Beweisaufnahme lässt sich weder bei den verantwortlichen Mitarbeitern der Klägerin noch beim Zeugen L. eine vorsätzliche, erst recht keine arglistige Falschbeantwortung der Risikofragen - konkret der Fragen 3, 4 und 6 - feststellen.
Trotz des Einsatzes von zumindest 11 veralteten Servern (siehe oben) ist allenfalls die Frage 4 bei der Antragstellung im April 2020 falsch beantwortet worden. Der Klägerin ist zuzugeben, dass die Risikofrage 3 sich auf stationäre und mobile Arbeitsrechner und eben nicht auf Server bezieht. Die Risikofrage 6 ist derart weit formuliert, dass die Klägerin sie richtig beantwortet hat, denn dass überhaupt „Hard- und Software zum Schutz des Unternehmensnetzwerks“ eingesetzt wurde in Form eines Virenscanners sowie einer Firewall, stellt auch die Beklagte nicht in Abrede.
Auch bezüglich der Risikofrage 4 ist jedoch nicht von einer vorsätzlich und erst recht nicht von einer arglistig falschen Beantwortung auszugehen. Unabhängig von der rechtlichen Einordnung der Veranstaltung am 13.02.2020 und der genauen Rolle des Zeugen B. hat die Beweisaufnahme ergeben, dass für die Mitarbeiter der Klägerin durch diese Veranstaltung übereinstimmend der Eindruck entstanden ist, dass seitens der Beklagten keine hohen Anforderungen hinsichtlich der IT-Sicherheit gestellt werden. So haben mehrere Zeugen unabhängig voneinander die Äußerung des Zeugen B. bestätigt, dass hinsichtlich der Firewall „jede Fritzbox“ ausreichen würde. Diese Äußerung war sowohl dem Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.) als auch den Zeugen U. (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.) und M. (Protokoll vom 06.05.2022 Seite 11, Bl. 343 d.A.) im Gedächtnis. Der Zeuge B. konnte sich an Details nicht mehr erinnern, hat jedoch nicht ausgeschlossen, dass die Firewall Thema der Besprechung gewesen sei; eine Risikobewertung würde er jedoch generell nicht vornehmen (Protokoll vom 06.05.2022 Seite 24, Bl. 237 d.A.). Die Rückmeldung seitens des Zeugen B. scheint insofern jedoch auch nicht ausschlaggebend gewesen zu sein. Auffallend ist nämlich, dass sich die Zeugen teils gar nicht an die konkreten Antworten des Zeugen B. erinnern, dennoch aber den Eindruck gewonnen haben, die Anforderungen an die IT-Sicherheit seien nicht besonders hoch. Der Zeuge S. hat ausdrücklich angegeben, er habe sich gewundert, welche geringen Anforderungen gestellt würden (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.). Ähnlich habe sich seiner Erinnerung nach auch die Zeugin M. später im Lenkungskreis Digitalisierung geäußert (Protokoll vom 06.05.2022 Seite 16, Bl. 348 d.A.). Der Zeuge G. gab an, sie seien alle etwas verwundert darüber gewesen, dass die Anforderungen offenbar letztlich nicht viel höher seien als im privaten Bereich (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.). Maßgeblich für diesen kollektiven Eindruck erscheint vor allem die offenbar ausbleibende Reaktion von B. auf die Mitteilung des Zeugen U., dass die Klägerin auch ältere Server einsetze, die nicht mehr upgedatet werden könnten. Diese Mitteilung haben neben dem Zeugen U. selbst (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.) die Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.), M. (Protokoll vom 06.05.2022 Seite 10, Bl. 342 d.A.) und S. (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.) bestätigt. Der Zeuge B. selbst hat ausgesagt, sich generell nicht zu Anforderungen an die IT-Infrastruktur zu äußern (Protokoll vom 04.02.2022 Seite 23, 24 und 25, Bl. 236, 237 und 238 d.A.). Herr U. war sich nicht mehr sicher, ob der Zeuge B. ihm überhaupt auf diese Mitteilung geantwortet hatte, glaubte aber, er habe keine Antwort bekommen (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.). Entsprechend hat der Zeuge U. angegeben, die Risikofrage 4 trotz der vorhandenen veralteten Server bejaht zu haben, da er dem Zeugen B. ja in der Veranstaltung am 13.02.2020 über „unsere Situation mit den älteren Servern“ berichtet habe (Protokoll vom 04.02.2022 Seite 35, Bl. 248 d.A.). Unabhängig davon, welche rechtliche Bedeutung einer derartigen mündlichen Äußerung zukommt, so schließt die entsprechende Vorstellung doch Vorsatz und erst recht Arglist aus.
Dem Zeugen L. war nicht mehr erinnerlich, ob am 13.02.2020 seitens der Mitarbeiter der Klägerin die Rede davon war, dass ältere Server eingesetzt werden, die aus technischen Gründen nicht mehr upgedatet werden können (Protokoll vom 04.02.2022 Seite 16, Bl. 229 d.A.). Vor dem Vertragsschluss, so der Zeuge L. weiter, habe er sich zu keinem Zeitpunkt mit seinem Ansprechpartner bei der Klägerin, dem Zeugen G., zu diesem Thema ausgetauscht (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A.). Demnach handelte auch der Zeuge L. nicht erwiesenermaßen arglistig.
b. Gefahrerhöhung
Es kann offen bleiben, ob nach Vertragsschluss eine Gefahrerhöhung eingetreten ist, indem die Klägerin weitere Software-Updates nicht durchgeführt bzw. anders als in der Veranstaltung am 13.02.2020 angekündigt die veralteten Server (noch) nicht ausgetauscht hat. Da der Klägerin der Kausalitätsgegenbeweis gelingt (siehe oben), wäre die Beklagte selbst bei einer solchen Gefahrerhöhung nicht leistungsfrei; auch eine Kürzung des Anspruchs ist ausgeschlossen (§ 26 Abs. 3 Nr. 1 VVG i.V.m. B3-2.5.3 lit. a AVB).
4.
Der erstattungsfähige Schaden der Klägerin beläuft sich insgesamt auf 2.858.923,54 €.
a. Betriebsunterbrechungsschaden
Die Klägerin hat einen zu ersetzenden Betriebsunterbrechungsschaden in Höhe von 2.507.809 € erlitten. Eine Betriebsunterbrechung gem. Ziffer A4-1.1.1 ist fraglos eingetreten, weil bei der Klägerin infolge unbefugter Nutzung von IT-Systemen elektronische Daten und informationsverarbeitende Systeme nicht zur Verfügung standen bzw. nicht die übliche Leistung erbrachten, was zu einem Schaden der Klägerin geführt hat.
aa. Der Unterbrechungsschaden wird in Ziffer A4-1.1.2 AVB definiert und stellt sich danach letztlich als der Betriebsgewinn zuzüglich der trotz der Unterbrechung fortlaufenden Kosten dar. Unter Ziffer A4-1.3.6 lit. d enthalten die AVB Vorgaben zur Feststellung der Schadenshöhe; allerdings betreffen diese das dort geregelte Sachverständigenverfahren und sind außerhalb dieses Verfahrens nicht anwendbar.
Es sind daher - neben Ziffer A4-1.3.1 - die allgemeinen Grundsätze zur Schadensermittlung heranzuziehen. Nach der Rechtsprechung muss ein Geschädigter, der Schadensersatz in Form eines Betriebsunterbrechungsschadens geltend macht, wie bei der Geltendmachung des entgangenen Gewinns gemäß § 252 Satz 1 BGB alle konkreten Umstände darlegen und gegebenenfalls beweisen, aus denen sich die Erlöserwartung ergibt. Es ist somit darzulegen, welche konkreten betriebsbezogenen Erlöse nicht erwirtschaftet werden konnten und welche konkreten betriebsbezogenen Kosten erspart wurden (vgl. OLG Hamm RuS 2013, 440). Dabei genügt entsprechend § 252 Satz 2 BGB die bloße Wahrscheinlichkeit der Erwartung des Erlöses anstelle des positiven Nachweises, sofern die Vorkehrungen und Anstalten, aus denen die Erlöserwartung hergeleitet wird, in der geschilderten Weise dargetan werden. Erforderlich ist mithin die schlüssige Darlegung von Ausgangs- bzw. Anknüpfungstatsachen, die geeignet sind, dem Ermessen bei der Wahrscheinlichkeitsprüfung eine Grundlage zu geben und eine Schadensschätzung gemäß § 287 ZPO zu ermöglichen (vgl. zum entgangenen Gewinn BGH WM 1998, S. 1787; BGH WuM 1991, S. 545). Während der Versicherungsnehmer den Eintritt des Versicherungsfalles und die hierdurch verursachte Betriebsunterbrechung auf der Grundlage von § 286 ZPO darzulegen und zu beweisen hat, kommt ihm beim Kausalzusammenhang zwischen der Betriebsunterbrechung und dem eingetretenen Schaden die Beweiserleichterung des § 287 ZPO zugute (BGH VersR 2014,104).
bb. Vor diesem Hintergrund kann der Schadensberechnung der Klägerin, welche einen Rohertrag je geleisteter Personenstunde zugrunde legt und diesen mit den angeblich ausgefallenen Personenstunden multipliziert, nicht gefolgt werden. Denn die Annahme, dass das wegen der Betriebsunterbrechung nicht eingesetzte Personal den gleichen Rohertrag erwirtschaftet hätte wie das zum Einsatz gelangte Personal, ist nicht nachvollziehbar und nicht einmal für eine Schätzung nach § 287 ZPO geeignet.
cc. Die Schätzung hat anhand der von der Klägerin vorgelegten betriebswirtschaftlichen Auswertungen zu erfolgen, somit auf Grundlage der Anlagen K 13 (Jahresabschluss für 2019), K 14 (betriebswirtschaftliche Auswertung für 2020) und K 15 (betriebswirtschaftliche Auswertung für 2021). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 die Richtigkeit dieser betriebswirtschaftlichen Auswertungen bestreitet, ist dieser nach der letzten mündlichen Verhandlung am 28.04.2023 mit nicht nachgelassenem Schriftsatz erfolgte Vortrag verspätet und nach § 296a Satz 1 ZPO aus prozessualen Gründen unbeachtlich. Die Klägerin hat mit ebenfalls nicht nachgelassenem Schriftsatz vom 19.05.2023 die Jahresabschlüsse für 2020 (Anlage K21) und für 2021 (Anlage K 22) nachgereicht, welche ebenfalls nach § 296a Satz 1 ZPO unbeachtlich sind. Allerdings weichen die Kennzahlen in den Jahresabschlüssen ohnehin nur ganz geringfügig von den Werten in den betriebswirtschaftlichen Auswertungen ab.
dd. Der Schadensschätzung sind die Geschäftszahlen der Jahre 2020 (mit Betriebsunterbrechung) und 2021 (ohne Betriebsunterbrechung), nicht auch diejenigen des Jahres 2019 zugrunde zu legen.
Nach § 252 Satz 2 BGB gilt als entgangen der Gewinn, welcher nach dem gewöhnlichen Lauf der Dinge oder nach den besonderen Umständen, insbesondere nach den getroffenen Anstalten und Vorkehrungen, mit Wahrscheinlichkeit erwartet werden konnte.
Solche besonderen Umstände liegen vorliegend in Form des von der Bundesregierung im Oktober 2019 beschlossenen Klimaschutzprogramms 2030 vor, für das für klimaschutzrelevante Maßnahmen für den Zeitraum 2020 bis 2023 Mittel in Höhe von etwa 54 Milliarden Euro bereitgestellt wurden. Soweit die Beklagte die Existenz eines solchen Förderprogramms mit Nichtwissen bestritten hat, lässt sich die Behauptung der Klägerin durch eine einfache Internetrecherche verifizieren (https://www.bmwk.de/Redaktion/DE/Textsammlungen/Industrie/klimaschutz.html?cms_artId=9df37a6e-49dc-4c07-955d-f80ea3503730, zuletzt abgerufen am 23.05.2023). Die Tatsache ist daher allgemein bekannt; einer Beweiserhebung bedurfte es nicht.
Zusätzlich geht die Kammer davon aus, dass die Corona-Pandemie keinen „besonderen Umstand“ im Sinne des § 252 Satz 2 BGB darstellt. Bezüglich der gesamtwirtschaftlichen Entwicklung ist der Beklagten zuzustimmen, dass es im Jahr 2020 infolge der Auswirkungen der COVID-19-Pandemie allgemein zu Umsatzeinbrüchen kam. Dabei ist auch nicht auszuschließen, dass auch die Klägerin, welche u.a. in der Produktion von Heizungskomponenten tätig ist, betroffen war, insbesondere was Lieferengpässe betrifft. Solche Effekte bestanden aber für das Jahr 2020 ebenso wie für das Jahr 2021, da die Corona-Pandemie weiterhin andauerte. Indem eben die Jahre 2020 und 2021 miteinander verglichen werden, wirken sich mögliche Umsatzeinbrüche infolge der Pandemie rechnerisch nicht in relevanter Weise aus.
ee. Entgegen der Auffassung der Klägerin sind jedoch die Werte aller 12 Monate eines Jahres gleichermaßen heranzuziehen. Die Klägerin beruft sich auf zyklische Schwankungen der Geschäftsentwicklung im Jahresverlauf. Solche außergewöhnlichen Schwankungen lassen sich den vorgelegten betriebswirtschaftlichen Auswertungen jedoch nicht entnehmen. Soweit die Klägerin mit (nicht nachgelassenem) Schriftsatz vom 19.05.2023 als Anlagen K 23 und K 24 die betriebswirtschaftlichen Auswertungen für 2019 und 2022 vorlegt und ihren Vortrag zusätzlich auf diese Unterlagen stützt (Bl. 674f d.A.), ist dies verspätet und gemäß § 296a Satz 1 ZPO unbeachtlich.
ff. Bei der Berechnung des Deckungsbeitrags folgt die Kammer im Ansatz der - zweiten - Berechnungsweise der Klägerin, wobei vom erzielten jährlichen Gesamtumsatz als Kosten ein Teil des Materialaufwands abgezogen wird. Diese Berechnungsmethode erscheint der Kammer plausibel und entspricht im Übrigen der Definition des Betriebsunterbrechungsschadens in A4-1.1.2 AVB i.V.m. A469 des Glossars. Soweit die Klägerin meint, auf das so ermittelte Ergebnis sei zusätzlich ein prozentualer Aufschlag vorzunehmen (Schriftsatz vom 30.03.2022 Seite 18f, Bl. 279f d.A.), ist dies dagegen nicht nachvollziehbar.
Auf den weiteren Vortrag der Beklagten zum Betriebsunterbrechungsschaden in den Schriftsätzen vom 04.05.2023 und vom 17.05.2023, insbesondere das als Anlage BLD 13 vorgelegte Parteigutachten der [...] GmbH vom 16.05.2023, welches (erst) am 09.05.2023 in Auftrag gegeben worden ist, ist wegen § 296a Satz 1 ZPO nicht einzugehen. Soweit die Beklagte einwendet, die Berechnung der Klägerin sei aus betriebswirtschaftlicher Sicht falsch, da Bestandsveränderungen sehr wohl zu berücksichtigen seien, findet dies jedenfalls keinen Niederschlag in den Regelungen der AVB und ist für die Kammer daher nicht nachvollziehbar.
Der in den betriebswirtschaftlichen Auswertungen ausgewiesene Materialaufwand ist nicht nur zur Erwirtschaftung der Umsatzerlöse, sondern auch für die Erhöhung bzw. Verminderung des Bestandes an fertigen und unfertigen Produkten angefallen, welcher nach den AVB aber unberücksichtigt zu bleiben hat, da dort allein an den Umsatz angeknüpft wird. Der Anteil der auf die Bestandsveränderungen entfallenden Materialkosten ist daher herauszurechnen. Im Wege der Schätzung nach § 287 ZPO setzt die Kammer zunächst die Gesamtmaterialkosten ins Verhältnis zur Gesamtleistung der Klägerin, welche sich aus der Summe der Umsatzerlöse und der Bestandsveränderungen, ggf. auch der aktivierten Eigenleistungen ergibt, und geht sodann davon aus, dass der Anteil von Gesamtmaterialkosten zur Gesamtleistung dem Anteil der Materialkosten, die zur Erwirtschaftung allein der Umsatzerlöse erforderlich waren, zu den Umsatzerlösen entspricht.
Für 2020 ergibt sich gemäß Anlage K 14 danach folgende Berechnung:
Umsatzerlöse: 57.863.135 €
Anteil Gesamtmaterialkosten 26.967.378 € zur Gesamtleistung 58.041.198 € (= Umsatzerlöse 57.863.135 € + Bestandsveränderung (Lagerleistung) 162.130 € + aktivierte Eigenleistungen 15.930 €): 46,46%
somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 57.863.135 € x 46,46% = 26.883.212,52 €, gerundet: 26.883.213 €
somit Deckungsbeitrag für 2020: Umsatzerlöse 57.863.135 € - diesbezügliche Materialkosten 26.883.213 € = 30.979.922 €.
Für 2021 ergibt sich gemäß Anlage K 15 folgende Berechnung:
Umsatzerlöse: 70.837.492 €
Anteil Gesamtmaterialkosten 35.223.076 € zur Gesamtleistung 73.924.577 € (= Umsatzerlöse 70.837.492 € + Bestandsveränderung (Lagerleistung) 3.087.082 € + aktivierte Eigenleistungen 0 €): 47,65%
somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 70.837.492 € x 47,65% = 33.754.064,94 €, gerundet: 33.754.065 €
somit Deckungsbeitrag für 2021: Umsatzerlöse 70.837.492 € - diesbezügliche Materialkosten 33.754.065 € = 37.083.427 €.
Der erstattungsfähige Betriebsunterbrechungsschaden errechnet sich damit wie folgt:
|
Deckungsbeitrag pro Jahr |
Deckungsbeitrag pro Monat |
2020 |
30.979.922 € |
2.581.660 € |
2021 |
37.083.427 € |
3.090.286 € |
Einbuße pro Monat |
|
508.626 € |
Einbuße Juni 2020 bis |
|
2.543.130 € |
Oktober 2020 (5 Monate) |
||
abzüglich Sub-Selbstbehalt |
|
-35.321 € |
12 Stunden |
||
gemäß Police Seite 3 |
||
(2.543.130 € : 108 |
||
Arbeitstage Juni bis Okt. |
||
2020 = 23.547,50 €, bei |
||
achtstündigem Arbeitstag, |
||
12 Std daher 23.547,50 € x 1,5) |
||
Ergibt |
|
2.507.809 € |
Infolge des Cyberangriffs vom 29./30.05.2020 war der Betrieb der Klägerin von Juni 2020 bis Oktober 2020 unterbrochen (5 Monate) und somit für einen Zeitraum, der innerhalb der Haftzeit von 12 Monaten liegt. Soweit die Beklagte erstmals mit Schriftsatz vom 04.05.2023 mit Nichtwissen bestreitet, dass die Betriebsunterbrechung erst im Oktober 2020 endete (Bl. 570 d.A.), ist dies wegen Verspätung nach § 296a Satz 1 ZPO wiederum aus prozessualen Gründen unbeachtlich.
Bezüglich des Sub-Selbstbehalts von 12 Stunden (vgl. Seite 3 der Police, Anlage K 1) ist der im Unterbrechungszeitraum eingebüßte Betrag (2.543.130 €) durch die Anzahl der Arbeitstage im betreffenden Zeitraum zu teilen. Abzüglich Wochenenden und gesetzlicher Feiertage, die nicht auf das Wochenende fielen, gab es im Zeitraum Juni bis Oktober 2020 insgesamt 108 Arbeitstage. Wenn man von einem achtstündigen Arbeitstag ausgeht, ist der so ermittelte Betrag auf 12 Stunden hochzurechnen.
Insgesamt ergibt sich unter Berücksichtigung des Sub-Selbstbehalts ein zu erstattender Betriebsunterbrechungsschaden von 2.507.809 €.
b. Sachschaden an IT-Geräten, Daten und Software
Die Klägerin hat Anspruch auf Ersatz des geltend gemachten Sachschadens an IT-Geräten, Daten und Software (vgl. Tabelle auf Seite 11f der Klageschrift, Bl. 11f d.A., Anlagenkonvolut K 3) in Höhe von 322.040,58 €.
aa. Der Erstattungsanspruch folgt aus A4-2.1 AVB (bzgl. Daten) bzw. A4-3.1 AVB (bzgl. Sachen). Versicherungsschutz besteht danach für notwendige Aufwendungen zur Wiederherstellung der betroffenen Daten sowie für die Entfernung der Schadsoftware bzw. zur Reparatur, Wiederherstellung oder Wiederbeschaffung der versicherten Sachen.
bb. Es kann dahin stehen, ob die Regelungen in C2.3.3 AVB (bzgl. IT-Geräten), C2.4.3 AVB (bzgl. Maschinen und technischen Anlagen), C2.5.3 AVB (bzgl. Betriebseinrichtung), C3.3.3 und C3.4.3 (bzgl. Reparatur oder Austausch von mitversicherten Sachen als Folge aus der Beeinträchtigung, Beschädigung oder Unbrauchbarmachung von Software und Daten), wonach Voraussetzung eines Erstattungsanspruchs ist, dass die Leistungen durch die [...] GmbH beauftragt und gesteuert wurden, den Versicherungsnehmer entgegen den Geboten von Treu und Glauben unangemessen benachteiligen im Sinne des § 307 Abs. 1 Satz 1 BGB oder überraschend im Sinne des § 305c Abs. 1 BGB sind, wenn - wie hier - eine Regulierung durch den Versicherer abgelehnt wird. Denn die Klägerin hat unwidersprochen vorgetragen, dass die Maßnahmen von der [...] GmbH (mit-)initiiert und koordiniert wurden.
cc. Entgegen der Auffassung der Beklagten ist weder eine Sachsubstanzschädigung erforderlich, noch dass die beschädigten Sachen im Eigentum der Klägerin standen.
Der Begriff der Beschädigung wird in A460 des Glossars als jede Einwirkung auf eine Sache, die ihre stoffliche Zusammensetzung negativ verändert oder ihre bestimmungsgemäße Brauchbarkeit nicht nur geringfügig beeinträchtigt, definiert. Ausdrücklich ist dort bestimmt, dass eine Substanzverletzung nicht erforderlich ist.
Gemäß A4-3.2 Absatz 2 AVB werden geleaste oder gemietete IT-Geräte beziehungsweise Maschinen und technische Anlagen solchen Sachen gleichgestellt, die sich im Eigentum des Versicherungsnehmers befinden.
dd. Der Einwand der Beklagten, die geltend gemachten Aufwendungen seien teils nicht notwendig, da die Klägerin insoweit nicht nur den Zustand vor dem Cyber-Angriff wiederhergestellt, sondern darüber hinaus Verbesserungen vorgenommen habe, greift nicht durch.
Die diesbezügliche Darlegungs- und Beweislast liegt bei der Beklagten. Nach der Formulierung der Ziffer A4-2.4.2 Satz 2 AVB (“Der Versicherer leistet keine Entschädigung für: a. Mehrkosten (A231) durch Änderungen oder Verbesserungen, die über die Wiederherstellung hinausgehen“) handelt es sich um eine Ausnahme von Satz 1, welcher die grundsätzliche Erstattungspflicht des Versicherers statuiert (“Der Versicherer leistet Entschädigung in Höhe der notwendigen Aufwendungen ...“).
Dem Vortrag der Klägerin, soweit Verbesserungen erfolgt seien, seien diese technisch nicht vermeidbar gewesen, ist die Beklagte erst mit nicht nachgelassenen Schriftsätzen nach der letzten mündlichen Verhandlung entgegengetreten, welche nach § 296a Satz 1 ZPO unbeachtlich sind.
ee. Der Anspruch der Klägerin ist auch nicht auf den Zeitwert begrenzt. Zwar ist nach A4-3.5 Ziff. 1 lit. a AVB der Neuwertanteil nur geschuldet, wenn die Wiederbeschaffung der vom Schaden betroffenen, versicherten Sachen innerhalb von zwölf Monaten nach Eintritt des Versicherungsfalles erfolgt. Sämtliche von der Klägerin im Anlagenkonvolut K 3 vorgelegten Rechnungen wurden jedoch innerhalb eines Jahres ab dem Versicherungsfall (29./30.05.2020) gestellt, so dass die abgerechneten Leistungen ebenfalls innerhalb Jahresfrist erfolgt sind.
ff. Gemäß A4-3.5 Ziff. 1 lit. c AVB macht die Klägerin jeweils (nur) den Rechnungsbetrag ohne Umsatzsteuer geltend.
gg. Weiterer Vortrag der Beklagten, mit welchem einzelne Rechnungen/ Rechnungspositionen sowie die Bezahlung der vorgelegten Rechnungen bestritten und deren Prüffähigkeit gerügt wird, insbesondere auch die Vorlage der gutachterlichen Stellungnahmen zur Rechnungsprüfung gem. den Anlagen BLD 11 und BLD 12, ist nach der letzten mündlichen Verhandlung mit nicht nachgelassenen Schriftsätzen erfolgt und daher nach § 296a Satz 1 ZPO unbeachtlich.
hh. Insgesamt ist ein Betrag in Höhe von 322.540,58 € grundsätzlich erstattungsfähig. Hiervon ist allerdings gemäß Seite 3 der Police (Anlage K1) der vereinbarte Sub-Selbstbehalt von 500 € abzuziehen. Zu erstatten ist daher ein Schaden in Höhe von 322.040,58 €.
c. Schadensminderungsmaßnahmen
Die Klägerin kann gemäß §§ 83 Abs. 1 Satz 1, 82 Abs. 1 VVG Ersatz in Höhe von 29.073,96 € für diejenigen Aufwendungen verlangen, welche sie unter Anleitung der [...] GmbH getätigt hat, um die Betriebsunterbrechung so rasch wie möglich zu beenden (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A., Rechnungen in Anlage K 5). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 (dort Seite 20, Bl. 571 d.A.) mit Nichtwissen bestritten hat, dass die aufgeführten Arbeiten zur Schadenminimierung objektiv erforderlich waren und die Kosten angemessen und ortsüblich sind, ist dieser Vortrag einerseits verspätet gemäß § 296a Satz 1 ZPO und anderseits prozessual unzulässig, da diese Aufwendungen gemäß den Schadenmanagementklauseln der AVB (siehe oben unter b. bb.) unter Mitwirkung der [...] GmbH erfolgt sind. Die Tätigkeit der [...] GmbH ist der Beklagten zuzurechnen, so dass ein Bestreiten mit Nichtwissen gemäß § 138 Abs. 4 ZPO ausscheidet.
d. Kosten der Schadensfeststellung
Dagegen hat die Klägerin keinen Anspruch auf Erstattung der geltend gemachten Kosten der Schadensfeststellung (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A.).
Es fehlt hierzu an hinreichendem Vortrag bzw. an einem Beweisantritt seitens der darlegungs- und beweisbelasteten Klägerin. Die Klägerin trägt vor, ihr Geschäftsführer sowie zwei Mitarbeiter aus dem Bereich Controlling seien mehrere Tage im Einsatz gewesen, um den Schaden festzustellen, und verweist auf eine Tabelle der ausgefallenen Personentage (Anlage K4), welche die Klägerin bereits der (ersten) Berechnung des Betriebsunterbrechungsschadens zugrunde gelegt hat. Die Beklagte hat diesen Vortrag als unsubstantiiert zurückgewiesen und die Anzahl der Mitarbeiter und der Ausfalltage bestritten, insbesondere dass diesbezüglich auch noch ein Jahr nach dem Schadensfall Personentage angefallen sein sollen. Weiterer Vortrag der Klägerin ist nicht erfolgt. Im Übrigen ist darauf hinzuweisen, dass ausgefallene Personentage bereits in die Ermittlung des Unterbrechungsschadens eingeflossen sind. Dass dem Geschäftsführer oder den Mitarbeitern der Klägerin schadensbedingt über das normale Gehalt hinaus eine zusätzliche Vergütung bezahlt worden wäre, wird von der Klägerin nicht behauptet.
e. Kosten für Gutachten der [...] GmbH
Schließlich hat die Klägerin keinen Anspruch auf Erstattung der Kosten des vorgerichtlich eingeholten Gutachtens der [...] GmbH (vgl. Rechnungen Anlage K 6). Es fehlt an einer Anspruchsgrundlage.
Zwar ist gemäß Seite 2 der Police (Anlage K1) der Baustein „Kosten eigener Sachverständiger“ mitversichert. Nach C5.1.1 AVB betrifft dies allerdings nur die im Rahmen des Sachverständigenverfahrens gemäß AVB anfallenden Gutachterkosten. Es bleibt daher bei der allgemeinen Regelung des § 85 Abs. 2 VVG. Danach hat der Versicherer Kosten, die dem Versicherungsnehmer durch die Zuziehung eines Sachverständigen entstehen, nicht zu erstatten, es sei denn, der Versicherungsnehmer ist zu der Zuziehung vertraglich verpflichtet oder vom Versicherer aufgefordert worden. Da die genannten Ausnahmen nicht vorliegen, bleibt es bei dem Grundsatz, dass diese Kosten nicht erstattungsfähig sind.
f. allgemeiner Selbstbehalt
Ein weiterer Selbstbehalt ist nicht abzuziehen. Zwar ist gemäß Seite 2 der Police (Anlage K1) ein allgemeiner Selbstbehalt (sog. Policen-Selbstbehalt) von 25.000 € vereinbart. Aus A1-15.2 AVB ergibt sich jedoch, dass es sich dabei um einen Mindest-Selbstbehalt handelt. Die bisherigen zu berücksichtigenden Sub-Selbstbehalte addieren sich auf 35.821 € (= Betriebsunterbrechung 35.321 € + Sachschaden 500 €), so dass der allgemeine Selbstbehalt aufgrund dieser speziellen Selbstbehalte bereits abgegolten ist.
5.
Der Anspruch der Klägerin ist nicht wegen grob fahrlässiger Herbeiführung des Versicherungsfalls zu kürzen.
Nach § 81 Abs. 2 VVG, auf welchen sich die Beklagte berufen hat, ist der Versicherer berechtigt, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen, wenn der Versicherungsnehmer den Versicherungsfall grob fahrlässig herbeigeführt hat.
a. Der gerichtliche Sachverständige hat mehrere denkbare Maßnahmen aufgeführt, durch welche der Cyber-Angriff verhindert oder zumindest erschwert worden wäre. Hier sind insbesondere die Zwei-Faktoren-Authentifizierung und das sog. Monitoring zu nennen. Bei der Zwei-Faktoren-Authentifizierung ist neben dem Passwort eine weitere Komponente für die Anmeldung beim Netzwerk erforderlich. Diese weitere Komponente wird etwa über einen USB-Stick oder aber über eine App für das Handy bereitgestellt (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Das Monitoring schlägt Alarm, wenn Unregelmäßigkeiten auftreten, also etwa alle Server zeitgleich angegriffen werden, indem ein Mitarbeiter der Firma verständigt wird, etwa per SMS über das Handy. Dieser Mitarbeiter ist dann verpflichtet, sich beim System anzumelden und Überprüfungen vorzunehmen. Sollte dabei ein Angriff entdeckt werden, können, falls notwendig, alle Server vom Netz genommen werden, um Schlimmeres zu verhindern (Protokoll vom 28.04.2023 Seite 5, Bl. 587 d.A.).
b. Die Norm des § 81 Abs. 2 VVG ist vorliegend jedoch bereits nicht anwendbar, weshalb eine Kürzung ausscheidet.
Der Anwendungsbereich des § 81 Abs. 2 VVG ist dann nicht eröffnet, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; ähnlich BGH NJW 1965, 156, 157). So liegt der Fall hier. Bei der Klägerin hat sich die Risikolage bis zum 29./30.05.2020 gegenüber dem Zustand bei Vertragsschluss im April 2020 nicht geändert. Denn bereits damals verfügte die Klägerin weder über eine Zwei-Faktoren-Authentifizierung noch über ein Monitoring oder eine andere vergleichbare Maßnahme zur Vermeidung von Cyber-Angriffen. Die Beklagte hätte es selbst in der Hand gehabt, die Existenz solcher zusätzlichen Sicherheitsmaßnahmen durch passende Risikofragen abzuklären. Indem die Beklagte hierauf verzichtete, hat sie die Klägerin als Versicherungsnehmerin mit der bestehenden Risikolage akzeptiert und kann von Beginn an bestehende Risiken nicht über § 81 Abs. 2 VVG (ganz oder teilweise) der Versicherungsnehmerin aufbürden. Zu einer Abänderung, insbesondere Verbesserung der bei Vertragsschluss bestehenden Risikolage ist der Versicherungsnehmer nämlich nicht verpflichtet (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.). Diese Überlegungen gelten auch nach der VVG-Reform fort und finden daher auf § 81 VVG ebenso Anwendung wie auf § 61 VVG a.F. (vgl. zum neuen Recht: BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; anders wohl Langheid/Wandt/Looschelders, 3. Aufl. 2022, VVG § 81 Rn. 26).
6.
Der Anspruch ist nach §§ 286 Abs. 1, Abs. 2 Nr. 3, 288 Abs. 1 BGB ab dem 05.06.2020 mit dem gesetzlichen Zinssatz zu verzinsen. Die Beklagte hat mit dem Rücktrittsschreiben vom 04.06.2020 (Anlage K 7) die Leistung aus dem Versicherungsvertrag ernsthaft und endgültig verweigert und befindet sich daher ab dem Folgetag im Verzug (BGH, 27.09.1989 – IVa ZR 156/88, VersR 1990, 153; Armbrüster, in Prölss/Martin, Versicherungsvertragsgesetz, 31. Auflage 2021, § 14 Rn. 29 m.w.N.).
B.
Die Kostenentscheidung beruht auf § 92 Abs. 1 Satz 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf § 709 ZPO.
Bei der Festsetzung des Streitwerts wurde beim Feststellungsantrag (Klageantrag Ziffer 2) aufgrund der recht fernliegenden Wahrscheinlichkeit eines Schadenseintritts ein Abschlag von 70% vorgenommen (Leistungsantrag 3.771.767,12 € + Feststellungsantrag 30% x 1.228.232,88 € = 4.140.236,98 €).