Cyber-Versicherung zur Zahlung verurteilt

Cyber-Versicherung vor dem Landgericht Tübingen zur Zahlung verurteilt: Nach dem Urteil besteht der Leistungsanspruch des Kunden auch dann, wenn nicht alle Server mit aktuellen Sicherheitsupdates ausgestattet waren. In diesem Fall war es zu einer Übernahme zahlreicher Server unter Ausnutzung einer bekannten Windows-Schwachstelle gekommen. Damit ist gerichtlich festgestellt, dass Windows standardmäßig eine „Design-Schwäche“ und der aktuelle Patchstand keine sicherheitsrelevante Bedeutung hat.

Der gerichtlich bestellte Sachverständige hat nach Ansicht der Richter überzeugend dargelegt, dass zwar eine Vielzahl der eingesetzten Server nicht über aktuelle Sicherheitsupdates verfügte und diese damit nicht auf aktuellem Stand der Technik waren. Dies hatte aber weder Einfluss auf den Eintritt des Versicherungsfalles noch auf das Ausmaß des dadurch ausgelösten Schadens. Von 21 Servern verfügten nach den Feststellungen des Sachverständigen nur 10 über die erforderlichen Sicherheitsupdates. Bei 11 Servern hatte man es folglich versäumt, die Software-Updates einzuspielen. Das Unternehmen habe somit fahrlässig gehandelt, argumentiert die Cyber-Versicherung.

Das Gericht verneint die Kausalität zwischen Sicherheitsupdates und dem erfolgreichen Angriff.

Der schlechte Administrationszustand der IT lag bereits bei Antragstellung vor, somit wurde der Versicherer auch nicht arglistig über die Gefahrenlage getäuscht. Im Rechenzentrum befanden sich auch ältere Systeme wie Windows Server 2003, die aus technischen Gründen keine Updates mehr erhielten. Grobe Fahrlässigkeit im Sinne des § 81 Abs. 2 VVG und eine Kürzung der Leistung waren damit ausgeschlossen.

Die Argumentation des Gutachters ist angesichts der Angriffsmethode schwer nachvollziehbar. Die Windows-Schwachstelle wurde mittels „Pass-the-Hash“ ausgenutzt. Systeme mit passwortbasierten Authentisierungsverfahren speichern in der Regel nicht das lesbare Passwort, sondern einen Hashwert, der über eine Einwegfunktion aus dem Passwort berechnet wird. Dieser kann über eine Netzwerkverbindung mitgelesen werden, da Server keine isolierten Einzelrechner sind, sondern in einer Vertrauensbeziehung stehen, bei Windows in der Regel Active Directory. Sie teilen sich zwischen den Systemen gemeinsame Konten mit demselben Passwort.

Wenn ein Angreifer in einen ungepatchten Server eindringen kann und die gepatchten Server in einem Vertrauensverhältnis zu diesem stehen, dann ist der Patchstand des einzelnen Servers entscheidend. Denn „Pass the Hash“ funktioniert nur, wenn man bereits im Netz ist und benachbarte Server angreift. Wären alle Rechner korrekt gepatcht, wäre der Angreifer gar nicht in der Lage, „Pass the Hash“ anzuwenden.

Das Gericht wollte jedoch keinen vollständigen Freibrief erteilen und hat dem VN ein Drittel des Gesamtschadens von rund 4 Mio. Euro auferlegt. Dem Versicherer ist zu raten, die Antragsfragen zu überarbeiten und zusätzliche Sicherheitsmaßnahmen wie eine Zwei-Faktor-Autorisierung zu verlangen. Auch die Kompetenz des beteiligten Vermittlers lässt Fragen offen. So antwortete dieser auf die Frage des Kunden, ob es besondere Anforderungen an die Firewall gäbe: „Da tue es jede Fritzbox“.

Urteil (AZ 4 O 193/21) der 4. Zivilkammer am Landgericht Tübingen.