Die Kl. macht gegen die Bekl. Ansprüche aus einer Cyber-Versicherung geltend.
Die Kl. betreibt in Norddeutschland an 16 Standorten einen Holzgroßhandel mit der Möglichkeit einer Online-Bestellung für ihre ausschließlich gewerblichen Kunden. Mit Wirkung ab 12.3.2020 schloss die Kl. eine Cyber-Versicherung bei der Bekl. ab. Die Angaben des auf Seiten der Kl. tätigen Mitarbeiters der Maklerin erfolgten in Zusammenarbeit und nach Rücksprache mit dem Zeugen, der die IT-Abteilung der Kl. leitet.
Zwischen den Parteien gilt eine Sondervereinbarung, in der es heißt:
“Der VR erkennt an, dass ihm bei Abschluss des Versicherungsvertrages alle Gefahrumstände, die für seinen Entschluss, den Vertrag mit dem vereinbarten Inhalt zu schließen, erheblich waren, bekannt geworden sind. Dieses Anerkenntnis gilt jedoch nicht für Gefahrumstände, die durch den VN arglistig verschwiegen wurden.
Der Vertragsschluss erfolgte elektronisch über ein Onlineportal, bei dem in einem als "invitatio" bezeichnenden Formular für den Vertragsschluss einzelne Felder am Bildschirm ausgefüllt und bestätigt werden müssen. Unter dem Schritt 5 werden Risikofragen gestellt, die der für die Kl. tätige Makler wie folgt beantwortete:
“A 5.4 Risikofragen
3. Alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet: Ja
4. Verfügbare Sicherheitsupdates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme): Ja
Im Unternehmen der Kl. wurde zum Betrieb ihres Webshops ein Web SQL-Server mit dem Windows-Betriebssystem 2008 eingesetzt, für den seit Januar 2020 kein Software- und Sicherheitsupdate mehr bereitgestellt wurde. Der Support und damit die Zusatzfunktionen für dieses Programm endeten bereits 2015. Einen vom Hersteller angebotenen erweiterten Support- und Updatevertrag hatte die Kl. für diesen Rechner nicht abgeschlossen. Jedenfalls zum Zeitpunkt des Schadensfalls bestand über diesen Server eine Zugriffsmöglichkeit auf das IT-System der Kl., ohne durch eine Firewall zusätzlich geschützt zu sein. Der Web SQL-Server verfügte auch nicht über einen Virenscanner oder eine Antiviren-Software. Außerdem wurden neben einem Fax-Server mit Windows 2003 Betriebssystem zwei weitere Rechner mit dem Betriebssystem Windows 2003 als Speicherplatz im Unternehmen der Kl. eingesetzt, auf die Arbeitsplatzrechner im Betrieb der Kl. zugreifen konnten. Diese drei Windows 2003 Server verfügten ebenfalls nicht über einen Virenscanner. Einer der beiden im Unternehmen eingesetzten Domain-Controller befand sich im Auslieferungszustand von März 2019, das heißt seit diesem Zeitraum waren keine Aktualisierung oder Sicherheitsupdates an diesem durchgeführt worden. Auf einem der rund 399 im Betrieb der Kl. eingesetzten Rechner war das SMB1 Protokoll aktiv, bei dem seit 2017 Schwachstellen bekannt waren und dessen Deaktivierung auf allen Systemen empfohlen worden war. Der Domain-Controller diente als Bereichssteuerung der zentralen Authentifizierung von Computern und Benutzern des gesamten Rechnernetzes der Kl. Im Netz der Kl. existierte eine hohe Anzahl von Benutzerkonten mit administrativer Zugangsberechtigung.
Seit mindestens dem 18.9.2020 hatte ein externer Angreifer Zugriff auf das IT-System der Kl.
Es wurde festgestellt, dass durch die eingeschleuste Schadsoftware DoublePulsar und Eternal Group in das IT-System die Rechnerkapazität der Kl. für Bitcoin Mining benutzt worden. Auf dem SQL-Server sei das Vorliegen von Schadsoftware bestätigt worden.