CK • Washington.   Eine Fünfpersonenbank wurde trotz Sicherheits­vor­keh­run­gen ein Trojaneropfer. Nachts erfolgten zwei Über­weisungen vom Bankrech­ner nach Polen, von denen die Zentralbank eine aufhalten konnte. Wegen der zwei­ten wandte sie sich an ihren Versicherer, der Deckungsschutz für den Hackeran­griff als unversichertes Risiko verweigerte. In State Bank of Bellingham v. Banc­In­su­re Inc. erfährt der Leser mehr über die Police und Haftungs­aus­schlüs­se für IT-Risiken.

Das Bundesberufungsgericht des achten Bezirks der USA in St. Louis prüfte die Klage wegen Vertragsverletzung und die Widerklage auf Feststellung des Haf­tungs­ausschlusses, der fehlenden Mitwirkung und der böswilligen Meldung beim Versicherungsaufsichtsamt im Wirtschaftsministerium von Minnesota. Die Revision bestätigte am 20. Mai 2016 die Forderung der Bank und wies die An­sprüche der Versicherung ab.

Die Entscheidungsbegründung setzt sich detailliert mit dem Konzept der paral­lelen Kausalität auseinander, die vertraglich, doch hier nicht wirksam, abbe­dun­gen werden kann. Selbst wenn eine gut gesicherte Rechneranlage der Aus­gangs­punkt der Überweisungen war und unter den Ausschluss von IT-Risiken fiel, zumal eine Angestellte einen Dongle über Nacht im Rechner vergaß, war der vorrangige, direkte Grund für den Ein­tritt der Versicherungsfalls die Straf­tat eines Hackers, die nicht vorhersehbare Folgen auslöste:

Even if the employees' negligent actions "played an essential role" in the loss and those actions created a risk of intrusion into Bel­ling­ham's computer system by a malicious and larcenous virus, the in­trusion and the ensuing loss of bank funds was not "certain" or "in­evi­table." The "overriding cause" of the loss Bellingham suffered re­mains the criminal activity of a third party. AaO 10.