III. Die gefährlichsten Obliegenheiten in der Praxis
1. Vorvertragliche Anzeigepflichten: Die Zeitbombe beim Vertragsschluss
Versicherer stellen im Rahmen des Antrags detaillierte Risikofragen zu IT-Sicherheitsmaßnahmen, bspw.:
- Einsatz von Endpoint Detection & Response (EDR)-Systemen.
- Stand der Patch- und Update-Zyklen.
- Vorhandensein und Aktualität von Backups (insb. Offline-Backups).
- Implementierung von Multi-Faktor-Authentifizierung (MFA).
- Segmentierung des Netzwerks.
- Vorhandensein eines Incident-Response-Plans.
Das Problem: Viele Unternehmen beantworten diese Fragen unvollständig, zu optimistisch oder ohne hinreichende interne Überprüfung. Im Schadensfall stellt der Versicherer dann fest, dass die tatsächliche IT-Sicherheitslage von den Angaben abweicht.
Die Folge: Rücktritt vom Vertrag oder Anfechtung durch die Versicherung wegen arglistiger Täuschung (§ 22 VVG i.V.m. § 123 Abs. 1 BGB).
Praxistipp: Sie können vor Antragstellung eine unabhängige IT-Sicherheitsprüfung beauftragen. Antworten auf Risikofragen sollten stets auf Grundlage dokumentierter, tatsächlich implementierter Maßnahmen gegeben werden, niemals auf Basis bloßer Planungen oder Absichten.
2. Laufende IT-Sicherheitsobliegenheiten: Der Standard muss gehalten werden
Die meisten Cyber-AVB verpflichten den Versicherungsnehmer, während der gesamten Vertragsdauer einen bestimmten IT-Sicherheitsstandard aufrechtzuerhalten. Typische Klauseln lauten:
- „Zeitnahe Einspielung sicherheitsrelevanter Updates und Patches.“
- „Einsatz aktueller und lizenzierter Antiviren- und Firewall-Software.“
- „Regelmäßige Datensicherungen (Backup-Obliegenheit).“
- „Einhaltung branchen- oder zertifizierungsrelevanter Standards (ISO 27001, BSI IT-Grundschutz).“
Das Problem: Unternehmen entwickeln sich weiter, Personal wechselt, Systeme wachsen unkontrolliert – und plötzlich läuft ein kritischer Server seit Monaten ohne Patches. Wird genau dieser Server zum Einfallstor, verweigert der Versicherer die Leistung wegen Obliegenheitsverletzung.
Ein ungepatchter Exchange-Server führte in zahlreichen deutschen Unternehmen nach der ProxyLogon-Schwachstelle (2021) nicht nur zu Sicherheitsvorfällen, sondern auch zu Deckungsproblemen mit dem Versicherer. (mehr dazu bspw unter: https://www.lfd.niedersachsen.de/startseite/themen/technik_und_organisation/orientierungshilfen_und_handlungsempfehlungen/hinweise_fur_verantwortliche_zur_proxylogon_sicherheitslucke_auf_microsoft_exchange_servern/)
Die Lösung: Implementieren Sie ein dokumentiertes Patch-Management-System. Fertigen Sie schriftliche Protokolle über durchgeführte Updates, Schwachstellen-Scans und Ausnahmen (mit Begründung und Risikobewertung) an. . Diese Dokumentation ist Ihr Beweis im Streitfall.
3. Die Anzeige- und Meldeobliegenheit: Schnelligkeit ist Pflicht
Nach Eintritt eines Versicherungsfalls sind Versicherungsnehmer regelmäßig verpflichtet, den Schaden unverzüglich (teils binnen 24 bis max. 72 Stunden) anzuzeigen. Diese Fristen sind kurz und werden in der Praxis häufig überschritten, weil:
- Sicherheitsvorfälle zunächst intern untersucht werden.
- Reputationsbedenken eine sofortige Meldung hemmen.
- Zuständigkeiten intern unklar sind.
Daneben existieren Auskunfts- und Mitwirkungsobliegenheiten. Der Versicherungsnehmer muss dem Versicherer alle erforderlichen Informationen erteilen und Zugang zu betroffenen Systemen gewähren.
Auch hier gibt es eine einfache Lösung. Definieren Sie in Ihrem Incident-Response-Plan explizit den Meldeprozess gegenüber dem Versicherer. Benennen Sie eine verantwortliche Person (z.B. CISO oder CFO), die im Schadensfall unmittelbar handelt. Dokumentieren Sie Datum und Uhrzeit jeder Meldung.
4. Das Gebot der Schadensminderung: Eigenmächtiges Handeln kann teuer werden
Gemäß § 82 Abs. 1 VVG ist der Versicherungsnehmer verpflichtet, bei Eintritt des Versicherungsfalls nach Möglichkeit für die Abwendung und Minderung des Schadens zu sorgen. In der Cyber-Praxis bedeutet dies konkret:
- Befallene Systeme sind zu isolieren und abzuschalten.
- Forensische Beweise dürfen nicht vorschnell vernichtet werden.
- Lösegeldzahlungen bedürfen häufig der vorherigen Zustimmung des Versicherers. Eine Bewertung der Zweckmäßigkeit einer solchen Zahlung bleibt an dieser Stelle ausdrücklich vorbehalten.
Viele Versicherer sehen in ihren AVB vor, dass der Versicherungsnehmer ohne vorherige Genehmigung des Versicherers keine Zahlungen an Angreifer leisten darf. Wer aus Not oder Unwissenheit Lösegeld überweist, ohne den Versicherer einzubinden, riskiert den vollständigen Leistungsverlust für diesen Schadensposten.
Praxistipp: Kontaktieren Sie im Schadensfall unmittelbar die Notfallhotline Ihres Versicherers – noch bevor Lösegeldforderungen bewertet oder beauftragte IT-Forensiker tätig werden. Viele Versicherungsverträge sehen eigene, vom Versicherer koordinierte Dienstleister vor, deren Beauftragung Voraussetzung der Deckung ist.
5. Genehmigungspflichtige Drittbeauftragungen: Vorsicht bei der Auswahl externer Helfer
Ein oft übersehener Fallstrick: Viele Cyber-Policen enthalten Klauseln, wonach die Beauftragung externer IT-Forensiker, Rechtsanwälte oder PR-Berater der vorherigen Zustimmung des Versicherers bedarf. Wird ein externer Dienstleister eigenmächtig mandatiert, können die entstehenden Kosten vom Versicherungsschutz ausgenommen sein.
Meint: Prüfen Sie bereits vor dem Schadensfall, bestenfalls beim Abschluss der Versicherung, welche Dienstleister Ihr Versicherer akzeptiert oder selbst stellt. Halten Sie deren Kontaktdaten griffbereit. Holen Sie im Zweifel schriftliche Genehmigungen ein. Eine E-Mail das Versicherers reicht als Nachweis aus.
