Sie haben eine Cyberversicherung abgeschlossen und wurden Opfer eines Angriffs. Jetzt stellen Sie fest: Die Versicherung kürzt die Leistung oder verweigert sie ganz. Die Begründung lautet häufig: Obliegenheitsverletzung. Der Versicherer behauptet, Ihr Unternehmen habe die im Vertrag vereinbarten Sicherheitsanforderungen nicht eingehalten. In dieser Situation kann ein unabhängiger IT-Sachverständiger den entscheidenden Unterschied machen.
Was Obliegenheiten sind – und warum sie zum Problem werden
Obliegenheiten sind vertragliche Pflichten des Versicherungsnehmers, die Voraussetzung für den vollen Versicherungsschutz sind. Bei Cyberversicherungen betreffen sie die IT-Sicherheit des versicherten Unternehmens. Der Gedanke dahinter ist nachvollziehbar: Die Versicherung deckt das Restrisiko, aber das Unternehmen muss einen angemessenen Grundschutz gewährleisten.
In der Praxis werden Obliegenheiten auf drei Wegen definiert. Erstens über die Risikofragen vor Vertragsabschluss: Der Versicherer fragt konkret ab, ob bestimmte Sicherheitsmaßnahmen implementiert sind. Die Antworten des Unternehmens werden Vertragsgrundlage. Wer hier falsche Angaben macht, riskiert die Anfechtung des gesamten Vertrags. Zweitens über die Allgemeinen Versicherungsbedingungen (AVB): Diese enthalten laufende Pflichten, etwa regelmäßige Datensicherungen oder zeitnahe Installation von Sicherheitsupdates. Drittens über Auflagen: Wenn die IT-Sicherheit des Unternehmens bei Vertragsabschluss nicht den Anforderungen des Versicherers entspricht, wird der Vertrag unter der Auflage geschlossen, bestimmte Maßnahmen innerhalb einer Frist umzusetzen.
Das Problem: Viele Unternehmen schließen eine Cyberversicherung ab, ohne die konkreten Obliegenheiten im Detail zu prüfen. Der Versicherungsantrag wird vom Geschäftsführer ausgefüllt, die Risikofragen werden nach bestem Wissen beantwortet, aber niemand gleicht die Antworten systematisch gegen den tatsächlichen Stand der IT-Sicherheit ab. Wenn dann der Schadensfall eintritt, prüft der Versicherer genau das, was bei Vertragsabschluss nicht geprüft wurde.
Die fünf häufigsten Obliegenheiten – und wo es in der Praxis hakt
In meiner Erfahrung als IT-Sachverständiger drehen sich die meisten Streitigkeiten um fünf wiederkehrende Obliegenheitsbereiche.
Backup-Obliegenheit. Nahezu jede Cyberversicherung verlangt regelmäßige Datensicherungen. Die Formulierungen variieren: manche Policen fordern tägliche Backups, manche wöchentliche, manche verlangen die Aufbewahrung offline oder in einer vom Produktivsystem getrennten Umgebung. In der Praxis zeigt sich häufig, dass zwar ein Backup-System existiert, aber die Backups seit Monaten nicht auf Wiederherstellbarkeit getestet wurden, die Backup-Medien im selben Netzwerksegment liegen und daher bei einem Ransomware-Angriff mitverschlüsselt werden, oder einzelne Systeme von der automatisierten Sicherung ausgenommen sind, ohne dass dies dokumentiert wurde.
Update- und Patch-Obliegenheit. Die Pflicht, Sicherheitsupdates zeitnah zu installieren, ist eine der am häufigsten verletzten Obliegenheiten. Die typische Formulierung lautet, dass sicherheitsrelevante Updates „unverzüglich“ oder „innerhalb eines angemessenen Zeitraums“ nach Verfügbarkeit eingespielt werden müssen. In der Praxis gibt es jedoch berechtigte Gründe, ein Update nicht sofort einzuspielen: Es könnte die Kompatibilität mit branchenspezifischer Software gefährden, es muss in einer Testumgebung geprüft werden, oder es erfordert einen Systemneustart, der im laufenden Betrieb nicht ohne Weiteres möglich ist. Der Sachverständige prüft, ob die verzögerte Installation sachlich begründet war oder ob sie auf mangelndes Patch-Management zurückzuführen ist.
Multi-Faktor-Authentifizierung (MFA). MFA ist mittlerweile eine Standardanforderung der meisten Cyberversicherer. Geprüft wird, ob MFA für alle Remote-Zugänge (VPN, Remote Desktop), für den Zugriff auf Cloud-Dienste und für administrative Konten mit erhöhten Berechtigungen implementiert ist. In der Praxis ist MFA häufig für die meisten Systeme aktiviert, aber einzelne Legacy-Anwendungen oder administrative Zugänge sind ausgenommen, weil sie technisch kein MFA unterstützen. Genau über solche Ausnahmen dringt der Angreifer ein, und genau diese Ausnahmen reklamiert der Versicherer als Obliegenheitsverletzung.
Netzwerksegmentierung. Fortgeschrittenere Policen fordern die Segmentierung des Netzwerks nach Schutzbedarf. Das bedeutet: Produktivsysteme, Entwicklungsumgebungen, Verwaltungsnetzwerk und Gästezugang sollen in getrennten Netzwerksegmenten betrieben werden, damit ein Angreifer, der in ein Segment eindringt, nicht automatisch Zugriff auf alle anderen Segmente hat. Die Prüfung durch den Sachverständigen zeigt häufig, dass zwar VLANs eingerichtet sind, aber die Firewall-Regeln zwischen den Segmenten zu permissiv konfiguriert sind, sodass die Segmentierung in der Praxis keinen wirksamen Schutz bietet.
Mitarbeitersensibilisierung. Viele Policen verlangen, dass Mitarbeiter regelmäßig zu Cyberrisiken geschult werden, teilweise mit konkreten Vorgaben wie „mindestens eine Phishing-Simulation pro Jahr“. In der Praxis wird diese Obliegenheit oft am wenigsten ernst genommen, kann aber zum Problem werden, wenn der Angriff nachweislich über eine Phishing-E-Mail erfolgte, die ein geschulter Mitarbeiter hätte erkennen können.
Was der IT-Sachverständige konkret prüft
Wenn eine Versicherung die Leistung kürzt oder verweigert und der Versicherungsnehmer diese Entscheidung anfechten will, beauftragt in der Regel der Anwalt des Unternehmens einen IT-Sachverständigen. Die Prüfung umfasst mehrere Ebenen.
Auf der ersten Ebene prüft der Sachverständige den tatsächlichen Sicherheitsstand zum Zeitpunkt des Angriffs. Welche Maßnahmen waren implementiert, welche nicht? Diese Prüfung basiert auf der forensischen Analyse der Systeme, auf der IT-Dokumentation des Unternehmens und auf Interviews mit den IT-Verantwortlichen. Das Ergebnis ist eine objektive Bestandsaufnahme.
Auf der zweiten Ebene vergleicht der Sachverständige den festgestellten Sicherheitsstand mit den konkreten Anforderungen der Versicherungspolice. Die Obliegenheiten werden einzeln durchgegangen: Was genau fordert die Police? Was war tatsächlich umgesetzt? Wo gibt es Abweichungen? Diese Prüfung erfordert sowohl technisches als auch versicherungsrechtliches Verständnis, denn die Formulierungen in den AVB sind oft unbestimmt. Was bedeutet „zeitnah“ bei der Installation von Updates? Was ist ein „angemessenes“ Backup-Konzept? Der Sachverständige beurteilt, ob die getroffenen Maßnahmen dem Stand der Technik entsprochen haben und ob die Obliegenheit bei vernünftiger Auslegung erfüllt war.
Auf der dritten Ebene prüft der Sachverständige die Kausalität: Ist der Schaden tatsächlich auf die behauptete Obliegenheitsverletzung zurückzuführen? Dieser Punkt ist oft der entscheidende. Denn selbst wenn eine Obliegenheit verletzt wurde, ist der Versicherer nur dann zur Leistungskürzung berechtigt, wenn die Verletzung für den Eintritt oder den Umfang des Schadens ursächlich war. Der Kausalitätsgegenbeweis nach § 28 Abs. 3 VVG (bzw. § 6 Abs. 3 VersVG in Österreich) kann die Position des Versicherungsnehmers erheblich stärken.
Der Kausalitätsgegenbeweis: Wo die Argumentation oft gewonnen wird
Der Kausalitätsgegenbeweis ist das schärfste Instrument des Versicherungsnehmers gegen eine Leistungskürzung. Er funktioniert so: Selbst wenn eine Obliegenheit verletzt wurde, bleibt der Versicherer leistungspflichtig, wenn die Verletzung für den Schaden nicht ursächlich war.
Drei Beispiele verdeutlichen das Prinzip.
Ein Unternehmen hat die MFA-Obliegenheit nicht vollständig erfüllt: Der VPN-Zugang war ohne MFA erreichbar. Der Angriff erfolgte aber nachweislich nicht über den VPN-Zugang, sondern über eine Phishing-E-Mail, die einen Mitarbeiter dazu brachte, Schadsoftware herunterzuladen. Die fehlende MFA war nicht kausal für den Angriff.
Ein Unternehmen hat ein Sicherheitsupdate für eine Serversoftware drei Wochen lang nicht eingespielt. Der Angriff erfolgte aber über eine andere Schwachstelle, die zum Zeitpunkt des Angriffs noch gar nicht bekannt war (Zero-Day-Exploit). Das fehlende Update war nicht kausal für den Angriff.
Ein Unternehmen hat seine Backups nicht wie vorgeschrieben offline gespeichert. Die Backups wurden bei einem Ransomware-Angriff mitverschlüsselt. Der Versicherer kürzt die Leistung für die Wiederherstellungskosten. Aber der Betriebsunterbrechungsschaden, der den größten Teil des Gesamtschadens ausmacht, wäre auch bei funktionierenden Backups in gleicher Höhe eingetreten, weil die Wiederherstellung in jedem Fall mehrere Tage gedauert hätte. Die Obliegenheitsverletzung ist nur für einen Teil des Schadens kausal.
Für den Kausalitätsgegenbeweis braucht es eine detaillierte technische Analyse. Der Sachverständige muss den Angriffsverlauf rekonstruieren und zeigen, welcher konkrete Angriffsweg genutzt wurde und ob die verletzte Obliegenheit diesen Weg hätte verhindern können. Diese Analyse ist oft der Dreh- und Angelpunkt der gesamten Auseinandersetzung.
Vorvertragliche Anzeigepflicht: Wenn die Risikofragen zum Problem werden
Neben den laufenden Obliegenheiten prüft der Versicherer im Schadensfall regelmäßig, ob die Risikofragen vor Vertragsabschluss korrekt beantwortet wurden. Die Frage „Werden regelmäßige Backups durchgeführt?“ wurde mit „Ja“ beantwortet, aber die forensische Analyse zeigt, dass das Backup-System seit sechs Monaten fehlerhaft läuft. Die Frage „Werden Sicherheitsupdates zeitnah installiert?“ wurde bejaht, aber auf einem kritischen Server läuft eine Software mit einer seit zwei Jahren bekannten Sicherheitslücke.
In diesen Fällen kann der Versicherer den Vertrag wegen Verletzung der vorvertraglichen Anzeigepflicht anfechten oder von ihm zurücktreten. Die Folge wäre, dass gar kein Versicherungsschutz besteht.
Der Sachverständige prüft hier, ob die Angaben im Risikoantrag zum Zeitpunkt der Antragstellung korrekt waren. Das ist ein feiner, aber wichtiger Unterschied: Wenn das Backup-System bei Antragstellung funktioniert hat und erst danach ausgefallen ist, liegt keine falsche Angabe vor, sondern allenfalls eine Verletzung der laufenden Obliegenheit. Die zeitliche Einordnung kann entscheidend sein.
Was Unternehmen aus Obliegenheitsstreitigkeiten lernen können
Die meisten Obliegenheitsstreitigkeiten wären vermeidbar gewesen. Nicht unbedingt, weil die IT-Sicherheit hätte besser sein müssen, sondern weil die Diskrepanz zwischen den vertraglichen Zusagen und dem tatsächlichen Sicherheitsstand nicht erkannt wurde.
Meine Empfehlung an Unternehmen mit Cyberversicherung: Lassen Sie einen IT-Fachmann die Obliegenheiten Ihrer Police gegen den tatsächlichen Stand Ihrer IT-Sicherheit prüfen. Nicht nach einem Angriff, sondern jetzt. Dieser Abgleich zeigt, wo Lücken bestehen, die entweder geschlossen oder der Versicherung gegenüber offengelegt werden sollten. Und er zeigt, wo die Formulierungen in der Police unklar sind und eine Klarstellung mit dem Versicherer sinnvoll wäre.
Wenn Sie sich bereits in einer Auseinandersetzung mit Ihrer Cyberversicherung befinden: Ein unabhängiges Gutachten durch einen IT-Sachverständigen kann die technische Grundlage liefern, die Ihr Anwalt für die Verhandlung oder das Verfahren braucht. Es kann zeigen, dass die behauptete Obliegenheitsverletzung nicht vorliegt, dass sie nicht kausal für den Schaden war, oder dass die Leistungskürzung unverhältnismäßig ist.
Als allgemein beeideter und gerichtlich zertifizierter IT-Sachverständiger prüfe ich sowohl den tatsächlichen Sicherheitsstand als auch die Kausalität zwischen behaupteten Obliegenheitsverletzungen und dem eingetretenen Schaden. Kontaktieren Sie mich für ein unverbindliches Erstgespräch.