Wann eine Cyberversicherung die Zahlung verweigern kann

Einer der häufigsten Einwände gegen eine Cyberversicherung ist die Sorge, dass die Versicherung im Schadensfall nicht zahlt. Grundsätzlich gilt: Wenn der Versicherungsschutz besteht und alle vertraglichen Bedingungen erfüllt sind, muss der Versicherer im Schadensfall auch für diesen aufkommen.

Allerdings gibt es Umstände, die dazu führen können, dass eine Cyberversicherung nach Prüfung des Schadensfalls berechtigt ist, die Zahlung zu verweigern. Zum Beispiel wenn das versicherte Unternehmen seine vertraglichen Pflichten nicht erfüllt oder die vom Versicherer geforderten IT-Mindeststandards nicht einhält.

Dieser Artikel erklärt, welche Pflichten Unternehmen vor und nach einer Cyber-Attacke erfüllen müssen, damit der Versicherungsschutz im Schadensfall gewährleistet ist. Außerdem zeigt er verschiedene Szenarien auf, in denen der Versicherer leistungsfrei ist, und stellt zwei wegweisende Gerichtsurteile in der Cyber-Schadenregulierung vor.

Damit der Versicherungsschutz gewährleistet ist, müssen Unternehmen sowohl vor dem Abschluss einer Cyberversicherung als auch während der Vertragslaufzeit verschiedene “Verhaltensvorschriften” (sog. Obliegenheiten) beachten.

Wahrheitsgemäße Beantwortung der Risikofragen

Vor Vertragsabschluss gilt die vorvertragliche Anzeigepflicht. Das bedeutet, dass das Unternehmen dem Versicherer alle relevanten Informationen mitteilen muss, die für den Abschluss des Versicherungsvertrages von Bedeutung sind. Speziell geht es dabei um die wahrheitsgemäße und vollständige Beantwortung der Risikofragen, mit denen der Versicherer vorab prüft, ob das Unternehmen die geforderten IT-Mindeststandards erfüllt.

Einhaltung der geforderten IT-Sicherheitsstandards

Nach Vertragsabschluss muss das Unternehmen dafür Sorge tragen, die vom Versicherer geforderten organisatorischen und technischen Sicherheitsstandards einzuhalten. Dazu gehören in der Regel:

• Aktuelle Firewalls und Virenschutz
• Multi-Faktor-Authentifizierung (MFA)
• Regelmäßige Backups zur Datensicherung
• Regelmäßige Sicherheitsupdates und Patches
• Zugriffskontrollen & Berechtigungskonzept
• Mitarbeiterschulungen und Security-Awareness-Programme
• Erstellung und Aktualisierung von Incident-Response-Plänen

Korrektes Verhalten im Schadensfall

Neben der Aufrechterhaltung der gesetzten IT-Sicherheitsstandards müssen Unternehmen auch verschiedene Obliegenheiten im Schadensfall erfüllen. Dazu gehören:

• Unverzügliche Schadensmeldung
• Mitwirkungspflicht
• Schadenminderungspflicht
• Verzicht auf eigenmächtige Lösegeldzahlungen
• Umfangreiche Dokumentation des Vorfalls

Mehr zu Obliegenheiten in der Cyberversicherung   >

Eine Nichteinhaltung der vertraglichen Obliegenheiten während der Versicherungsdauer kann dazu führen, dass der Versicherer im Schadensfall die Leistungen kürzen oder sogar ganz verweigern kann. Das kann zum Beispiel in den folgenden Fällen geschehen.

• Verletzung der vorvertraglichen Anzeigepflicht: Wenn der Versicherungsnehmer bei Vertragsabschluss falsche oder unvollständige Angaben macht, z. B. über den Sicherheitsstatus der IT-Systeme.
• Nichterfüllung von Sicherheitsauflagen: Viele Versicherungen haben Haftungsausschlüsse, wenn die IT-Sicherheitsmaßnahmen nicht dem “Stand der Technik” entsprechen.
• Grobe Fahrlässigkeit: Wenn der Versicherungsnehmer den Schaden durch grob fahrlässiges Verhalten herbeigeführt hat, kann der Versicherer leistungsfrei werden.
• Vorsatz: Vorsätzlich herbeigeführte Cyber-Vorfälle sind in der Regel nicht versichert. Je nach Police kann es jedoch eine Ausnahme für Insider-Bedrohungen geben, wenn Mitarbeitende versuchen, dem Unternehmen absichtlich zu schaden.
• Gefahrerhöhung: Wenn sich das versicherte Risiko des Unternehmens nach Vertragsabschluss wesentlich erhöht hat, ohne dass die Versicherung informiert wurde, kann das die Leistungspflicht des Versicherers beeinflussen.
• Verspätete oder unvollständige Meldung des Schadensfalls: Erfolgt die Meldung eines Vorfalls sehr verspätet oder wird nur ein Teil des Vorfalls gemeldet, kann das zu einem höheren Schaden und gleichzeitig zu einer eingeschränkten Leistungspflicht des Versicherers führen.
• Vertragliche Ausschlüsse: Vertraglich geregelte Ausschlüsse vom Versicherungsschutz (z. B. Lösegeldzahlungen oder Kriegsklauseln) führen automatisch dazu, dass der Versicherer nicht für den entstandenen Schaden aufkommen muss.

Bei der Schadensregulierung in der Cyberversicherung und der finalen Entscheidung, ob eine Leistungspflicht des Versicherers besteht, spielen die Dokumentation des Vorfalls und die Bereitstellung entsprechender Nachweise eine zentrale Rolle. Dabei kommt es jedoch auf die jeweiligen Umstände an, bei wem die tatsächliche Beweislast liegt - beim Versicherer oder beim Versicherungsnehmer.

Beweislast beim Versicherungsnehmer

Wenn die Leistungspflicht des Versicherers strittig ist, trägt der Versicherungsnehmer in den folgenden Fällen die Beweislast.

• Eignung der IT-Sicherheitsmaßnahmen: Bestehen im Rahmen einer Datenschutzverletzung Zweifel daran, ob das Unternehmen geeignete technische und organisatorische Maßnahmen (TOMs) implementiert hat, muss das Unternehmen entsprechende Nachweise erbringen, dass es die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat.
• Anzeigepflichtverletzung: Stellt sich im Rahmen der Schadensregulierung durch die Cyberversicherung heraus, dass der Versicherungsnehmer die vorvertragliche Anzeigepflicht verletzt hat, liegt die Beweislast, dass keine falschen oder unvollständigen Angaben gemacht wurde, beim Versicherungsnehmer.
• Kausalitätsgegenbeweis: Ebenso ist der Versicherungsnehmer zum Erbringen eines entsprechenden Nachweises verpflichtet, wenn es darum geht, zu beweisen, dass eine Verletzung der Anzeigepflicht nicht für den Eintritt des Versicherungsfalles ursächlich und der Versicherer damit nach § 21 Abs. 2 VVG nicht leistungsfrei ist.

Beweislast beim Versicherer

Andererseits gibt es auch Fälle, in denen Zweifel an der Leistungspflicht des Versicherers bestehen, in denen letzterer die Beweislast selbst trägt.

• Kriegsausschlussklauseln: Versicherungsfälle oder Schäden aufgrund von Krieg oder kriegsähnlichen Ereignissen oder Informationssicherheitsverletzungen infolge eines staatlichen Cyber-Angriffs gehören zu den allgemeinen Ausschlüssen in der Cyberversicherung. Den Nachweis, dass ein Cyber-Vorfall tatsächlich unter diese Ausschlussklausel fällt, muss der Versicherer erbringen.
• Grobe Fahrlässigkeit: Der Nachweis, dass eine grobe Fahrlässigkeit des Versicherungsnehmers für das Eintreten des Versicherungsfalls verantwortlich ist und daher keine oder nur eine eingeschränkte Leistungspflicht für den entstandenen Schaden besteht, muss vom Versicherer erbracht werden.

• Wahrheitsgemäße Beantwortung der Risikofragen: Alle Angaben zur IT-Sicherheit sollten sorgfältig geprüft und dokumentiert werden.
• Regelmäßige Updates und Sicherheitsmaßnahmen: Sicherstellen, dass alle Systeme und Software auf dem neuesten Stand sind.
• Klare Dokumentation der IT-Sicherheitsrichtlinien: Ein Nachweis über bestehende Schutzmaßnahmen kann im Schadensfall entscheidend sein.
• Sofortige Meldung an die Versicherung: Verzögerungen können zur Leistungsverweigerung oder Kürzungen führen.
• Beweissicherung und Dokumentation: Angriffsverläufe, IT-Protokolle und getroffene Maßnahmen detailliert festhalten.
• Zusammenarbeit mit Experten und der Versicherung: Externe IT-Forensiker einbinden und Anweisungen des Versicherers befolgen.
• Sicherheitsvorgaben beachten: Vertragsbedingungen prüfen und alle geforderten Maßnahmen umsetzen (z. B. Multi-Faktor-Authentifizierung, Firewalls, regelmäßige Backups).

Welche Obliegenheitsverletzungen führen zum Verlust des Versicherungsschutzes?

Typische Obliegenheitsverletzungen sind: verspätete Schadenmeldung, Einsatz veralteter oder unsicherer Software, fehlende Backups, unzureichende Zugriffskontrollen sowie die eigenmächtige Beauftragung externer Dienstleister ohne Zustimmung des Versicherers. Solche Pflichtverletzungen können zu Leistungskürzungen oder zum Verlust des Versicherungsschutzes führen.

Zahlt die Cyberversicherung bei grober Fahrlässigkeit?

Wird der Schaden durch grob fahrlässiges Verhalten verursacht – etwa durch unvorsichtige Weitergabe von Zugangsdaten, Missachtung von Sicherheitsrichtlinien oder unterlassene Softwareupdates – kann der Versicherer die Leistung kürzen oder ganz verweigern. Die genaue Regelung hängt von den Vertragsbedingungen ab.

Kann die Cyberversicherung Leistungen bei verspäteter Schadenmeldung verweigern?

Wird die im Vertrag definierte Meldefrist nicht eingehalten, kann der Versicherer Leistungen kürzen oder verweigern. Besonders kritisch ist das, wenn die Verzögerung die Schadenhöhe beeinflusst oder die Aufklärung des Vorfalls erschwert. Eine unverzügliche Meldung ist wichtig, um den vollen Versicherungsschutz zu gewährleisten.

Welche technischen Versäumnisse führen häufig zur Leistungsverweigerung?

Fehlende technische IT-Sicherheitsmaßnahmen, die zur Leistungsverweigerung des Versicherers führen können, sind zum Beispiel:

• Keine regelmäßigen Sicherheitsupdates
• Kein Patch-Management
• Keine Firewall oder veraltetes Virenschutzprogramm

Wie lässt sich das Risiko einer Leistungsverweigerung minimieren?

Um das Risiko einer Leistungsverweigerung zu minimieren, sollten Unternehmen die vertraglichen Bedingungen genau prüfen. Daneben gilt es die folgenden Best Practices umzusetzen:

• Alle Obliegenheiten konsequent einhalten
• IT-Mindeststandards fortlaufend dokumentieren
• Verdachtsfälle sofort melden
• Kommunikation mit dem Versicherer offen und transparent führen