Kontakt zu unseren Cyber Experts
030 403 695 29

Wann eine Cyberversicherung die Zahlung verweigern kann

Sie wollen Ihr Unternehmen gegen Cyber-Gefahren schützen und wünschen eine kostenlose Beratung?
Kontaktieren Sie uns

Einer der häufigsten Einwände gegen eine Cyberversicherung ist die Sorge, dass die Versicherung im Schadensfall nicht zahlt. Grundsätzlich gilt: Wenn der Versicherungsschutz besteht und alle vertraglichen Bedingungen erfüllt sind, muss der Versicherer im Schadensfall auch für diesen aufkommen.

Allerdings gibt es Umstände, die dazu führen können, dass eine Cyberversicherung nach Prüfung des Schadensfalls berechtigt ist, die Zahlung zu verweigern. Zum Beispiel wenn das versicherte Unternehmen seine vertraglichen Pflichten nicht erfüllt oder die vom Versicherer geforderten IT-Mindeststandards nicht einhält.

Dieser Artikel erklärt, welche Pflichten Unternehmen vor und nach einer Cyber-Attacke erfüllen müssen, damit der Versicherungsschutz im Schadensfall gewährleistet ist. Außerdem zeigt er verschiedene Szenarien auf, in denen der Versicherer leistungsfrei ist, und stellt zwei wegweisende Gerichtsurteile in der Cyber-Schadenregulierung vor.

Vertragliche Pflichten in der Cyberversicherung vor und nach einem Cyber-Angriff

Damit der Versicherungsschutz gewährleistet ist, müssen Unternehmen sowohl vor dem Abschluss einer Cyberversicherung als auch während der Vertragslaufzeit verschiedene “Verhaltensvorschriften” (sog. Obliegenheiten) beachten.

 

Wahrheitsgemäße Beantwortung der Risikofragen

Vor Vertragsabschluss gilt die vorvertragliche Anzeigepflicht. Das bedeutet, dass das Unternehmen dem Versicherer alle relevanten Informationen mitteilen muss, die für den Abschluss des Versicherungsvertrages von Bedeutung sind. Speziell geht es dabei um die wahrheitsgemäße und vollständige Beantwortung der Risikofragen, mit denen der Versicherer vorab prüft, ob das Unternehmen die geforderten IT-Mindeststandards erfüllt.

 

 

Einhaltung der geforderten IT-Sicherheitsstandards

Nach Vertragsabschluss muss das Unternehmen dafür Sorge tragen, die vom Versicherer geforderten organisatorischen und technischen Sicherheitsstandards einzuhalten. Dazu gehören in der Regel:

  • Aktuelle Firewalls und Virenschutz
  • Multi-Faktor-Authentifizierung (MFA)
  • Regelmäßige Backups zur Datensicherung
  • Regelmäßige Sicherheitsupdates und Patches
  • Zugriffskontrollen & Berechtigungskonzept
  • Mitarbeiterschulungen und Security-Awareness-Programme
  • Erstellung und Aktualisierung von Incident-Response-Plänen
Preview

Maßnahmen zur Prävention von Cyber-Angriffen

Die wichtigsten Strategien und Maßnahmen, um Cyber-Angriffe zu verhindern oder frühzeitig abzuwehren und Unternehmen nachhaltig abzusichern.
Mehr erfahren

Korrektes Verhalten im Schadensfall

Neben der Aufrechterhaltung der gesetzten IT-Sicherheitsstandards müssen Unternehmen auch verschiedene Obliegenheiten im Schadensfall erfüllen. Dazu gehören:

  • Unverzügliche Schadensmeldung
  • Mitwirkungspflicht
  • Schadenminderungspflicht
  • Verzicht auf eigenmächtige Lösegeldzahlungen
  • Umfangreiche Dokumentation des Vorfalls

 

Mehr zu Obliegenheiten in der Cyberversicherung   >

Wann eine Cyberversicherung die Zahlung verweigern kann

Eine Nichteinhaltung der vertraglichen Obliegenheiten während der Versicherungsdauer kann dazu führen, dass der Versicherer im Schadensfall die Leistungen kürzen oder sogar ganz verweigern kann. Das kann zum Beispiel in den folgenden Fällen geschehen.

  • Verletzung der vorvertraglichen Anzeigepflicht: Wenn der Versicherungsnehmer bei Vertragsabschluss falsche oder unvollständige Angaben macht, z. B. über den Sicherheitsstatus der IT-Systeme.
  • Nichterfüllung von Sicherheitsauflagen: Viele Versicherungen haben Haftungsausschlüsse, wenn die IT-Sicherheitsmaßnahmen nicht dem “Stand der Technik” entsprechen.
  • Grobe Fahrlässigkeit: Wenn der Versicherungsnehmer den Schaden durch grob fahrlässiges Verhalten herbeigeführt hat, kann der Versicherer leistungsfrei werden.
  • Vorsatz: Vorsätzlich herbeigeführte Cyber-Vorfälle sind in der Regel nicht versichert. Je nach Police kann es jedoch eine Ausnahme für Insider-Bedrohungen geben, wenn Mitarbeitende versuchen, dem Unternehmen absichtlich zu schaden.
  • Gefahrerhöhung: Wenn sich das versicherte Risiko des Unternehmens nach Vertragsabschluss wesentlich erhöht hat, ohne dass die Versicherung informiert wurde, kann das die Leistungspflicht des Versicherers beeinflussen.
  • Verspätete oder unvollständige Meldung des Schadensfalls: Erfolgt die Meldung eines Vorfalls sehr verspätet oder wird nur ein Teil des Vorfalls gemeldet, kann das zu einem höheren Schaden und gleichzeitig zu einer eingeschränkten Leistungspflicht des Versicherers führen.
  • Vertragliche Ausschlüsse: Vertraglich geregelte Ausschlüsse vom Versicherungsschutz (z. B. Lösegeldzahlungen oder Kriegsklauseln) führen automatisch dazu, dass der Versicherer nicht für den entstandenen Schaden aufkommen muss.
Unbedingt beachten:

Unternehmen sollten die Versicherungsbedingungen ihrer Cyber-Police im Detail kennen und wissen, welche Cyber-Angriffsarten und Schäden abgesichert sind - und welche nicht.

Rechtliche Aspekte: Beweislast in der Cyberversicherung

Bei der Schadensregulierung in der Cyberversicherung und der finalen Entscheidung, ob eine Leistungspflicht des Versicherers besteht, spielen die Dokumentation des Vorfalls und die Bereitstellung entsprechender Nachweise eine zentrale Rolle. Dabei kommt es jedoch auf die jeweiligen Umstände an, bei wem die tatsächliche Beweislast liegt - beim Versicherer oder beim Versicherungsnehmer.

 

Beweislast beim Versicherungsnehmer

Wenn die Leistungspflicht des Versicherers strittig ist, trägt der Versicherungsnehmer in den folgenden Fällen die Beweislast.

  • Eignung der IT-Sicherheitsmaßnahmen: Bestehen im Rahmen einer Datenschutzverletzung Zweifel daran, ob das Unternehmen geeignete technische und organisatorische Maßnahmen (TOMs) implementiert hat, muss das Unternehmen entsprechende Nachweise erbringen, dass es die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat.
  • Anzeigepflichtverletzung: Stellt sich im Rahmen der Schadensregulierung durch die Cyberversicherung heraus, dass der Versicherungsnehmer die vorvertragliche Anzeigepflicht verletzt hat, liegt die Beweislast, dass keine falschen oder unvollständigen Angaben gemacht wurde, beim Versicherungsnehmer.
  • Kausalitätsgegenbeweis: Ebenso ist der Versicherungsnehmer zum Erbringen eines entsprechenden Nachweises verpflichtet, wenn es darum geht, zu beweisen, dass eine Verletzung der Anzeigepflicht nicht für den Eintritt des Versicherungsfalles ursächlich und der Versicherer damit nach § 21 Abs. 2 VVG nicht leistungsfrei ist.

 

Beweislast beim Versicherer

Andererseits gibt es auch Fälle, in denen Zweifel an der Leistungspflicht des Versicherers bestehen, in denen letzterer die Beweislast selbst trägt.

  • Kriegsausschlussklauseln: Versicherungsfälle oder Schäden aufgrund von Krieg oder kriegsähnlichen Ereignissen oder Informationssicherheitsverletzungen infolge eines staatlichen Cyber-Angriffs gehören zu den allgemeinen Ausschlüssen in der Cyberversicherung. Den Nachweis, dass ein Cyber-Vorfall tatsächlich unter diese Ausschlussklausel fällt, muss der Versicherer erbringen.
  • Grobe Fahrlässigkeit: Der Nachweis, dass eine grobe Fahrlässigkeit des Versicherungsnehmers für das Eintreten des Versicherungsfalls verantwortlich ist und daher keine oder nur eine eingeschränkte Leistungspflicht für den entstandenen Schaden besteht, muss vom Versicherer erbracht werden.

Wegweisende Gerichtsurteile in der Cyberversicherung

 

Urteil des Landgerichts Tübingen: 

Cyberversicherung muss trotz nicht aktualisierter Server leisten

Am 26.05.2023 fällte das Landgericht Tübingen das erste wegweisende Urteil zum Deckungsschutz in der Cyberversicherung.
ico

Versicherungsfall:

Der Versicherungsnehmer erlitt einen schweren Cyber-Angriff, der über eine Phishing-Mail mit Ransomware erfolgte. Die Schadsoftware verschlüsselte mehrere Server und legte die gesamte IT-Infrastruktur lahm. Da der Versicherungsnehmer das geforderte Lösegeld nicht zahlte, musste die IT-Infrastruktur neu aufgebaut werden. Der Gesamtschaden belief sich insgesamt auf über 4 Millionen Euro.

ico

Zahlungsverweigerung der Versicherung:

Der Versicherer verweigerte die Zahlung mit der Begründung, dass der Versicherungsnehmer bei Vertragsschluss falsche Angaben gemacht habe. Konkret waren 11 von 21 Servern nicht mit aktuellen Sicherheitsupdates versehen, obwohl dies eine relevante Risikofrage war. Zudem berief sich der Versicherer auf eine Gefahrerhöhung und eine grob fahrlässige Herbeiführung des Schadens aufgrund fehlender IT-Sicherheitsmaßnahmen.

ico

Urteil des Gerichts:

Das Gericht stellte fest, dass die Versicherung den Schutz nicht allein aufgrund falscher Beantwortung der Risikofragen verweigern könne, weil:

  • Ein Sachverständigengutachten zeigte, dass der Angriff auch bei Servern mit aktuellen Updates erfolgreich und die unzureichende Aktualisierung daher nicht kausal für den Schaden war.
  • Der Versicherer verpflichtet gewesen wäre, fehlende Sicherheitsmaßnahmen gezielt abzufragen und vertraglich festzulegen.

Urteil des Landgerichts Kiel: 

Keine Deckung durch die Versicherung aufgrund von falsch beantworteten Risikofragen

Knapp ein Jahr nach dem Urteil des Landgerichts Tübingen entschied das Landgericht Kiel in einem anderen Fall zugunsten des Versicherers und bestätigte dessen Leistungsfreiheit aufgrund arglistig falsch beantworteter Risikofragen.
ico

Versicherungsfall:

Ein Holzgroßhändler mit 16 Niederlassungen in Norddeutschland schloss im März 2020 eine Cyberversicherung ab. Im Antragsprozess beantwortete der Versicherungsnehmer verschiedene Risikofragen zur IT-Sicherheit. Nach einem späteren Cyber-Angriff forderte das Unternehmen eine Versicherungsleistung von knapp 500.000 €.

ico

Zahlungsverweigerung der Versicherung:

Der Versicherer berief sich auf arglistige Täuschung, da der Kläger falsche Angaben zu Sicherheitsmaßnahmen gemacht habe. Insbesondere wurden veraltete Server ohne Sicherheitsupdates und Virenschutz verschwiegen. Die Versicherung argumentierte, dass diese falschen Angaben ihre Risikoeinschätzung erheblich beeinflusst hätten.

ico

Urteil des Gerichts:

Das Landgericht Kiel entschied zugunsten der Versicherung und berief sich dabei auf die folgenden Entscheidungen:

  • Die falsche Beantwortung der Risikofragen war arglistig, da der Versicherungsnehmer entweder bewusst oder grob fahrlässig falsche Angaben gemacht habe.
  • Der Versicherungsvertrag wurde daher rückwirkend für nichtig erklärt.
  • Die Klage auf Zahlung wurde vollständig abgewiesen, und der Versicherungsnehmer musste die Verfahrenskosten tragen.

Best Practices zur Vermeidung einer Zahlungsverweigerung im Schadensfall

  • Wahrheitsgemäße Beantwortung der Risikofragen: Alle Angaben zur IT-Sicherheit sollten sorgfältig geprüft und dokumentiert werden.
  • Regelmäßige Updates und Sicherheitsmaßnahmen: Sicherstellen, dass alle Systeme und Software auf dem neuesten Stand sind.
  • Klare Dokumentation der IT-Sicherheitsrichtlinien: Ein Nachweis über bestehende Schutzmaßnahmen kann im Schadensfall entscheidend sein.
  • Sofortige Meldung an die Versicherung: Verzögerungen können zur Leistungsverweigerung oder Kürzungen führen.
  • Beweissicherung und Dokumentation: Angriffsverläufe, IT-Protokolle und getroffene Maßnahmen detailliert festhalten.
  • Zusammenarbeit mit Experten und der Versicherung: Externe IT-Forensiker einbinden und Anweisungen des Versicherers befolgen.
  • Sicherheitsvorgaben beachten: Vertragsbedingungen prüfen und alle geforderten Maßnahmen umsetzen (z. B. Multi-Faktor-Authentifizierung, Firewalls, regelmäßige Backups).
Vorheriger Artikel Nächster Artikel

Dieser Artikel dient ausschließlich Informationszwecken und ist nicht als Beratung zu verstehen. Die CyberDirekt GmbH lehnt jegliche Haftung für Handlungen ab, die Sie aufgrund der in diesem Artikel enthaltenen Inhalte vornehmen oder unterlassen.

 

SOS