Auflagen in der Cyberversicherung – die unterschätzte Gefahr
Auflagen in der Cyberversicherung – die unterschätzte Gefahr
Immer mehr Unternehmen entscheiden sich für den Abschluss einer Cyberversicherung. Im Rahmen der Vertragsanbahnung müssen die Unternehmen dann jedoch häufig feststellen, dass die unternehmenseigene IT-Sicherheit nicht den Anforderungen des Cyberversicherers entspricht. Um dennoch den Abschluss eines Versicherungsvertrags zu ermöglichen, bieten viele Cyberversicherer den Unternehmen – trotz festgestellter Defizite in der IT-Sicherheit – den Abschluss einer Cyberversicherung unter Auflagen an.
For further information please contact:
Solche Auflagen – beispielsweise die Maßgabe, eine Multi-Faktor-Authentifizierung einzuführen – erlauben erst einmal den Abschluss einer Cyberversicherung, bergen jedoch relevante Gefahren. So ist den Unternehmen meist unklar, wie Auflagen des Versicherers rechtlich einzuordnen sind und welche Folgen bei einem Verstoß drohen. Darüber hinaus täuschen Auflagen eine vermeintliche Sicherheit vor und können im Schadenfall zum bösen Erwachen führen. Auflagen gebührt daher besondere Aufmerksamkeit.
Nachfolgend stellen wir überblicksartig die wesentlichen Charakteristika einer Auflage dar (1.).[1] Anschließend skizzieren wir die Gefahren, die mit der Vereinbarung von Auflagen entstehen können (2.), und zeigen Verteidigungslinien für betroffene Unternehmen auf (3.).
1. Was ist eine Auflage?
Auflagen verpflichten das Unternehmen nach Abschluss des Versicherungsvertrages faktisch zur Umsetzung von Maßnahmen zur IT-Sicherheit innerhalb einer konkreten Zeit oder schränken den Versicherungsschutz bis zur Umsetzung ein.
Maßnahme zur Informationssicherheit
Eine Auflage dient der Etablierung einer technischen Komponente (bspw. „Einführung einer MFA für Fernzugriffe“) oder einer organisatorischen Maßnahme (etwa „Durchführung einer Phishing Kampagne“ oder „Erstellung eines Notfallplans für Cyberrisiken“).
Selten geben Cyberversicherer die Umsetzung konkret vor. Dies führt häufig dazu, das Unternehmen die Auflage fälschlicherweise als Empfehlung und nicht als eine zwingende Vorgabe wahrnehmen.
Auflagen finden sich im Vertragsangebot, im Versicherungsschein, in einem Nachtrag oder in den Besonderen Vertragsbedingungen. In einzelnen Fällen können sie bereits zum Zeitpunkt der Risikoprüfung in Form einer Risikofrage erscheinen.
Umsetzungsfrist oder eingeschränkter Versicherungsschutz
Meist beträgt die Umsetzungsfrist drei bis sechs Monate. Die Auflage kann als einmaliger Erfolg (z.B. „Durchführung einer Überprüfung der […] bis […]“) oder auch als dauerhafter Zustand (bspw. „Einführung eines Berechtigungs-Managements spätestens ab […]“) definiert sein.
Andere Auflagen schränken den Versicherungsschutz bis zur Umsetzung der geforderten Maßnahme ein (bspw. „bis zur Umsetzung trägt der Versicherungsnehmer 50 Prozent der Versicherungsleistung“) und geben keine Umsetzungsfrist vor.
Rechtliche Einordnung
Auflagen sind rechtlich als Risikobegrenzungen, Risikoausschlüsse oder Obliegenheiten ausgestaltet.
Risikobegrenzung
Bis zur Auflagenumsetzung kann ein fixer oder ein prozentualer Selbstbehalt das Risiko des Versicherers begrenzen.
Beispiele:
„Bis zur Umsetzung [der aufgeführten Maßnahme/Auflagen] besteht eine erhöhte Selbstbeteiligung von […] EUR je Versicherungsfall und bausteinübergreifend.“
„Bis zur Umsetzung [der aufgeführten Maßnahme/Auflagen] hat der Versicherungsnehmer 50 Prozent der Leistung im Versicherungsfall selbst zu tragen.“
Die Risikobegrenzung entfällt mit der Erfüllung der Auflage (§ 158 Abs. 2 BGB).
Risikoausschluss
Teilweise stellen Auflagen einen Risikoausschluss dar oder werden als Risikoausschluss bezeichnet.
Beispiel:
„Nicht versichert sind Versicherungsfälle aufgrund von oder im Zusammenhang mit einem externen Zugriff auf das Computer System der Versicherungsnehmer, der ohne eine Multi-Faktor-Authentifizierung erfolgt ist.“
Solche Auflagen schließen den Versicherungsschutz bis zur Umsetzung teilweise („Versicherungsschutz für Ransomware ist ausgeschlossen“) oder vollständig aus, wenn der Versicherungsfall auf der bis dahin nicht umgesetzten Maßnahme beruht (Schaden aufgrund fehlender MFA).
Obliegenheit
Häufig verlangen Auflagen vom Unternehmen ein konkretes Verhalten und setzen für den Fall eines Verstoßes die abgestuften Sanktionen des § 28 VVG fest (Leistungskürzung oder Leistungsfreiheit bei mindestens grob fahrlässiger Herbeiführung).
Beispiele:
„Das Netzwerk ist nach Schutzbedarf zu segmentieren. Die Rechtsfolgen richten sich nach §§ 28 f. VVG“
„Durchführung einer Phishing Kampagne bis zur nächsten Versicherungsperiode sowie anschließende regelmäßige (mindestens […] pro Jahr) Phishing Kampagnen. Diese Auflage gilt als Obliegenheit im Sinne der […].“
Kommt es während der Umsetzungsfrist zu einem Schadenfall, ist der Versicherer unabhängig von der konkreten Umsetzung leistungspflichtig. Läuft hingegen die Umsetzungsfrist erfolglos ab, liegt unmittelbar eine Obliegenheitsverletzung vor.
2. Die unterschätzten Gefahren
Für Unternehmen, deren gegenwärtige IT-Sicherheit aus Sicht des Cyberversicherers noch vom Zielbild der Zeichnungsrichtlinien abweicht aber willens sind, ihre IT-Sicherheit zu erhöhen, bieten Auflagen eine Chance. Andernfalls wäre zu diesem Zeitpunkt oft kein Versicherungsschutz zu erhalten. Gleichzeitig bergen Auflagen jedoch auch Risiken: Versäumt das Unternehmen die Umsetzung der Auflage oder kommt es zu Missverständnissen bei der Auslegung, so kann der Versicherungsschutz in ernster Gefahr sein. Unternehmen müssen daher schon bei Abschluss des Cyberversicherungsvertrags die Probleme kennen und berücksichtigen.
Umsetzungsfrist verstrichen – die unterschätzte Gefahr
Zum Zeitpunkt des Vertragsschlusses einer Cyberversicherung prüfen Entscheidungsträger nicht immer, ob eine vereinbarte Auflage innerhalb der Umsetzungsfrist im eigenen Unternehmen überhaupt realistischerweise umgesetzt werden kann. Erkennen die Entscheidungsträger dann vor Ablauf der Umsetzungsfrist, dass die Umsetzung mehr Zeit benötigt, verweigern Versicherer nicht selten eine Fristverlängerung. Mit erfolglosem Ablauf der Umsetzungsfrist liegt dann unmittelbar eine Obliegenheitsverletzung durch das Unternehmen vor.
Beispiel:
Die Auflage verpflichtet Unternehmen A, in allen Tochterunternehmen MFA innerhalb von sechs Monaten umzusetzen. Nach vier Monaten kommt ein neues Tochterunternehmen B hinzu, welches noch nicht über MFA verfügt. Da die Integration von Tochterunternehmen B zeitaufwendig ist, gelingt die Umsetzung von MFA nicht innerhalb von sechs Monaten. Eine Auflagenverletzung liegt vor und der Versicherungsschutz ist gefährdet.
Auflagen während der Vertragslaufzeit – die vergessene Gefahr
Wie auch die fristgemäße Umsetzung einer Auflage in Vergessenheit geraten kann, gerät häufig die Befolgung der Auflage selbst in den Hintergrund. Die Auflage stellt jedoch meist eine auch nach erstmaliger Umsetzung zu befolgende Vorgabe dar und kann bei einer Verletzung zur vollständigen Leistungsfreiheit des Cyberversicherers führen.
Beispiel:
Die Auflage verpflichtet Unternehmen A, alle Remotezugänge über MFA zu sichern. Das Unternehmen A erfüllt die Auflage. Ein später neu hinzukommendes Tochterunternehmen B verfügt allerdings noch nicht über MFA. Ohne ausdrückliche Regelung für diesen Fall liegt eine Auflagenverletzung vor und der Versicherungsschutz ist gefährdet.
Auslegungsstreitigkeiten vorprogrammiert
Die in der Praxis verwendeten Auflagen unterscheiden sich teils erheblich. Vielen Auflagen ist jedoch gemein, dass der hohe Abstraktionsgrad oder gar eine immanente Widersprüchlichkeit Auslegungsstreitigkeiten vorprogrammiert und damit dem Unternehmen die sichere Umsetzung der Auflage schwerfällt.
Beispiel:
Die Auflage verpflichtet das mittelständische Unternehmen A, über einen „Notfallplan für einen IT-Sicherheitsvorfall“ zu verfügen. Das Unternehmen A weiß nun nicht, ob der erstellte Notfallplan den Anforderungen des Cyberversicherers entspricht und der Cyberversicherer nach einem Cyberangriff den Notfallplan rügt sowie eine Auflagenverletzung annimmt.
3. Verteidigungsmöglichkeiten des Unternehmens
Kommt es zum Schadenfall und der Versicherer wendet die Verletzung einer Auflage ein, sollten Unternehmen stets genau prüfen, ob überhaupt eine Auflagenverletzung vorliegt (3.1), ob die Auflage eine verhüllte Obliegenheit darstellt (3.2), und ob eine Auflagenverletzung tatsächlich zur Leistungsfreiheit des Versicherers führt (3.3).
3.1 Auslegung von Auflagen
Um zu bestimmen, ob das Unternehmen – wie vorgeworfen – die Auflage tatsächlich verletzt, ist die Auflage aus Sicht eines durchschnittlichen Versicherungsnehmers auszulegen.[2] Unklarheiten bei der Auslegung gehen dabei zulasten des Cyberversicherers als Verwender.
Multi-Faktor-Authentifizierung
Auflagen zur Umsetzung einer Multi-Faktor-Authentifizierung („MFA“) bergen meist Auslegungsschwierigkeiten.
Beispiel:
„Einführung von Multi-Faktor-Authentifizierung für sämtliche Zugriffe zu IT-Systemen, die für administrative Tätigkeiten genutzt werden.“
Aus Sicht eines durchschnittlichen Versicherungsnehmers erfüllt jegliche mehrfache Authentifizierung – unabhängig vom tatsächlich erreichten Schutzniveau – die Auflage und stellt somit den Versicherungsschutz sicher.
Passwortrichtlinie
Auflagen zur Umsetzung einer Passwortrichtlinie sind meist so unbestimmt, dass das Vorhandensein einer Passwortrichtlinie eine Auflagenverletzung abwendet.
Beispiel:
„Umsetzung einer Passwortrichtlinie“
Aus Sicht des maßgeblichen durchschnittlichen Versicherungsnehmers reicht es aus, wenn das Unternehmen ein Dokument mit Reglungen zur Verwendung von Passwörtern erstellt und diese innerhalb des Unternehmens kommuniziert.
Notfallplan
Teilweise fordern Cyberversicherer einen Notfallplan, ohne konkrete Vorgaben zu machen.
Beispiel:
„Der Versicherungsnehmer verfügt über einen aktuellen Notfallplan für Cyber-Sicherheitsvorfälle, der auch physisch abgelegt ist.“
Auch diese Auflage lässt offen, was ein Notfallplan enthalten muss, und dürfte bereits dann erfüllt sein, wenn ein Dokument Regelungen für einen Cyber-Sicherheitsvorfall vorgibt und dieser allen relevanten Personen bekannt ist.
Phishing-Kampagne
Auflagen fordern häufig Phishing-Kampagnen. Bei Phishing-Kampagnen erhalten die Mitarbeiter des Unternehmens regelmäßig simulierte Phishing-Emails, in der Regel durch einen dafür beauftragten Dienstleister. Die Kampagnen sollen den Umgang mit Phishing-Emails im Unternehmen verbessern und Mitarbeiter sensibilisieren.
Beispiel:
„Einführung und Durchführung einer Phishing Kampagne.“
Wieder stellt die Auflage aus Sicht eines durchschnittlichen Versicherungsnehmers grundsätzlich keine Anforderungen an den Inhalt und die Häufigkeit der Phishing-Kampagnen. Um jedoch jegliche Auslegungsstreitigkeit hinsichtlich der Auflage zu umgehen, sollte das Unternehmen den Cyberversicherer über die konkret geplante Phishing-Kampagne informieren und den Cyberversicherer zur Bestätigung der Auflagenerfüllung auffordern.
Grundsätzlich gilt: Kein Raum für den Einwand einer Auflagenverletzung besteht immer dann, wenn Cyberversicherer bestätigen, dass das versicherungsnehmende Unternehmen die Auflage korrekt umgesetzt hat.
3.2 Risikoausschluss oder verhüllte Obliegenheiten
Wendet der Cyberversicherer die Verletzung einer Auflage als Risikoausschluss ein, sollte das Unternehmen stets überprüfen, ob tatsächlich ein Risikoausschluss vorliegt oder die Auflage vielmehr eine verhüllte Obliegenheit darstellt.
Verhüllte Obliegenheiten sind fälschlicherweise als Risikoausschlüsse bezeichnete Obliegenheiten. Der BGH grenzt Obliegenheiten von Risikoausschlüssen wie folgt ab:
„Es kommt darauf an, ob sie die individualisierende Beschreibung eines bestimmten Wagnisses enthält, für das der Versicherer keinen Versicherungsschutz gewähren will, oder ob sie in erster Linie ein bestimmtes Verhalten des VN fordert, von dem es abhängt, ob er einen zugesagten Versicherungsschutz behält oder verliert.“[3]
Fordert also eine Auflage das Unternehmen zu einem konkreten Handeln auf (beispielsweise die dauerhafte Umsetzung von MFA) und bezeichnet diese Verhaltensvorgabe als Risikoausschluss, liegt eine verhüllte Obliegenheit vor.
Unternehmen sollten immer dann, wenn eine verhüllte Obliegenheit vorliegt, die Unwirksamkeit der Auflage oder zumindest den fehlenden Verweis auf eine Rechtsfolge einwenden.[4] In jedem Fall scheidet eine automatische Leistungsfreiheit aus und der Cyberversicherer muss mindestens die vorsätzliche Verletzung der Auflage nachweisen, um gemäß § 28 VVG leistungsfrei zu werden.
3.3 Leistungsfreiheit und -kürzung bei Obliegenheiten
Wendet der Cyberversicherer ein, dass die als Obliegenheit ausgestaltete Auflage verletzt wurde, sollte das Unternehmen stets überprüfen, ob
- ein wirksamer Hinweis auf die Rechtsfolgen des § 28 VVG vorliegt,
- Gründe gegen eine mindestens grob fahrlässige Obliegenheitsverletzung sprechen (eine einfach fahrlässige Obliegenheitsverletzung berührt den Versicherungsschutz nicht)
- der Kausalitätsgegenbeweis möglich ist (§ 28 Abs. 3 VVG).
Gerade die in der Praxis häufig verwendeten Auflagen geben Raum für einen erfolgreichen Kausalitätsgegenbeweis (d.h. der Versicherungsfall oder die Leistungspflicht wäre in gleicher Art auch bei erfüllter Auflage eingetreten) wie die nachfolgenden Beispiele zeigen.
Multi-Faktor-Authentifizierung
Das Unternehmen kann den Kausalitätsgegenbeweis führen, in dem das Unternehmen nachweist, dass nicht jede Art der Multi-Faktor-Authentifizierung den Eintritt und Umfang des Versicherungsfalles hätte vermeiden können.
Passwortrichtlinie
Dem Unternehmen wird immer dann der Kausalitätsgegenbeweis gelingen, wenn die Angreifer das Passwort durch einen kurz vor dem Cyberangriff erfolgten Identitätsdiebstahl erlangten und damit auch ein komplexeres Passwort den Angriff nicht verhindert hätte.
Notfallplan
Setzt das Unternehmen entgegen einer Auflage keinen Notfallplan um, muss das Unternehmen für den Kausalitätsgegenbeweis darlegen, dass auch ohne Notfallplan die eigenen Mitarbeiter angemessen reagierten und der geforderte Notfallplan nicht zu einem geringeren Schaden geführt hätte.
Phishing-Kampagne
Kommt es aufgrund einer Phishing Attacke zu einem Versicherungsfall, wird das Unternehmen meist erfolgreich den Kausalitätsgegenbeweis führen.
Das „Anklicken“ eines Links in einer Phishing-E-Mail beruht auf einem menschlichen Augenblickversagen. Auch der bestgeschulte Mitarbeiter kann in einer Stress-Situation oder einem unaufmerksamen Moment einen Fehler machen.
4. Fazit
Auflagen ermöglichen Unternehmen, trotz einzelner Schwachstellen in der IT einen Cyberversicherungsschutz zu erhalten. Auflagen bergen aber ein nicht zu unterschätzendes Risiko, dass sich der sicher geglaubte Versicherungsschutz als Luftnummer erweist. Unternehmen müssen daher bei Abschluss des Cyberversicherungsvertrags einschätzen, ob sie die Auflagen innerhalb der Umsetzungsfrist umsetzen können. Hierzu sollten Unternehmen vom Cyberversicherer konkrete Vorgaben für die Umsetzung der Auflage verlangen und sich die Umsetzung der Auflage durch den Cyberversicherer bestätigen lassen. Gleichzeitig sollten die Unternehmen die dauerhafte Umsetzung der Auflage sicherstellen.
Verweigert der Cyberversicherer nach einem erfolgreichen Cyberangriff den Versicherungsschutz, sollten Unternehmen die konkrete Auflage im Sinne der BGH-Rechtsprechung aus Sicht eines durchschnittlichen Versicherungsnehmers auslegen und prüfen, ob eine Auflagenverletzung überhaupt zur Leistungsfreiheit des Versicherers führt. Gerade (verhüllte) Obliegenheiten eröffnen dem Unternehmen vielfältige Verteidigungslinien, um letztlich doch eine Versicherungsleistung zu erhalten.
Mit dem notwendigen Risikobewusstsein können Unternehmen die Chancen von Auflagen nutzen und die Gefahren minimieren.
Autoren: Dr. David Ulrich und Johannes Stanglmeier
Dieser Beitrag erschien zuerst in der Zeitschrift Die VersicherungsPraxis 02-2025, S. 12 ff. Er beruht auf einem Beitrag in der r+s 2024, 933.
Literatur und Rechtsprechung:
[1] Die hier aufgeführten Beispiele beruhen auf in der Praxis verwendete Auflagen, die vorliegend leicht verändert wurden.
[2] BGH, r+s 2023, 913, Rn. 13. Auch einseitige Individualvereinbarungen (auf den konkreten Einzelfall verbindlich vom Versicherer vorgegeben) sind wie AVB auszulegen: OLG Düsseldorf, Urt. 23.03.2018‒4 U 60/17, r+s 2019, 88, Rn. 19. Zustimmend: Piontek, r+s 2023, 1039, Rn. 25; Boche in Veith/Gräfe/Lange/Rogler5, § 15, Rn. 179.
[3] BGH, VersR 2023, 1165, Rn. 19.
[4] Vgl. Eley, VersR 2024, 1569, 1574 f., m.w.N.
Mehr Aktuelles
Mehr Aktuelles
10 Things You Need to Know About D&O Insurance in Germany
10 Things You Need to Know About D&O Insurance in Germany
D&O liability and insurance in Germany work differently. If you are a manager, board member, or advisor operating in the German market, here are 10 essential facts you need to know.
10 Things You Need to Know About Insurance Dispute Resolution in Germany
10 Things You Need to Know About Insurance Dispute Resolution in Germany
Navigating insurance disputes in Germany may feel like uncharted waters for many legal professionals outside the country. Ten key insights that will help you better understand how insurance disputes are handled under German law.
Manager liability in Germany: between departmental and overall responsibility
Manager liability in Germany: between departmental and overall responsibility
Under German law, all members of the management board bear responsibility for the company. But can liability be minimised by allocating responsibilities? Dr. Mark Wilhelm shows the possibilities and limits of such a plan.
Rescission of cyber insurance contracts: how policyholders should react on current judgements
Rescission of cyber insurance contracts: how policyholders should react on current judgements
When is the cyber insurer entitled to rescind a contract? Fabian Herdter analyses two recent judgements on the policyholder's duty to disclose risks before the contract is closed.
D&O: How to distribute insufficient cover
D&O: How to distribute insufficient cover
When there is not enough D&O cover left, how do insurers decide to split the remaining money? Fabian Herdter looks into a problem that urgently needs a fair solution for all insured directors and officers.
WILHELM lawyers among "Germany's Best Lawyers 2024"
WILHELM lawyers among "Germany's Best Lawyers 2024"
In the new ranking by Best Lawyers, published today in the business daily Handelsblatt, six of our lawyers are recommended in Insurance, Litigation, and M&A.
A right to D&O: No employment contract without a procurement clause
A right to D&O: No employment contract without a procurement clause
What is a procurement clause? And why should it be included in every managing director's employment contract? In the webinar series ‘D&O Update’, David Ulrich gave advice for current and prospective decision-makers.
Payments after factual insolvency – (once more) not covered by the D&O?
Payments after factual insolvency – (once more) not covered by the D&O?
In Germany, directors are liable for payments made after the company should have filed for insolvency. What is particularly critical is that D&O insurers often refuse to provide cover for such liability claims. Mark Wilhelm explains the objections currently brought forward by insurers.
"I can only warn against this"
"I can only warn against this"
In an interview with WELT am Sonntag, Mark Wilhelm explains the dos and don'ts in the settlement of flood damage – and warns against making quick blanket settlements.