Auflagen in der Cyberversicherung – die unterschätzte Gefahr
Auflagen in der Cyberversicherung – die unterschätzte Gefahr
Immer mehr Unternehmen entscheiden sich für den Abschluss einer Cyberversicherung. Im Rahmen der Vertragsanbahnung müssen die Unternehmen dann jedoch häufig feststellen, dass die unternehmenseigene IT-Sicherheit nicht den Anforderungen des Cyberversicherers entspricht. Um dennoch den Abschluss eines Versicherungsvertrags zu ermöglichen, bieten viele Cyberversicherer den Unternehmen – trotz festgestellter Defizite in der IT-Sicherheit – den Abschluss einer Cyberversicherung unter Auflagen an.
Ihr Ansprechpartner
Solche Auflagen – beispielsweise die Maßgabe, eine Multi-Faktor-Authentifizierung einzuführen – erlauben erst einmal den Abschluss einer Cyberversicherung, bergen jedoch relevante Gefahren. So ist den Unternehmen meist unklar, wie Auflagen des Versicherers rechtlich einzuordnen sind und welche Folgen bei einem Verstoß drohen. Darüber hinaus täuschen Auflagen eine vermeintliche Sicherheit vor und können im Schadenfall zum bösen Erwachen führen. Auflagen gebührt daher besondere Aufmerksamkeit.
Nachfolgend stellen wir überblicksartig die wesentlichen Charakteristika einer Auflage dar (1.).[1] Anschließend skizzieren wir die Gefahren, die mit der Vereinbarung von Auflagen entstehen können (2.), und zeigen Verteidigungslinien für betroffene Unternehmen auf (3.).
1. Was ist eine Auflage?
Auflagen verpflichten das Unternehmen nach Abschluss des Versicherungsvertrages faktisch zur Umsetzung von Maßnahmen zur IT-Sicherheit innerhalb einer konkreten Zeit oder schränken den Versicherungsschutz bis zur Umsetzung ein.
Maßnahme zur Informationssicherheit
Eine Auflage dient der Etablierung einer technischen Komponente (bspw. „Einführung einer MFA für Fernzugriffe“) oder einer organisatorischen Maßnahme (etwa „Durchführung einer Phishing Kampagne“ oder „Erstellung eines Notfallplans für Cyberrisiken“).
Selten geben Cyberversicherer die Umsetzung konkret vor. Dies führt häufig dazu, das Unternehmen die Auflage fälschlicherweise als Empfehlung und nicht als eine zwingende Vorgabe wahrnehmen.
Auflagen finden sich im Vertragsangebot, im Versicherungsschein, in einem Nachtrag oder in den Besonderen Vertragsbedingungen. In einzelnen Fällen können sie bereits zum Zeitpunkt der Risikoprüfung in Form einer Risikofrage erscheinen.
Umsetzungsfrist oder eingeschränkter Versicherungsschutz
Meist beträgt die Umsetzungsfrist drei bis sechs Monate. Die Auflage kann als einmaliger Erfolg (z.B. „Durchführung einer Überprüfung der […] bis […]“) oder auch als dauerhafter Zustand (bspw. „Einführung eines Berechtigungs-Managements spätestens ab […]“) definiert sein.
Andere Auflagen schränken den Versicherungsschutz bis zur Umsetzung der geforderten Maßnahme ein (bspw. „bis zur Umsetzung trägt der Versicherungsnehmer 50 Prozent der Versicherungsleistung“) und geben keine Umsetzungsfrist vor.
Rechtliche Einordnung
Auflagen sind rechtlich als Risikobegrenzungen, Risikoausschlüsse oder Obliegenheiten ausgestaltet.
Risikobegrenzung
Bis zur Auflagenumsetzung kann ein fixer oder ein prozentualer Selbstbehalt das Risiko des Versicherers begrenzen.
Beispiele:
„Bis zur Umsetzung [der aufgeführten Maßnahme/Auflagen] besteht eine erhöhte Selbstbeteiligung von […] EUR je Versicherungsfall und bausteinübergreifend.“
„Bis zur Umsetzung [der aufgeführten Maßnahme/Auflagen] hat der Versicherungsnehmer 50 Prozent der Leistung im Versicherungsfall selbst zu tragen.“
Die Risikobegrenzung entfällt mit der Erfüllung der Auflage (§ 158 Abs. 2 BGB).
Risikoausschluss
Teilweise stellen Auflagen einen Risikoausschluss dar oder werden als Risikoausschluss bezeichnet.
Beispiel:
„Nicht versichert sind Versicherungsfälle aufgrund von oder im Zusammenhang mit einem externen Zugriff auf das Computer System der Versicherungsnehmer, der ohne eine Multi-Faktor-Authentifizierung erfolgt ist.“
Solche Auflagen schließen den Versicherungsschutz bis zur Umsetzung teilweise („Versicherungsschutz für Ransomware ist ausgeschlossen“) oder vollständig aus, wenn der Versicherungsfall auf der bis dahin nicht umgesetzten Maßnahme beruht (Schaden aufgrund fehlender MFA).
Obliegenheit
Häufig verlangen Auflagen vom Unternehmen ein konkretes Verhalten und setzen für den Fall eines Verstoßes die abgestuften Sanktionen des § 28 VVG fest (Leistungskürzung oder Leistungsfreiheit bei mindestens grob fahrlässiger Herbeiführung).
Beispiele:
„Das Netzwerk ist nach Schutzbedarf zu segmentieren. Die Rechtsfolgen richten sich nach §§ 28 f. VVG“
„Durchführung einer Phishing Kampagne bis zur nächsten Versicherungsperiode sowie anschließende regelmäßige (mindestens […] pro Jahr) Phishing Kampagnen. Diese Auflage gilt als Obliegenheit im Sinne der […].“
Kommt es während der Umsetzungsfrist zu einem Schadenfall, ist der Versicherer unabhängig von der konkreten Umsetzung leistungspflichtig. Läuft hingegen die Umsetzungsfrist erfolglos ab, liegt unmittelbar eine Obliegenheitsverletzung vor.
2. Die unterschätzten Gefahren
Für Unternehmen, deren gegenwärtige IT-Sicherheit aus Sicht des Cyberversicherers noch vom Zielbild der Zeichnungsrichtlinien abweicht aber willens sind, ihre IT-Sicherheit zu erhöhen, bieten Auflagen eine Chance. Andernfalls wäre zu diesem Zeitpunkt oft kein Versicherungsschutz zu erhalten. Gleichzeitig bergen Auflagen jedoch auch Risiken: Versäumt das Unternehmen die Umsetzung der Auflage oder kommt es zu Missverständnissen bei der Auslegung, so kann der Versicherungsschutz in ernster Gefahr sein. Unternehmen müssen daher schon bei Abschluss des Cyberversicherungsvertrags die Probleme kennen und berücksichtigen.
Umsetzungsfrist verstrichen – die unterschätzte Gefahr
Zum Zeitpunkt des Vertragsschlusses einer Cyberversicherung prüfen Entscheidungsträger nicht immer, ob eine vereinbarte Auflage innerhalb der Umsetzungsfrist im eigenen Unternehmen überhaupt realistischerweise umgesetzt werden kann. Erkennen die Entscheidungsträger dann vor Ablauf der Umsetzungsfrist, dass die Umsetzung mehr Zeit benötigt, verweigern Versicherer nicht selten eine Fristverlängerung. Mit erfolglosem Ablauf der Umsetzungsfrist liegt dann unmittelbar eine Obliegenheitsverletzung durch das Unternehmen vor.
Beispiel:
Die Auflage verpflichtet Unternehmen A, in allen Tochterunternehmen MFA innerhalb von sechs Monaten umzusetzen. Nach vier Monaten kommt ein neues Tochterunternehmen B hinzu, welches noch nicht über MFA verfügt. Da die Integration von Tochterunternehmen B zeitaufwendig ist, gelingt die Umsetzung von MFA nicht innerhalb von sechs Monaten. Eine Auflagenverletzung liegt vor und der Versicherungsschutz ist gefährdet.
Auflagen während der Vertragslaufzeit – die vergessene Gefahr
Wie auch die fristgemäße Umsetzung einer Auflage in Vergessenheit geraten kann, gerät häufig die Befolgung der Auflage selbst in den Hintergrund. Die Auflage stellt jedoch meist eine auch nach erstmaliger Umsetzung zu befolgende Vorgabe dar und kann bei einer Verletzung zur vollständigen Leistungsfreiheit des Cyberversicherers führen.
Beispiel:
Die Auflage verpflichtet Unternehmen A, alle Remotezugänge über MFA zu sichern. Das Unternehmen A erfüllt die Auflage. Ein später neu hinzukommendes Tochterunternehmen B verfügt allerdings noch nicht über MFA. Ohne ausdrückliche Regelung für diesen Fall liegt eine Auflagenverletzung vor und der Versicherungsschutz ist gefährdet.
Auslegungsstreitigkeiten vorprogrammiert
Die in der Praxis verwendeten Auflagen unterscheiden sich teils erheblich. Vielen Auflagen ist jedoch gemein, dass der hohe Abstraktionsgrad oder gar eine immanente Widersprüchlichkeit Auslegungsstreitigkeiten vorprogrammiert und damit dem Unternehmen die sichere Umsetzung der Auflage schwerfällt.
Beispiel:
Die Auflage verpflichtet das mittelständische Unternehmen A, über einen „Notfallplan für einen IT-Sicherheitsvorfall“ zu verfügen. Das Unternehmen A weiß nun nicht, ob der erstellte Notfallplan den Anforderungen des Cyberversicherers entspricht und der Cyberversicherer nach einem Cyberangriff den Notfallplan rügt sowie eine Auflagenverletzung annimmt.
3. Verteidigungsmöglichkeiten des Unternehmens
Kommt es zum Schadenfall und der Versicherer wendet die Verletzung einer Auflage ein, sollten Unternehmen stets genau prüfen, ob überhaupt eine Auflagenverletzung vorliegt (3.1), ob die Auflage eine verhüllte Obliegenheit darstellt (3.2), und ob eine Auflagenverletzung tatsächlich zur Leistungsfreiheit des Versicherers führt (3.3).
3.1 Auslegung von Auflagen
Um zu bestimmen, ob das Unternehmen – wie vorgeworfen – die Auflage tatsächlich verletzt, ist die Auflage aus Sicht eines durchschnittlichen Versicherungsnehmers auszulegen.[2] Unklarheiten bei der Auslegung gehen dabei zulasten des Cyberversicherers als Verwender.
Multi-Faktor-Authentifizierung
Auflagen zur Umsetzung einer Multi-Faktor-Authentifizierung („MFA“) bergen meist Auslegungsschwierigkeiten.
Beispiel:
„Einführung von Multi-Faktor-Authentifizierung für sämtliche Zugriffe zu IT-Systemen, die für administrative Tätigkeiten genutzt werden.“
Aus Sicht eines durchschnittlichen Versicherungsnehmers erfüllt jegliche mehrfache Authentifizierung – unabhängig vom tatsächlich erreichten Schutzniveau – die Auflage und stellt somit den Versicherungsschutz sicher.
Passwortrichtlinie
Auflagen zur Umsetzung einer Passwortrichtlinie sind meist so unbestimmt, dass das Vorhandensein einer Passwortrichtlinie eine Auflagenverletzung abwendet.
Beispiel:
„Umsetzung einer Passwortrichtlinie“
Aus Sicht des maßgeblichen durchschnittlichen Versicherungsnehmers reicht es aus, wenn das Unternehmen ein Dokument mit Reglungen zur Verwendung von Passwörtern erstellt und diese innerhalb des Unternehmens kommuniziert.
Notfallplan
Teilweise fordern Cyberversicherer einen Notfallplan, ohne konkrete Vorgaben zu machen.
Beispiel:
„Der Versicherungsnehmer verfügt über einen aktuellen Notfallplan für Cyber-Sicherheitsvorfälle, der auch physisch abgelegt ist.“
Auch diese Auflage lässt offen, was ein Notfallplan enthalten muss, und dürfte bereits dann erfüllt sein, wenn ein Dokument Regelungen für einen Cyber-Sicherheitsvorfall vorgibt und dieser allen relevanten Personen bekannt ist.
Phishing-Kampagne
Auflagen fordern häufig Phishing-Kampagnen. Bei Phishing-Kampagnen erhalten die Mitarbeiter des Unternehmens regelmäßig simulierte Phishing-Emails, in der Regel durch einen dafür beauftragten Dienstleister. Die Kampagnen sollen den Umgang mit Phishing-Emails im Unternehmen verbessern und Mitarbeiter sensibilisieren.
Beispiel:
„Einführung und Durchführung einer Phishing Kampagne.“
Wieder stellt die Auflage aus Sicht eines durchschnittlichen Versicherungsnehmers grundsätzlich keine Anforderungen an den Inhalt und die Häufigkeit der Phishing-Kampagnen. Um jedoch jegliche Auslegungsstreitigkeit hinsichtlich der Auflage zu umgehen, sollte das Unternehmen den Cyberversicherer über die konkret geplante Phishing-Kampagne informieren und den Cyberversicherer zur Bestätigung der Auflagenerfüllung auffordern.
Grundsätzlich gilt: Kein Raum für den Einwand einer Auflagenverletzung besteht immer dann, wenn Cyberversicherer bestätigen, dass das versicherungsnehmende Unternehmen die Auflage korrekt umgesetzt hat.
3.2 Risikoausschluss oder verhüllte Obliegenheiten
Wendet der Cyberversicherer die Verletzung einer Auflage als Risikoausschluss ein, sollte das Unternehmen stets überprüfen, ob tatsächlich ein Risikoausschluss vorliegt oder die Auflage vielmehr eine verhüllte Obliegenheit darstellt.
Verhüllte Obliegenheiten sind fälschlicherweise als Risikoausschlüsse bezeichnete Obliegenheiten. Der BGH grenzt Obliegenheiten von Risikoausschlüssen wie folgt ab:
„Es kommt darauf an, ob sie die individualisierende Beschreibung eines bestimmten Wagnisses enthält, für das der Versicherer keinen Versicherungsschutz gewähren will, oder ob sie in erster Linie ein bestimmtes Verhalten des VN fordert, von dem es abhängt, ob er einen zugesagten Versicherungsschutz behält oder verliert.“[3]
Fordert also eine Auflage das Unternehmen zu einem konkreten Handeln auf (beispielsweise die dauerhafte Umsetzung von MFA) und bezeichnet diese Verhaltensvorgabe als Risikoausschluss, liegt eine verhüllte Obliegenheit vor.
Unternehmen sollten immer dann, wenn eine verhüllte Obliegenheit vorliegt, die Unwirksamkeit der Auflage oder zumindest den fehlenden Verweis auf eine Rechtsfolge einwenden.[4] In jedem Fall scheidet eine automatische Leistungsfreiheit aus und der Cyberversicherer muss mindestens die vorsätzliche Verletzung der Auflage nachweisen, um gemäß § 28 VVG leistungsfrei zu werden.
3.3 Leistungsfreiheit und -kürzung bei Obliegenheiten
Wendet der Cyberversicherer ein, dass die als Obliegenheit ausgestaltete Auflage verletzt wurde, sollte das Unternehmen stets überprüfen, ob
- ein wirksamer Hinweis auf die Rechtsfolgen des § 28 VVG vorliegt,
- Gründe gegen eine mindestens grob fahrlässige Obliegenheitsverletzung sprechen (eine einfach fahrlässige Obliegenheitsverletzung berührt den Versicherungsschutz nicht)
- der Kausalitätsgegenbeweis möglich ist (§ 28 Abs. 3 VVG).
Gerade die in der Praxis häufig verwendeten Auflagen geben Raum für einen erfolgreichen Kausalitätsgegenbeweis (d.h. der Versicherungsfall oder die Leistungspflicht wäre in gleicher Art auch bei erfüllter Auflage eingetreten) wie die nachfolgenden Beispiele zeigen.
Multi-Faktor-Authentifizierung
Das Unternehmen kann den Kausalitätsgegenbeweis führen, in dem das Unternehmen nachweist, dass nicht jede Art der Multi-Faktor-Authentifizierung den Eintritt und Umfang des Versicherungsfalles hätte vermeiden können.
Passwortrichtlinie
Dem Unternehmen wird immer dann der Kausalitätsgegenbeweis gelingen, wenn die Angreifer das Passwort durch einen kurz vor dem Cyberangriff erfolgten Identitätsdiebstahl erlangten und damit auch ein komplexeres Passwort den Angriff nicht verhindert hätte.
Notfallplan
Setzt das Unternehmen entgegen einer Auflage keinen Notfallplan um, muss das Unternehmen für den Kausalitätsgegenbeweis darlegen, dass auch ohne Notfallplan die eigenen Mitarbeiter angemessen reagierten und der geforderte Notfallplan nicht zu einem geringeren Schaden geführt hätte.
Phishing-Kampagne
Kommt es aufgrund einer Phishing Attacke zu einem Versicherungsfall, wird das Unternehmen meist erfolgreich den Kausalitätsgegenbeweis führen.
Das „Anklicken“ eines Links in einer Phishing-E-Mail beruht auf einem menschlichen Augenblickversagen. Auch der bestgeschulte Mitarbeiter kann in einer Stress-Situation oder einem unaufmerksamen Moment einen Fehler machen.
4. Fazit
Auflagen ermöglichen Unternehmen, trotz einzelner Schwachstellen in der IT einen Cyberversicherungsschutz zu erhalten. Auflagen bergen aber ein nicht zu unterschätzendes Risiko, dass sich der sicher geglaubte Versicherungsschutz als Luftnummer erweist. Unternehmen müssen daher bei Abschluss des Cyberversicherungsvertrags einschätzen, ob sie die Auflagen innerhalb der Umsetzungsfrist umsetzen können. Hierzu sollten Unternehmen vom Cyberversicherer konkrete Vorgaben für die Umsetzung der Auflage verlangen und sich die Umsetzung der Auflage durch den Cyberversicherer bestätigen lassen. Gleichzeitig sollten die Unternehmen die dauerhafte Umsetzung der Auflage sicherstellen.
Verweigert der Cyberversicherer nach einem erfolgreichen Cyberangriff den Versicherungsschutz, sollten Unternehmen die konkrete Auflage im Sinne der BGH-Rechtsprechung aus Sicht eines durchschnittlichen Versicherungsnehmers auslegen und prüfen, ob eine Auflagenverletzung überhaupt zur Leistungsfreiheit des Versicherers führt. Gerade (verhüllte) Obliegenheiten eröffnen dem Unternehmen vielfältige Verteidigungslinien, um letztlich doch eine Versicherungsleistung zu erhalten.
Mit dem notwendigen Risikobewusstsein können Unternehmen die Chancen von Auflagen nutzen und die Gefahren minimieren.
Autoren: Dr. David Ulrich und Johannes Stanglmeier
Dieser Beitrag erschien zuerst in der Zeitschrift Die VersicherungsPraxis 02-2025, S. 12 ff. Er beruht auf einem Beitrag in der r+s 2024, 933.
Literatur und Rechtsprechung:
[1] Die hier aufgeführten Beispiele beruhen auf in der Praxis verwendete Auflagen, die vorliegend leicht verändert wurden.
[2] BGH, r+s 2023, 913, Rn. 13. Auch einseitige Individualvereinbarungen (auf den konkreten Einzelfall verbindlich vom Versicherer vorgegeben) sind wie AVB auszulegen: OLG Düsseldorf, Urt. 23.03.2018‒4 U 60/17, r+s 2019, 88, Rn. 19. Zustimmend: Piontek, r+s 2023, 1039, Rn. 25; Boche in Veith/Gräfe/Lange/Rogler5, § 15, Rn. 179.
[3] BGH, VersR 2023, 1165, Rn. 19.
[4] Vgl. Eley, VersR 2024, 1569, 1574 f., m.w.N.
Mehr Aktuelles
Mehr Aktuelles
Spontane Anzeigepflicht, Arglist und die D&O-Versicherung: Neue Rechtsprechung wirft Fragen auf
Spontane Anzeigepflicht, Arglist und die D&O-Versicherung: Neue Rechtsprechung wirft Fragen auf
Versicherungsnehmer müssen nur solche Gefahrumstände anzeigen, nach denen der Versicherer fragt. Diesen Grundsatz stellt das OLG Hamm für die D&O-Versicherung nun in Frage, wie Dr. Fabian Herdter erläutert.
Auflagen in der Cyberversicherung – die unterschätzte Gefahr
Auflagen in der Cyberversicherung – die unterschätzte Gefahr
Wenn der Cyberversicherer seinen Schutz mit Auflagen verbindet, kann das für Unternehmen Chance und Risiko zugleich sein. Worauf zu achten ist, beschreiben Dr. David Ulrich und Johannes Stanglmeier.
Verzinsung von Versicherungsleistungen – Potenziale und Fallstricke in der Praxis
Verzinsung von Versicherungsleistungen – Potenziale und Fallstricke in der Praxis
Umfangreiche Sachschäden reguliert der Versicherer oft erst nach Jahren. Stehen Versicherungsnehmern in diesem Fall Zinsen zu? Johannes Laiblin und Tobias Wessel geben darauf Antworten.
"Top-Kanzlei für Prozessführung": WirtschaftsWoche zeichnet WILHELM aus
"Top-Kanzlei für Prozessführung": WirtschaftsWoche zeichnet WILHELM aus
In ihrer aktuellen Ausgabe zeichnet die WirtschaftsWoche die führenden Kanzleien in der gerichtlichen Streitbeilegung aus. WILHELM ist erstmalig unter den genannten "Top-Kanzleien" und Dr. Fabian Herdter einer der führenden Anwälte.
Exportkreditgarantien: Lückenhafter Schutzschild für kritische Ausfuhrprojekte?
Exportkreditgarantien: Lückenhafter Schutzschild für kritische Ausfuhrprojekte?
In seinem Vortrag bei der Veranstaltung „Kreditrisiken 2024“ des GVNW erläuterte Dr. Fabian Herdter die Fallstricke der auch als Hermesdeckungen bekannten Exportkreditgarantien.
In anderen Umständen: Was bringt eine Umstandsmeldung in der D&O-Versicherung?
In anderen Umständen: Was bringt eine Umstandsmeldung in der D&O-Versicherung?
Die Meldung von Umständen ist ein wichtiges Instrument für Versicherungsnehmer und versicherte Manager in der D&O-Versicherung. Worauf dabei zu achten ist, erklärt Dr. Fabian Herdter.
Der fragwürdige Einwand der Kardinalpflichtverletzung in der D&O
Der fragwürdige Einwand der Kardinalpflichtverletzung in der D&O
Wenn der Versicherer dem Manager die Verletzung „elementarer Berufspflichten“ vorwirft, ist der Versicherungsschutz schnell verloren. In seinem Vortrag auf dem DGVH-Tage kritisierte Dr. Friedrich Isenbart diese Praxis in einem Vortrag.
Zwischen Ressort- und Gesamtverantwortung: Welcher Vorstand haftet wann?
Zwischen Ressort- und Gesamtverantwortung: Welcher Vorstand haftet wann?
Grundsätzlich tragen alle Mitglieder des Vorstands Verantwortung für das Unternehmen. Doch lässt sich durch eine Ressortverteilung die Haftung minimieren? Dr. Mark Wilhelm zeigt Möglichkeiten und Grenzen eines solchen Vorhabens auf.
Cyberversicherung: Stolperfallen in der Schadenregulierung
Cyberversicherung: Stolperfallen in der Schadenregulierung
Nach Cyberangriffen kommt es häufig zu Diskussionen über den Versicherungsschutz. Mit Einwänden versuchen Cyberversicherer ihre Leistungspflicht zu begrenzen. Dr. David Ulrich wirft einen Blick auf häufige Streitpunkte.