Typisches Szenario aus der Schadenpraxis: Ein Metallbaubetrieb wird verschlüsselt, der Notfallplan greift, der Versicherer wird noch am selben Tag informiert. Die Wiederherstellung kostet 180.000 Euro, die Betriebsunterbrechung ein Vielfaches. Der Geschäftsführer rechnet mit schneller Regulierung. Stattdessen kommt ein Fragenkatalog: Forensik-Bericht, Update-Historie der letzten zwölf Monate, Backup-Protokolle, Nachweis der Zwei-Faktor-Authentifizierung.
Was hier passiert, ist keine Schikane. Es ist die Deckungsprüfung, und sie läuft nach einem festen Muster ab. Der Versicherer gleicht drei Dinge miteinander ab: was Sie im Antrag angegeben haben, was der Vertrag an Pflichten vorschreibt und was die Forensik über den tatsächlichen Zustand Ihrer IT zum Angriffszeitpunkt sagt. Weichen diese drei Bilder voneinander ab, wird aus dem Schadenfall ein Rechtsfall.
Die Deckungsprüfung im Cyber-Schadenfall folgt fünf Kernfragen, die sich aus dem Versicherungsvertragsgesetz und den Vertragsbedingungen ergeben. Wer die Fragen kennt und die passenden Nachweise vorhalten kann, bekommt reguliert. Wer sie erst im Schadenfall kennenlernt, verliert regelmäßig Leistung. Dieser Artikel zeigt beide Seiten: die Prüflogik des Versicherers und die Fallstricke, an denen kleine und mittlere Unternehmen real scheitern.
Im Schadenfall trägt der Versicherungsnehmer die Beweislast dafür, dass er seine IT-Pflichten eingehalten hat. Patch-Protokolle, Backup-Nachweise, Schulungsbelege: Was nicht dokumentiert ist, existiert aus Sicht der Regulierung nicht. Die meisten KMU verlieren Leistung nicht wegen des Angriffs, sondern wegen fehlender Nachweise über Dinge, die sie tatsächlich getan haben.
Die 5 Prüffragen des Versicherers
Nach der Schadenmeldung setzt der Versicherer in der Regel ein eigenes Forensik-Team ein oder verlangt einen IT-forensischen Bericht. Die Forensik rekonstruiert dabei neben dem Angriffsweg auch den Zustand der gesamten IT-Infrastruktur zum Schadenzeitpunkt. Auf dieser Grundlage arbeitet die Regulierung fünf Fragen ab.
Frage 1: Stimmen Ihre Antragsangaben?
Beim Abschluss einer Cyberversicherung beantworten Sie Risikofragen: zu Updates, Backups, Virenschutz, Zugriffsrechten. Der GDV-Muster-Risikofragebogen fragt unter anderem nach individuellen Zugängen, eingeschränkten Administratorrechten, mindestens wöchentlichen Datensicherungen und zeitnahen Sicherheitsupdates. Diese Antworten sind rechtlich Ihre vorvertragliche Anzeigepflicht nach § 19 VVG. Im Schadenfall gleicht der Versicherer die Antworten mit dem Forensik-Befund ab. Je nach Verschulden reichen die Folgen einer Falschangabe von Vertragsanpassung über Rücktritt bis zur Anfechtung wegen arglistiger Täuschung. Bei Anfechtung ist der Schutz rückwirkend weg, als hätte der Vertrag nie bestanden.
Frage 2: Haben Sie die laufenden IT-Pflichten eingehalten?
Die GDV-Musterbedingungen für Cyberversicherungen machen IT-Sicherheit zur vertraglichen Obliegenheit während der gesamten Laufzeit: Sicherheitsupdates zeitnah einspielen, Daten regelmäßig sichern und die Sicherungen vor unberechtigtem Zugriff und Überschreiben schützen, Zugänge individuell vergeben, Administratorrechte beschränken. Wer beim Abschluss alles richtig angegeben hat, aber im Betrieb nachlässig wird, verletzt diese Obliegenheiten. Die Rechtsfolge regelt § 28 VVG, dazu gleich mehr.
Frage 3: Haben Sie richtig gemeldet und mitgewirkt?
Nach dem Versicherungsfall verlangen die Bedingungen typischerweise: unverzügliche Schadenanzeige, Befolgen der Weisungen des Versicherers, vollständige Auskunft in Textform und die Pflicht, das Schadenbild nicht unnötig zu verändern. Das kollidiert in der Praxis mit dem verständlichen Impuls, die Systeme schnellstmöglich neu aufzusetzen. Wer vor der Freigabe durch den Versicherer Server plattmacht, zerstört Beweise und riskiert den Vorwurf der Obliegenheitsverletzung nach dem Schadenfall. Wichtig zu wissen: Leistungsfrei wird der Versicherer bei verletzten Auskunfts- und Aufklärungspflichten nur, wenn er vorher in Textform auf diese Rechtsfolge hingewiesen hat, so § 28 Abs. 4 VVG.
Frage 4: War die Pflichtverletzung überhaupt kausal?
Eine entscheidende und in der Beratungspraxis oft übersehene Frage. Selbst wenn Sie eine Obliegenheit grob fahrlässig verletzt haben, bleibt der Versicherer leistungspflichtig, soweit die Verletzung weder für den Eintritt des Versicherungsfalls noch für die Höhe des Schadens ursächlich war. Das ist der Kausalitätsgegenbeweis nach § 28 Abs. 3 VVG. Praktisch heißt das: Fehlende Updates auf einem Server kosten Sie nur dann Leistung, wenn der Angriff über genau diese Lücke lief oder dadurch größer wurde. Die Beweislast dafür liegt allerdings bei Ihnen, und bei Arglist ist der Gegenbeweis ausgeschlossen.
Frage 5: Ist der Schaden überhaupt versichert?
Zuletzt prüft der Versicherer den Deckungsumfang selbst. Drei Klassiker: Lösegeldzahlungen sind in den GDV-Musterbedingungen ausdrücklich ausgeschlossen, einzelne Tarife bieten sie nur als Baustein mit Sublimit, und ohne vorherige Zustimmung des Versicherers riskieren Sie diesen Posten komplett. Bei der Betriebsunterbrechung entscheiden Karenzzeit, Haftzeit und Berechnungsmethode über die reale Auszahlung. Und Schäden über fremde Systeme, etwa Zahlungsbetrug über die kompromittierte IT eines Geschäftspartners, fallen häufig nicht unter den Schutz, weil das eigene versicherte Netzwerk nicht betroffen war.
Drei Urteile, drei Lehren
Die deutsche Rechtsprechung zur Cyberversicherung ist jung, aber die ersten Leiturteile zeigen die Bandbreite: vom vollen Leistungsanspruch trotz Fehlern bis zum Totalverlust des Schutzes.
| Urteil | Sachverhalt | Ergebnis |
|---|---|---|
| LG Tübingen 26.05.2023 Az. 4 O 193/21 |
Ransomware nach Phishing-Mail. Risikofragen zu Server-Updates waren falsch beantwortet, mehrere Systeme liefen ohne aktuelle Patches. | Versicherer muss rund 2,8 Mio. € zahlen. Der Kausalitätsgegenbeweis gelang: Der Angriff wäre auch mit Updates gelungen. |
| LG Kiel 23.05.2024 Az. 5 O 128/21 bestätigt durch OLG Schleswig Beschluss Januar 2025 Az. 16 U 63/24 |
Hackerangriff auf Holzgroßhändler. Der IT-Verantwortliche hatte Risikofragen zu Virenschutz und Updates ins Blaue hinein bejaht, ohne die tatsächliche Lage zu kennen. | Anfechtung wegen arglistiger Täuschung. Kompletter Verlust des Versicherungsschutzes, rückwirkend. Täuschungsabsicht war nicht erforderlich. |
| LG Hagen 15.10.2024 Az. 9 O 258/23 |
85.000 € Schaden durch gefälschte Zahlungsanweisung über das kompromittierte System eines Dritten. | Keine Deckung. Das eigene versicherte Netzwerk war nicht betroffen, der Betrug lief über Fremdsysteme. |
Hinweis: Gegen das Tübinger Urteil wurde Berufung zum OLG Stuttgart eingelegt (Az. 7 U 262/23), ein rechtskräftiger Abschluss ist öffentlich nicht dokumentiert.
Die drei Lehren daraus: Erstens, Fehler in der IT sind nicht automatisch das Ende des Anspruchs, solange sie für den Schaden nicht ursächlich waren. Zweitens, Risikofragen leichtfertig zu beantworten ist der gefährlichste Einzelfehler überhaupt, denn Arglist braucht keine Täuschungsabsicht und schneidet den Kausalitätsgegenbeweis ab. Drittens, der Deckungsumfang endet an der Grenze des eigenen Netzwerks, und genau dort beginnen viele moderne Betrugsmaschen wie CEO-Fraud und Zahlungsumleitungen.
Die Quotelung: Wie viel darf der Versicherer kürzen?
Bei einer vorsätzlichen Obliegenheitsverletzung kann der Versicherer die Leistung komplett verweigern, sofern der Vertrag das vorsieht. Bei grober Fahrlässigkeit gilt die Quotelung nach § 28 Abs. 2 VVG: Die Kürzung muss der Schwere des Verschuldens entsprechen, pauschale Quoten sind unzulässig. In schweren Fällen hat die Rechtsprechung auch Kürzungen bis auf null anerkannt.
Zur Verdeutlichung eine Beispielrechnung: Ein Betrieb erleidet einen Schaden von 200.000 Euro. Die Forensik stellt fest, dass ein seit Monaten verfügbares Sicherheitsupdate auf dem angegriffenen Server fehlte und der Angriff über genau diese Lücke lief. Bewertet der Versicherer das als grob fahrlässig mit einer Quote von 50 Prozent, zahlt er 100.000 Euro. Die Zahlen sind kalkulatorisch, das Muster entspricht der Regulierungspraxis. Ob die Quote berechtigt ist, hängt vom Einzelfall ab und ist verhandelbar. Genau hier lohnt die Prüfung durch einen spezialisierten Anwalt oder die Begleitung durch Ihren Versicherungsmakler.
Wichtig für die Verteidigung: Die Beweislast dafür, dass keine grobe Fahrlässigkeit vorlag oder die Verletzung folgenlos blieb, trägt der Versicherungsnehmer. Wer den Zustand seiner IT laufend dokumentiert, kann sich wehren. Wer nichts vorweisen kann, steht in der Verhandlung ohne Munition da.
Die 5 Fallstricke, an denen KMU Leistung verlieren
- Risikofragen delegieren und blind unterschreiben. Der Fall Kiel zeigt: Wenn der IT-Verantwortliche Fragen auf gut Glück bejaht, haftet das Unternehmen für die Falschangabe. Vor der Unterschrift jede Frage gegen den tatsächlichen IT-Zustand prüfen, im Zweifel schriftlich beim IT-Dienstleister nachfragen und die Antwort archivieren.
- Pflichten erfüllen, aber nicht dokumentieren. Updates einspielen reicht nicht, Sie müssen es zwei Jahre später beweisen können. Patch-Protokolle, Backup-Logs und Wiederherstellungstests gehören revisionssicher abgelegt.
- Nach dem Angriff eigenmächtig handeln. Systeme neu aufsetzen, bevor die Forensik gesichert hat, Lösegeld zahlen ohne Zustimmung des Versicherers, eigene Dienstleister beauftragen, obwohl der Vertrag das Versicherer-Netzwerk vorschreibt: Jeder dieser Schritte kann Leistung kosten. Erster Anruf immer die Notfall-Hotline des Versicherers, so wie es der Cyber-Notfallplan vorsieht.
- Zu spät oder unvollständig melden. Unverzüglich heißt ohne schuldhaftes Zögern. Wer erst intern tagelang aufräumt und dann meldet, liefert dem Versicherer ein Argument. Die DSGVO-Frist von 72 Stunden an die Datenschutzbehörde läuft parallel und unabhängig davon.
- Kürzungen widerspruchslos akzeptieren. Eine Quotelung ist ein Verhandlungsangebot, kein Urteil. Der Kausalitätsgegenbeweis nach § 28 Abs. 3 VVG ist das schärfste Werkzeug des Versicherungsnehmers, das Tübinger Verfahren hat das eindrucksvoll gezeigt. Vor der Annahme einer Kürzung fachlichen Rat einholen.
Ihre Dokumentations-Checkliste: Welcher Nachweis gehört zu welcher Pflicht
Diese Zuordnung beantwortet die Frage, die im Schadenfall über die Regulierung entscheidet: Können Sie belegen, was Sie zugesagt haben?
| Pflicht (Antrag / Bedingungen) | Nachweis, den der Versicherer akzeptiert |
|---|---|
| Zeitnahe Sicherheitsupdates | Patch-Management-Protokolle mit Datum und System, automatisierte Update-Reports |
| Regelmäßige, geschützte Datensicherung | Backup-Logs, Nachweis der Trennung vom Netzwerk (offline oder unveränderbar), Protokolle der Wiederherstellungstests |
| Individuelle Zugänge, beschränkte Adminrechte | Berechtigungskonzept mit Änderungshistorie, Liste der Admin-Konten |
| Zwei-Faktor-Authentifizierung | Rollout-Dokumentation: welche Systeme, welche Nutzergruppen, seit wann |
| Virenschutz / Endpoint-Schutz | Lizenz- und Konfigurationsnachweise, Management-Konsolen-Reports |
| Mitarbeiter-Sensibilisierung | Teilnahmelisten von Schulungen, Ergebnisse von Phishing-Tests |
Der Aufwand ist überschaubar, wenn die Nachweise nebenbei entstehen: Die meisten Systeme erzeugen die Protokolle ohnehin, sie müssen nur aufbewahrt werden. Wer heute prüfen will, ob die eigene IT die marktüblichen Anforderungen der Versicherer erfüllt, kann das mit unserem kostenlosen Risikocheck in acht Fragen tun.
Wie oft wird wirklich gekürzt?
Eine offizielle Statistik über Ablehnungsquoten oder Leistungskürzungen im Cyber-Schadenfall gibt es für Deutschland nicht, der GDV veröffentlicht solche Zahlen nicht. Belegt ist der wirtschaftliche Druck auf die Versicherer: Für 2023 meldete der GDV rund 4.000 gemeldete Hackerangriffe auf versicherte Unternehmen, einen Schadenaufwand von 180 Millionen Euro und eine Schaden-Kosten-Quote von 97 Prozent. Die Branche zahlt also fast jeden eingenommenen Beitragseuro wieder aus. Das erklärt, warum die Prüfungen strenger geworden sind, sowohl bei der Regulierung als auch bei der Annahme: Fast jeder dritte Neuantrag wird abgelehnt (laut MRTK Cyber-Monitor 2025: 31 Prozent), meist wegen unzureichender IT-Sicherheit.
Für Sie heißt das: Eine Cyberversicherung ist kein Produkt, das man abschließt und vergisst. Sie ist ein Vertrag mit laufenden Pflichten auf beiden Seiten. Wer die Pflichten kennt, dokumentiert und im Ernstfall die Spielregeln der Regulierung beherrscht, bekommt im Schadenfall das, wofür er zahlt.
Der Versicherer prüft im Schadenfall fünf Dinge: Antragsangaben, laufende IT-Pflichten, Meldung und Mitwirkung, Kausalität und Deckungsumfang. Die zwei größten Hebel haben Sie selbst in der Hand: Risikofragen nur nach echter Prüfung beantworten und jede zugesagte Maßnahme dokumentieren. Wer beides beherzigt, macht aus der Deckungsprüfung eine Formalität statt eines Rechtsstreits.
Häufige Fragen zur Schadenfall-Prüfung
Wann zahlt die Cyberversicherung nicht?
Die häufigsten Gründe für Leistungsverweigerung oder Kürzung: Erstens falsch beantwortete Risikofragen im Antrag. Bei arglistiger Täuschung kann der Versicherer den Vertrag nach § 22 VVG anfechten, dann entfällt der Schutz rückwirkend komplett. Zweitens verletzte IT-Obliegenheiten wie fehlende Updates, ungeschützte Backups oder fehlende Zugriffsbeschränkungen. Bei grober Fahrlässigkeit darf der Versicherer die Leistung nach § 28 Abs. 2 VVG anteilig kürzen. Drittens verspätete oder unvollständige Schadenmeldung. Viertens nicht versicherte Schäden wie Lösegeldzahlungen ohne Zustimmung des Versicherers oder Betrug über fremde Systeme, die nicht zum versicherten Netzwerk gehören.
Welche Unterlagen verlangt der Versicherer im Schadenfall?
Typischerweise: einen IT-forensischen Bericht zur Ursache und zum Verlauf des Angriffs, die Dokumentation der Update- und Backup-Praxis vor dem Vorfall, Nachweise der im Antrag angegebenen Sicherheitsmaßnahmen wie Firewall und Zwei-Faktor-Authentifizierung, eine detaillierte Aufstellung der Wiederherstellungskosten und bei Betriebsunterbrechung die betriebswirtschaftlichen Auswertungen zur Berechnung des Umsatzausfalls. Die Beweislast für die Einhaltung der IT-Obliegenheiten trägt der Versicherungsnehmer.
Darf der Versicherer kürzen, wenn Updates fehlten?
Nur unter Bedingungen. Bei grob fahrlässiger Obliegenheitsverletzung darf er die Leistung in einem der Schwere des Verschuldens entsprechenden Verhältnis kürzen, pauschale Quoten sind unzulässig. Entscheidend ist der Kausalitätsgegenbeweis nach § 28 Abs. 3 VVG: Bleibt die Verletzung für den Angriff und die Schadenhöhe folgenlos, muss der Versicherer trotzdem voll zahlen. Genau damit hat das LG Tübingen 2023 einem Unternehmen rund 2,8 Millionen Euro zugesprochen, obwohl Server ohne aktuelle Updates liefen. Ausnahme: Bei Arglist ist der Gegenbeweis ausgeschlossen.
Was passiert bei falsch beantworteten Risikofragen?
Das hängt vom Verschulden ab. Bei schuldloser oder einfach fahrlässiger Falschangabe kann der Versicherer den Vertrag anpassen oder kündigen. Bei grober Fahrlässigkeit oder Vorsatz kann er zurücktreten. Bei Arglist kann er anfechten, dann ist der Schutz rückwirkend weg. Das OLG Schleswig hat Anfang 2025 bestätigt: Schon wer Risikofragen ins Blaue hinein bejaht, ohne die tatsächliche IT-Lage zu kennen, handelt arglistig. Eine Täuschungsabsicht ist dafür nicht nötig. Mehr zu den Ablehnungsgründen im Artikel Cyberversicherung abgelehnt.
Hält Ihre Police der Deckungsprüfung stand? Markus Kopka prüft Obliegenheiten, Sublimits und Meldefristen Ihres Vertrags. Kostenlos und unverbindlich.
Jetzt kostenlos beraten lassen →