Cyber-Versicherung: Tappen Sie nicht in die Falle – Warum Ihr Schutz im Ernstfall nichts wert sein könnte

Stellen Sie sich vor, Sie kaufen einen Feuerlöscher. Im Kleingedruckten steht allerdings: „Funktioniert nur, wenn das Feuer nicht an einem Dienstag ausbricht und das Holz nicht zu trocken war.“

Klingt absurd? In der Welt der Cyber-Versicherungen ist das gerade Realität geworden.

Während Geschäftsführer glauben, sie hätten ihr Risiko gegen eine Prämie an die Versicherung ausgelagert, rüsten die Rechtsabteilungen der Versicherer auf. Das Ziel: Die sogenannte „Leistungsfreiheit“. Ich sehe ein: Auch eine Versicherung ist ein Profit-Unternehmen. Ihr Geschäftsmodell ist die Wette gegen den Schaden. Doch damit diese Wette für den Versicherer aufgeht, scheint eine sprachliche Divergenz systemisch verankert zu sein.

Grafik zeigt Cyber-Versicherung-Fallen: Semantik-Lücke, Obliegenheiten §28 VVG, LMA5567 Kriegsausschluss. Von Antrags-JA zu Leistungsfreiheit.[AI Generated Image]

Die Bedeutungslücke: Was Sie lesen vs. was Sie unterschreiben

(Die Bedeutungslücke zwischen Laien-Sprache und Juristen-Deutsch)

Es existiert eine gefährliche Lücke zwischen dem, was der technische Laie (der Geschäftsführer) liest, und dem, was der juristische Profi (der Versicherer) damit meint. Diese „schwammigen Formulierungen“ wirken im Antrag wie ein „Easy Entry“ – leicht zu bejahen, schnell abgeschlossen. Doch im Schadenfall entpuppen sie sich als „Hard Exit“ für den Versicherer.

Analysieren wir die drei konkreten Mechanismen aus der Praxis, die zeigen, wie diese semantische Falle zuschnappt.

Falle 1: Die „Semantik-Falle“ (Das MFA-Phantom)

Im Antrag finden Sie oft Fragen wie diese:

„Existieren Regelungen zum Umgang mit IT-Zugangsdaten im Unternehmen, deren Umsetzung überwacht wird?“

Was Sie verstehen: „Ja, klar. Wir haben unseren Mitarbeitern gesagt, sie sollen ihre Passwörter nicht auf Post-its schreiben und ‘123456’ ist verboten.“ Sie denken an Ihre Passwort-Richtlinie und kreuzen guten Gewissens „Ja“ an.

Was der Versicherer meint: Intern diskutieren Branchenexperten offen darüber, dass eine solche Frage „derart weit formuliert“ ist, dass sie fast immer bejaht werden kann. Darin liegt die Gefahr: Die Frage ist so weich, dass Sie sie bejahen müssen. Aber wenn der Hack passiert, argumentiert der Versicherer mit dem „Stand der Technik“. Und der bedeutet heute: Ohne Multi-Faktor-Authentifizierung (MFA) ist jede Passwort-Regelung wertlos. Da die Frage aber nicht explizit nach MFA fragt, wiegen Sie sich in falscher Sicherheit. Im Schadenfall wird Ihnen dann vorgeworfen, Sie hätten zwar „Regelungen“ gehabt, diese seien aber faktisch wirkungslos (grob fahrlässig) gewesen. Ihr Vertrag wird angefochten, die Leistung verweigert.

Falle 2: Die Totalitäts-Falle der Obliegenheiten

Versicherer haben gelernt, dass sie vor Gericht verlieren, wenn sie sich nur auf falsche Angaben im Antrag berufen. Die Reaktion der Branche ist ein strategischer Schwenk: Weg von der bloßen Risikoabfrage, hin zu „klar formulierten vertraglichen Obliegenheiten“, für die der harte § 28 VVG gilt.

Dies zeigt sich in Fragen wie:

„Sind alle stationären und mobilen Arbeitsrechner mit aktueller Software ausgestattet?“ oder „Werden Updates ohne schuldhaftes Zögern durchgeführt?“

Was Sie verstehen: „Im Großen und Ganzen ja. Wir machen Updates, sobald wir Zeit haben.“

Was der Versicherer meint: Das Wort „Alle“ duldet keine Ausnahme. Ein einziger vergessener Laptop im Lager macht Ihre Aussage zur Lüge. „Schuldhaftes Zögern“ ist zudem ein Rechtsbegriff: Ein manuell vergessenes Update ist bereits fahrlässig. Sicherheit ist kein Zustand mehr, den Sie einmal im Antrag bestätigen. Sie wird zur täglichen Vertragspflicht. Haben Sie ein Update vergessen? Läuft irgendwo noch ein alter Server (End-of-Life)? Die Versicherung kann sich deutlich leichter auf Leistungsfreiheit/Leistungskürzung berufen. Die bloße Verletzung der vertraglichen Obliegenheit kann ausreichen, um die Leistung drastisch zu kürzen oder komplett zu streichen.

Falle 3: Die „Kriegs-Erklärung“ (Der Hacker als Staatsfeind)

Der vielleicht beunruhigendste Trend ist die Umdefinition des Risikos selbst. Sie versichern sich gegen Kriminelle. Aber was passiert, wenn der Kriminelle im Auftrag eines Staates handelt?

Neue Vertragsklauseln (wie die LMA 5567) definieren „Cyber Operationen“ neu. Ein Hack, der einem Staat zugerechnet wird („Attribution“), gilt nicht mehr als versichertes Verbrechen, sondern als kriegerischer Akt.

Das Szenario: Ihr Unternehmen wird von einer Ransomware-Gruppe verschlüsselt. IT-Forensiker finden Spuren, die auf eine Gruppe hindeuten, die lose mit einem sanktionierten Staat in Verbindung steht. Die Versicherung zieht die „Kriegskarte“. Da Kriegsschäden ausgeschlossen sind, stehen Sie trotz Police ohne Schutz da. In einer Welt hybrider Konflikte wird diese Hintertür zum Scheunentor.

Das System dahinter: Von der weichen Frage zur harten Weigerung

Diese drei Fallen wirken nicht isoliert, sondern als Sicherheitskaskade für den Versicherer. Zuerst wird mit vagen Formulierungen (Falle 1) ein Vertragsverhältnis etabliert. Anschließend wird dieses Verhältnis durch dauerhafte, absolutistische Pflichten (Falle 2) so gespannt, dass eine Verletzung fast unvermeidlich ist. Zuletzt steht mit der Kriegsklausel (Falle 3) ein mächtiges, politisches Werkzeug bereit, um das Risiko im Ernstfall komplett aus dem Vertrag zu entlassen. Dieses ausgeklügelte System ist kein Zufall, sondern die direkte Antwort der Branche auf zwei Gerichtsurteile, die das Spiel verändert haben.

Der juristische Zünder: Warum die Gangart jetzt härter wird

Diese sprachlichen Feinheiten sind keine theoretische Bosheit. Sie sind die direkte Antwort der Branche auf zwei wegweisende Urteile, die das Spielfeld neu markiert haben.

1. Die Warnung aus Kiel (Rate niemals!) Das Landgericht Kiel (Az. 5 O 128/21) statuierte ein Exempel: Ein Unternehmen hatte im Antrag Sicherheitsfragen pauschal bejaht, obwohl Server veraltet waren. Das Urteil: Arglistige Täuschung. Der Vertrag wurde rückwirkend vernichtet, der Schutz war weg. Die Lehre: Wer „ins Blaue hinein“ antwortet, ohne technisch geprüft zu haben, unterschreibt sein eigenes Urteil.

2. Das Trauma von Tübingen (Warum die Verträge jetzt „dicht“ gemacht werden) Das Landgericht Tübingen (Az. 4 O 193/21) hingegen war ein Schock für die Versicherer. Hier hatte ein Kunde zwar veraltete Systeme, konnte aber beweisen, dass der Hack auch mit Updates passiert wäre (der sogenannte Kausalitätsgegenbeweis). Die Versicherung musste zahlen. Die Reaktion: Genau dieses „Schlupfloch“ wollen die Versicherer nun schließen. Indem sie Sicherheit von einer bloßen Antwort zu einer vertraglichen Obliegenheit hochstufen, versuchen sie, diesen Kausalitätsbeweis technisch auszuhebeln.

Das Fazit: Unterschreiben Sie nichts, was Sie nicht beweisen können

Die Cyber-Versicherung ist wichtig – sie ist existenzsichernd. Aber sie ist kein Produkt, das man „einfach so“ im Vorbeigehen kauft. Werden Sie mündig. Akzeptieren Sie keine schwammigen Fragen. Eine fachkundige Beratung sollte vor einer Verpflichtung immer Standard sein.

Was folgt, sind minimale, aber hochwirksame Schritte, um aus der Illusion echten Schutz zu machen.

Übersetzen Sie: Wenn der Versicherer nach „Sicherheit“ fragt, antworten Sie mit harten Standards (ISO 27001 / BSI). Lassen Sie keinen Interpretationsspielraum.
Dokumentieren Sie: Ein „Ja“ im Antrag ist wertlos ohne ein technisches Audit-Protokoll vom selben Tag.
Hinterfragen Sie: Lassen Sie sich schriftlich bestätigen, dass Ihre konkrete IT-Infrastruktur (inklusive der alten Server im Keller) versichert ist.

Verlassen Sie sich nicht auf das „Gefühl“, versichert zu sein. Sorgen Sie für die Gewissheit, dass die Versicherung im Ernstfall keine Ausrede mehr hat.