Cyberversicherung: Warum Policen kein Freifahrtschein sind
Ein Unternehmen verliert 85.000,00 Euro durch einen einfachen E-Mail-Betrug.
Die Verantwortlichen atmen auf: „Wir haben ja eine Cyberversicherung.“ Doch dann der Schock: Die Versicherung zahlt nicht.
Ein aktuelles Urteil des Landgerichts Hagen (LG Hagen, 9 O 258/23 vom 15.10.2024) zeigt, warum Cyberversicherungen kein Ersatz für funktionierende Sicherheitsmaßnahmen sind – und warum viele Unternehmen ein falsches Sicherheitsgefühl haben.
Was ist passiert?
Im Jahr 2024 wurde ein mittelständisches Unternehmen Opfer eines klassischen Betrugs: Kriminelle manipulierten E-Mails und brachten das Unternehmen dazu, Geld auf ein falsches Konto zu überweisen. Der Schaden lag bei rund 85.000,00 Euro.
Das Unternehmen wandte sich an seine Cyberversicherung. Doch die lehnte die Zahlung ab. Begründung: Solche Betrugsfälle seien nicht von der Police abgedeckt. Das Gericht gab der Versicherung Recht. Das Geld war verloren.
Juristische Einordung: Grenzen der Cyberversicherung
Grundsätzlich kann eine Cyberversicherung viele Risiken abdecken: Datenpannen, Systemausfälle, forensische Untersuchungen, manchmal auch Lösegeldforderungen bei Ransomware.
Aber:
- Nicht jeder Angriff ist versichert. Betrugsfälle wie „CEO-Fraud“ oder „Invoice Fraud“ fallen oft unter Ausschlüsse.
- Versicherungen prüfen sehr genau, ob Unternehmen die vereinbarten technischen und organisatorischen Mindeststandards eingehalten haben. Wer hier nachlässig ist, riskiert den Versicherungsschutz.
- Eigenverantwortung bleibt. Artikel 82 DSGVO sieht klare Haftungspflichten vor. Eine Versicherung kann nicht verhindern, dass Betroffene Schadensersatz verlangen.
Warum betrifft das KMU direkt?
Gerade kleine und mittlere Unternehmen verlassen sich oft auf die Versicherung: „Wir sind ja abgesichert.“ Das Problem:
- Verträge sind kompliziert und enthalten viele Ausschlüsse.
- Ohne solide IT-Sicherheit zahlt die Versicherung im Zweifel nicht.
- Ein Cybervorfall verursacht neben dem finanziellen Schaden auch Reputationsverlust, Vertrauensbruch und juristische Risiken.
Das Ergebnis: Unternehmen haben am Ende nicht nur den Schaden, sondern auch ein massives Problem mit Kunden und Partnern.
Handlungsmöglichkeiten für Unternehmen
Vertrag genau prüfen
- Welche Risiken sind abgedeckt?
- Sind Betrugsfälle (z. B. falsche Überweisungen) eingeschlossen?
- Gibt es Ausschlüsse, die für das eigene Geschäftsmodell besonders relevant sind?
Sicherheitsstandards umsetzen
- Versicherungen verlangen in der Regel bestimmte Mindestmaßnahmen (z. B. Firewalls, aktuelle Patches, Zugangskontrollen).
- Wer diese nicht dokumentiert, riskiert, dass die Versicherung im Ernstfall nicht zahlt.
Organisatorische Prozesse stärken
- Zahlungsfreigaben ab einem bestimmten Betrag nur nach dem Vier-Augen-Prinzip.
- Bankverbindungen immer über einen zweiten Kanal bestätigen (z. B. Telefon).
- Schulungen zu typischen Angriffsmustern wie CEO-Fraud oder gefälschten Rechnungen.
Versicherung als Ergänzung, nicht als Ersatz
- Eine Police kann helfen, Kosten abzufedern.
- Aber sie ersetzt keine Sicherheitsmaßnahmen und schützt nicht vor Reputationsverlust.
FAQ: Häufig gestellte Fragen zur Cyberversicherung
Zahlt eine Cyberversicherung immer bei Betrugsfällen?
Nein. Viele Verträge schließen genau solche Fälle aus.
Reicht es, eine Cyberversicherung zu haben, um geschützt zu sein?
Nein. Ohne funktionierende IT-Sicherheit und klare Prozesse ist der Versicherungsschutz unsicher.
Lohnt sich eine Cyberversicherung für KMU trotzdem?
Ja – wenn die Bedingungen verstanden und die internen Prozesse entsprechend angepasst werden.
Fazit
Eine Cyberversicherung kann sinnvoll sein – aber nur als Ergänzung, nicht als Freifahrtschein. Wer glaubt, sich im Ernstfall auf die Police verlassen zu können, riskiert eine böse Überraschung. Entscheidend bleibt: Prävention durch Technik, Prozesse und Schulung.
Über uns
Wir sind Experten für Datenschutz mit juristischem Hintergrundwissen. Unser Team vereint IT- und Rechtsexpertise und unterstützt Unternehmen dabei, praxisnahe und rechtssichere Lösungen umzusetzen.