Versicherung

Cyberversicherung Obliegenheiten

Veröffentlicht: 16.01.2026Aktualisiert: 22.03.2026

Das Wichtigste in Kürze

Obliegenheiten sind IT-Sicherheitspflichten: MFA, Backups, Patch-Management sind Standard
31 % der Cyberversicherungsantraege werden abgelehnt (MRTK 2025)
Bei vorsaetzlicher Verletzung: Versicherer ist leistungsfrei. Bei grober Fahrlaessigkeit: Kuerzung.
LG Tuebingen 2023: 2,85 Mio. EUR zugesprochen, weil Versicherer Obliegenheiten nicht explizit vereinbart hatte
NIS-2 seit Dezember 2025 in Kraft. Die Mindestmassnahmen ueberlappen stark mit Cyber-Obliegenheiten.

Jeder dritte Antrag auf eine Cyberversicherung wird abgelehnt (MRTK Cyber-Monitor 2025). Der haeufigste Grund: Das Unternehmen erfuellt die IT-Sicherheitsanforderungen des Versicherers nicht. Diese Anforderungen heissen im Versicherungsdeutsch "Obliegenheiten", und wer sie im Schadenfall nicht nachweisen kann, riskiert Leistungskuerzungen oder den kompletten Verlust des Versicherungsschutzes.

Dieser Ratgeber erklaert, welche Obliegenheiten Cyberversicherer 2026 verlangen, was die Gerichte dazu sagen und wie Sie vermeiden, im Schadenfall ohne Deckung dazustehen.

Was sind Obliegenheiten?

Obliegenheiten (Versicherungsrecht) sind vertragliche Pflichten, die Sie als Versicherungsnehmer erfuellen muessen. Der Versicherer kann Sie nicht zur Erfuellung zwingen, aber er kann die Leistung verweigern oder kuerzen, wenn Sie die Pflichten nicht einhalten.

Drei Arten von Obliegenheiten

Vorvertragliche Obliegenheiten: Wahrheitsgemaesse Angaben im Antragsfragebogen. Falsche Angaben koennen zur Anfechtung des gesamten Vertrags fuehren.
Laufende Obliegenheiten: IT-Sicherheitsmassnahmen waehrend der Vertragslaufzeit. MFA, Backups, Patch-Management gehoeren hierzu.
Schadenfall-Obliegenheiten: Sofortmassnahmen nach einem Vorfall. Meldung meist innerhalb von 72 Stunden, Beweissicherung, Kooperation mit dem Versicherer.

Marktueberblick: Wie streng sind Cyberversicherer?

Die Anforderungen variieren erheblich. Laut einer Marktanalyse von CyberDirekt (16 Versicherer untersucht) verteilen sich die Ansaetze wie folgt:

Obliegenheits-Modell	Anteil	Risiko fuer Versicherungsnehmer
Keine Obliegenheiten	31 %	Gering (freundlichstes Modell)
Abgemilderte Obliegenheiten (rechtlicher Verzicht moeglich)	31 %	Moderat
Klare, definierte Liste	25 %	Moderat (aber transparent)
Vage "Stand der Technik"-Klausel	13 %	Hoch (was "Stand der Technik" ist, entscheidet der Versicherer im Schadenfall)

Die vage Klausel ist am gefaehrlichsten: Was genau "Stand der Technik" bedeutet, ist nirgends eindeutig definiert. Im Schadenfall legt der Versicherer den Massstab aus, und das faellt selten zugunsten des Versicherungsnehmers aus.

Die typischen Obliegenheiten im Detail

Multi-Faktor-Authentifizierung (MFA)

MFA ist heute die wichtigste Einzelanforderung. Fast jeder Versicherer verlangt MFA fuer:

Remote-Zugaenge (VPN, RDP)
E-Mail-Konten
Administrator-Konten
Cloud-Dienste

Kompromittierte Zugangsdaten sind der haeufigste Einstiegsvektor fuer Cyberangriffe. Ohne MFA wird der Antrag oft direkt abgelehnt oder die Praemie erhoeht. Mehr zu Angriffsszenarien in unserem Ratgeber Phishing-Angriffe auf Unternehmen.

Backup-Strategie (3-2-1-Regel)

88 Prozent der Versicherer verlangen eine dokumentierte Backup-Strategie. Der Standard ist die 3-2-1-Regel:

3 Kopien der Daten
2 verschiedene Speichermedien
1 Kopie ausser Haus (Offsite oder Cloud)

Zusaetzlich verlangen die meisten Versicherer eine Offline- oder Air-Gapped-Kopie als Ransomware-Schutz sowie quartalmaessige Wiederherstellungstests. Wichtig: Recovery Time Objective (RTO) und Recovery Point Objective (RPO) muessen definiert und getestet sein.

Patch-Management

Kritische Sicherheitspatches (CVSS 9-10): Installation innerhalb weniger Tage
Standardpatches: innerhalb von 14 bis 30 Tagen
Keine End-of-Life-Software mit bekannten Sicherheitsluecken
Dokumentierter Patch-Prozess mit Testverfahren

Endpoint Detection and Response (EDR)

EDR wird zunehmend verlangt, vor allem bei groesseren Unternehmen. Wer EDR implementiert, erhaelt bei vielen Versicherern eine Praemienreduktion von 5 bis 15 Prozent. EDR erkennt verdaechtiges Verhalten auf Endgeraeten fruehzeitig und reduziert die Zeit bis zur Entdeckung eines Angriffs.

Mitarbeiterschulungen

Jaehrliche Security-Awareness-Trainings fuer alle Mitarbeiter
Quartalmaessige Phishing-Simulationen
Dokumentierte Teilnahme (Zertifikate aufbewahren)
Erweiterte Schulungen fuer privilegierte Nutzer und Admins

Netzwerksicherheit

Firewall zwischen Internet und internem Netzwerk
Segmentierung kritischer Systeme (Server, Clients, IoT getrennt)
Intrusion Prevention System (IPS)
Sichere WLAN-Konfiguration

Folgen einer Obliegenheitsverletzung

Das Versicherungsvertragsgesetz (VVG, Paragraf 28) regelt die Rechtsfolgen:

Verschuldensgrad	Rechtsfolge	Beispiel
Vorsatz	Vollstaendige Leistungsfreiheit	Bewusst keine Backups trotz vertraglicher Pflicht
Grobe Fahrlaessigkeit	Leistungskuerzung (anteilig, je nach Schwere)	Sicherheitsupdates monatelang ignoriert
Leichte Fahrlaessigkeit	Voller Versicherungsschutz	Patch wegen Urlaub um eine Woche verzoegert

Kausalitaet erforderlich

Die Leistungskuerzung setzt voraus, dass die Obliegenheitsverletzung fuer den Schaden mitursaechlich war. Fehlende MFA bei einem Angriff ueber gestohlene Credentials: kausal. Fehlende MFA bei einem physischen USB-Stick-Angriff: nicht kausal. Die Beweislast fuer Vorsatz und grobe Fahrlaessigkeit liegt beim Versicherer.

Rechtsprechung: Was Gerichte zur Cyberversicherung sagen

Die Rechtsprechung zur Cyberversicherung ist noch jung, aber drei Entscheidungen praegen die aktuelle Rechtslage:

LG Tuebingen (Mai 2023) - Versicherungsnehmer gewinnt

Az. 4 O 193/21 | Streitwert: ca. 3,7 Mio. EUR | Zugesprochen: 2.858.923 EUR

Ein Heizungskomponenten-Hersteller wurde Opfer eines Ransomware-Angriffs. Der Versicherer verweigerte die Leistung wegen fehlender MFA und Updates. Das Gericht urteilte: Der Versicherer hatte im Risikofragebogen nicht explizit nach MFA oder Updates gefragt. Allgemeine "Stand der Technik"-Verweise reichen nicht aus, um im Schadenfall Obliegenheitsverletzungen zu begruenden. Berufung haengig am OLG Stuttgart (Az. 7 U 262/23).

LG Kiel (Mai 2024) - Versicherer gewinnt

Az. 5 O 128/21 | Holzgrosshaendler mit 16 Standorten

Der Versicherungsnehmer hatte im Antrag bestaetigt, aktuelle Sicherheitsupdates einzusetzen. In Wahrheit liefen mehrere Server noch mit Windows Server 2008. Das Gericht wertete das als arglistige Taeuschung: Wer Fragen "ins Blaue hinein" beantwortet, ohne den tatsaechlichen Zustand zu pruefen, handelt arglistig. Der Versicherer durfte den Vertrag anfechten.

OLG Schleswig (Januar 2025) - Versicherer gewinnt

Az. 16 U 63/24 | Erste OLG-Entscheidung zur Cyberversicherung

Das Oberlandesgericht bestaetigte: Groessere Unternehmen muessen bei Risikofragen besondere Sorgfalt walten lassen. "Unwissenheit ueber die eigene IT-Infrastruktur" schuetzt nicht vor den Folgen falscher Angaben. Der Trend in der Rechtsprechung geht Richtung hoehere Sorgfaltspflichten fuer Unternehmen.

Die Lektion aus der Rechtsprechung ist klar: Antragsfragen gewissenhaft beantworten, IT-Zustand vor Antragstellung tatsaechlich pruefen und alle Massnahmen lueckenlos dokumentieren. Mehr zur Geschaeftsfuehrer-Haftung bei IT-Versaeumnissen in unserem Ratgeber Geschaeftsfuehrer-Haftung.

NIS-2 und Cyberversicherungs-Obliegenheiten

Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland in Kraft. Rund 30.000 Unternehmen sind betroffen, ohne Uebergangsfristen.

Die NIS-2-Mindestmassnahmen ueberlappen stark mit typischen Obliegenheiten der Cyberversicherung:

Massnahme	NIS-2 Pflicht	Typische Versicherer-Obliegenheit
Multi-Faktor-Authentifizierung	Ja	Ja (fast alle Versicherer)
Patch-Management	Ja (Schwachstellenmanagement)	Ja (14-30 Tage fuer kritische Patches)
Backup und Wiederherstellung	Ja	Ja (3-2-1-Regel, Offline-Kopie)
Mitarbeiterschulungen	Ja	Ja (jaehrlich, dokumentiert)
Incident Reporting (72h)	Ja (an BSI)	Ja (an Versicherer, meist 72h)
Verschluesselung	Ja	Teilweise
Lieferkettensicherheit	Ja	Selten explizit

Wer NIS-2 erfuellt, erfuellt in der Regel auch die meisten Versicherer-Obliegenheiten. Umgekehrt kann NIS-2-Nicht-Compliance die Geschaeftsfuehrung persoenlich treffen: Bussgelder bis 10 Mio. EUR oder 2 Prozent des Jahresumsatzes, Haftung mit Privatvermoegen. Eine D&O-Versicherung wird fuer betroffene Unternehmen damit wichtiger. Mehr zur NIS-2-Richtlinie in unserem NIS-2 Ratgeber.

GDV-Musterbedingungen 2024: Was sich geaendert hat

Der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) hat 2024 die Musterbedingungen fuer Cyberrisiko-Versicherungen erstmals seit 2017 ueberarbeitet. Die wichtigsten Aenderungen:

Cloud-Schaeden: Manipulation, Malware und unbefugter Zugriff bei externen Cloud-Anbietern sind jetzt explizit eingeschlossen
DSGVO-Schadensersatz: Ansprueche Dritter nach Art. 82 DSGVO sind mitversichert
Mobiles Arbeiten: Remote-Zugriffe auf die Firmen-IT sind klargestellt
Staatsangriff-Ausschluss: Schaeden durch staatlich gelenkte Cyberangriffe auf kritische Infrastruktur sind ausgeschlossen

Marktdaten: Cyberversicherung in Deutschland

Laut GDV-Statistik fuer 2023:

Kennzahl	2022	2023	Veraenderung
Praemienvolumen	249 Mio. EUR	309 Mio. EUR	+24 %
Schadenaufwand	121 Mio. EUR	180 Mio. EUR	+49 %
Durchschnittsschaden	41.876 EUR	45.370 EUR	+8,3 %
Policenanzahl	ca. 226.000	ca. 261.000	+15,7 %

So stellen Sie Obliegenheits-Compliance sicher

Vor Vertragsabschluss

IT-Zustand tatsaechlich pruefen, bevor Sie den Fragebogen beantworten
Keine Fragen "ins Blaue hinein" beantworten (LG Kiel Lektion)
Luecken identifizieren und vor Antragstellung schliessen
Dokumentation aller Massnahmen von Anfang an fuehren

Waehrend der Vertragslaufzeit

Regelmaessige interne Audits (quartalmaessig empfohlen)
Patch-Protokolle, Backup-Logs, Schulungsnachweise aufbewahren
Aenderungen in der IT-Infrastruktur dem Versicherer melden
Neue Obliegenheiten bei Vertragserneuerung pruefen

Im Schadenfall

Sofortmassnahmen zur Schadenminderung ergreifen
Meldung innerhalb der Frist (meist 72 Stunden)
Beweise sichern, nichts vernichten oder veraendern
IT-Forensik-Dienstleister einschalten (viele Versicherer stellen eigene)
Mit dem Versicherer kooperieren, aber nichts unueberlegt zugeben

Fazit: Obliegenheiten ernst nehmen, Dokumentation nicht vernachlaessigen

Die Rechtsprechung zeigt zwei klare Linien: Versicherer koennen nur auf Obliegenheiten pochen, die sie explizit vereinbart haben (LG Tuebingen). Aber falsche Angaben im Antrag fuehren zur Vertragsanfechtung (LG Kiel, OLG Schleswig). Beides laesst sich vermeiden.

Pruefen Sie Ihren IT-Zustand vor der Antragstellung ehrlich, implementieren Sie MFA, Backups und Patch-Management, und dokumentieren Sie alles. Wer NIS-2 erfuellt, hat die meisten Versicherer-Obliegenheiten gleich mit abgedeckt. Vergleichen Sie Policen auch nach ihrem Obliegenheits-Modell, nicht nur nach Preis. Eine Cyberversicherung ohne Obliegenheiten gibt es bei 31 Prozent der Anbieter.

Checkliste: Bin ich compliant?

☐MFA fuer alle Remote-Zugaenge, E-Mail- und Admin-Konten aktiviert
☐3-2-1-Backup-Strategie mit Offline-Kopie implementiert
☐Backup-Wiederherstellung quartalmaessig getestet und dokumentiert
☐Kritische Patches innerhalb von 14 Tagen installiert (Prozess dokumentiert)
☐Keine End-of-Life-Software mit bekannten Sicherheitsluecken im Einsatz
☐EDR oder aktuelle Antivirenloesung auf allen Endgeraeten
☐Firewall mit Netzwerksegmentierung konfiguriert
☐Jaehrliche Security-Awareness-Schulungen dokumentiert
☐Antragsfragen ehrlich und geprueft beantwortet (nicht "ins Blaue hinein")
☐Notfallplan erstellt und getestet

Obliegenheiten sind vertragliche IT-Sicherheitspflichten. Typisch sind MFA, regelmaessige Backups und Patch-Management. Die Erfuellung ist Voraussetzung fuer den Versicherungsschutz. Bei Verletzung kann der Versicherer die Leistung kuerzen oder ganz verweigern.

Bei Vorsatz ist der Versicherer vollstaendig leistungsfrei. Bei grober Fahrlaessigkeit kann die Leistung anteilig gekuerzt werden. Bei leichter Fahrlaessigkeit bleibt der Schutz bestehen. Die Beweislast fuer das Verschulden liegt beim Versicherer (Paragraf 28 VVG).

Laut MRTK Cyber-Monitor 2025 werden rund 31 Prozent der Antraege abgelehnt. Hauptgrund: Die Unternehmen erfuellen die verschaerften IT-Sicherheitsanforderungen der Versicherer nicht, etwa fehlende MFA oder veraltete Software.

Das LG Tuebingen sprach 2023 einem Unternehmen rund 2,85 Mio. EUR zu. Das Gericht urteilte: Ein Versicherer kann fehlende IT-Sicherheitsmassnahmen nur als Obliegenheitsverletzung geltend machen, wenn er im Risikofragebogen explizit danach gefragt hat. Allgemeine Verweise auf den Stand der Technik reichen nicht.

In der Regel ja. Im Antrag bestaetigen Sie die Einhaltung. Manche Versicherer erlauben eine Nacherfuellung binnen einer Frist. Falsche Angaben koennen zur Vertragsanfechtung fuehren, wie das LG Kiel 2024 bei einem Holzgrosshaendler mit veralteten Windows-Servern entschied.

NIS-2 ist seit Dezember 2025 in Deutschland in Kraft und betrifft rund 30.000 Unternehmen. Die NIS-2-Mindestmassnahmen (MFA, Patch-Management, Backup, Schulungen) ueberlappen stark mit typischen Versicherungs-Obliegenheiten. Wer NIS-2 erfuellt, erfuellt oft auch die Versicherer-Anforderungen.

Vor Vertragsabschluss: durch Frageboegen oder Sicherheits-Assessments. Im Schadenfall: sehr genau. Das OLG Schleswig urteilte 2025, dass groessere Unternehmen bei Risikofragen besondere Sorgfalt walten lassen muessen. Fehlende Dokumentation kann zur Leistungskuerzung fuehren.

Nein. Laut Marktanalyse verzichten 31 Prozent der Versicherer ganz auf Obliegenheiten. 25 Prozent arbeiten mit klaren Listen, 31 Prozent mit abgemilderten Anforderungen und 13 Prozent nutzen vage Stand-der-Technik-Klauseln. Letztere sind fuer Versicherungsnehmer am riskantesten.

Fazit

Obliegenheiten sind Pflichten, die Sie erfuellen muessen, damit die Cyberversicherung im Schadenfall zahlt. MFA, regelmaessige Backups, aktuelle Software und Mitarbeiterschulungen gehoeren zu den gaengigsten Anforderungen. Dokumentieren Sie die Umsetzung, damit es im Ernstfall keinen Streit mit dem Versicherer gibt.