Cyberversicherung Obliegenheiten nach VVG Paragraf 28
Das Wichtigste in Kürze
- Obliegenheiten sind IT-Sicherheitspflichten: MFA, Backups, Patch-Management sind Standard
- 31 % der Cyberversicherungsantraege werden abgelehnt (MRTK 2025)
- Bei vorsaetzlicher Verletzung: Versicherer ist leistungsfrei. Bei grober Fahrlaessigkeit: Kuerzung.
- LG Tuebingen 2023: 2,85 Mio. EUR zugesprochen, weil Versicherer Obliegenheiten nicht explizit vereinbart hatte
- NIS-2 seit Dezember 2025 in Kraft. Die Mindestmassnahmen ueberlappen stark mit Cyber-Obliegenheiten.

Obliegenheiten in der Cyberversicherung sind vertragliche IT-Sicherheitspflichten wie Multi-Faktor-Authentifizierung (MFA), Backups und Patch-Management. Verletzen Sie eine dieser Pflichten, kann der Versicherer die Leistung nach Paragraf 28 des Versicherungsvertragsgesetzes (VVG) kuerzen oder ganz verweigern. Genau daran scheitert jeder dritte Antrag: Laut MRTK Cyber-Monitor 2025 werden rund 31 Prozent abgelehnt, weil die geforderten Massnahmen fehlen.
Diese Seite ist Ihr juristischer Leitfaden zu allen Vertragspflichten rund um die Cyberversicherung: Wir ordnen die drei Obliegenheits-Typen ein, erklaeren die Rechtsfolgen nach VVG Paragraf 28, werten die bisherige Rechtsprechung aus (LG Tuebingen, LG Kiel, OLG Schleswig) und zeigen anhand einer Checkliste, wie KMU ohne eigene IT-Abteilung im Schadenfall nicht leer ausgehen. Marktpreise und Tarifvergleich finden Sie dagegen auf unserer Seite zur Cyberversicherung und ihren Kosten.
Was sind Obliegenheiten?
Obliegenheiten (Versicherungsrecht) sind vertragliche Pflichten, die Sie als Versicherungsnehmer erfuellen muessen. Der Versicherer kann Sie nicht zur Erfuellung zwingen, aber er kann die Leistung verweigern oder kuerzen, wenn Sie die Pflichten nicht einhalten.
Drei Arten von Obliegenheiten
- Vorvertragliche Obliegenheiten: Wahrheitsgemaesse Angaben im Antragsfragebogen. Falsche Angaben koennen zur Anfechtung des gesamten Vertrags fuehren.
- Laufende Obliegenheiten: IT-Sicherheitsmassnahmen waehrend der Vertragslaufzeit. MFA, Backups, Patch-Management gehoeren hierzu.
- Schadenfall-Obliegenheiten: Sofortmassnahmen nach einem Vorfall. Meldung meist innerhalb von 72 Stunden, Beweissicherung, Kooperation mit dem Versicherer.
Marktueberblick: Wie streng sind Cyberversicherer?
Die Anforderungen variieren erheblich. Laut einer Marktanalyse von CyberDirekt (16 Versicherer untersucht) verteilen sich die Ansaetze wie folgt:
| Obliegenheits-Modell | Anteil | Risiko fuer Versicherungsnehmer |
|---|---|---|
| Keine Obliegenheiten | 31 % | Gering (freundlichstes Modell) |
| Abgemilderte Obliegenheiten (rechtlicher Verzicht moeglich) | 31 % | Moderat |
| Klare, definierte Liste | 25 % | Moderat (aber transparent) |
| Vage "Stand der Technik"-Klausel | 13 % | Hoch (was "Stand der Technik" ist, entscheidet der Versicherer im Schadenfall) |
Die vage Klausel ist am gefaehrlichsten. Was genau "Stand der Technik" bedeutet, ist nirgends eindeutig definiert. Im Schadenfall legt der Versicherer den Massstab aus, und das faellt selten zugunsten des Versicherungsnehmers aus. Achten Sie beim Abschluss deshalb nicht nur auf den Preis, sondern darauf, wie konkret die Pflichten formuliert sind.
Was bedeuten Obliegenheiten fuer KMU ohne eigene IT-Abteilung?
Fuer einen Mittelstaendler mit 10 bis 50 Mitarbeitern, der keine eigene IT-Abteilung hat, sind Obliegenheiten die groesste Huerde. Die Pflichten richten sich naemlich nicht nach der Unternehmensgroesse, sondern nach dem Vertrag. Ein Handwerksbetrieb mit ausgelagerter IT muss MFA und Backups genauso nachweisen wie ein Konzern. Genau hier entstehen die meisten Luecken.
Drei Szenarien aus der Praxis zeigen, wo es klemmt:
- Ausgelagerte IT, keine Dokumentation: Der externe Dienstleister spielt Patches ein, aber niemand fuehrt ein Protokoll. Im Schadenfall fehlt der Nachweis, dass kritische Updates rechtzeitig liefen.
- MFA "im Prinzip" aktiv: Das Hauptkonto ist abgesichert, der alte RDP-Zugang des Geschaeftsfuehrers laeuft aber noch ohne zweiten Faktor. Ein einziger ungesicherter Remote-Zugang reicht fuer eine Leistungskuerzung.
- Backup ohne Test: Daten werden gesichert, aber die Wiederherstellung wurde nie geprobt. Viele Versicherer verlangen dokumentierte Restore-Tests, sonst gilt die Backup-Obliegenheit als nicht erfuellt.
Praktisch heisst das: Lagern Sie die IT-Sicherheit aus, sollten die Versicherungs-Obliegenheiten Teil des Dienstleistervertrags werden. Lassen Sie sich Patch-Protokolle, Backup-Logs und MFA-Status quartalsweise schriftlich bestaetigen. Wie sich der Schutz speziell fuer kleinere Betriebe rechnet, lesen Sie in unserem Ratgeber zur Cyberversicherung fuer KMU.
Für wen ist strenge Obliegenheiten geeignet?
Geeignet für
- Unternehmen mit eigener IT-Abteilung und dokumentierten Prozessen
- Betriebe, die MFA, Backups und Patch-Management bereits umgesetzt haben
- Firmen, die ohnehin NIS-2-pflichtig sind und die Massnahmen brauchen
Weniger geeignet für
- KMU ohne eigene IT und ohne dokumentierte Sicherheitsprozesse
- Betriebe mit veralteter Software (End-of-Life-Systeme im Einsatz)
- Unternehmen, die Antragsfragen ungeprueft beantworten
Die typischen Obliegenheiten im Detail
Multi-Faktor-Authentifizierung (MFA)
MFA ist heute die wichtigste Einzelanforderung. Fast jeder Versicherer verlangt MFA fuer:
- Remote-Zugaenge (VPN, RDP)
- E-Mail-Konten
- Administrator-Konten
- Cloud-Dienste
Kompromittierte Zugangsdaten sind der haeufigste Einstiegsvektor fuer Cyberangriffe. Ohne MFA wird der Antrag oft direkt abgelehnt oder die Praemie erhoeht. Mehr zu Angriffsszenarien in unserem Ratgeber Phishing-Angriffe auf Unternehmen.
Backup-Strategie (3-2-1-Regel)
88 Prozent der Versicherer verlangen eine dokumentierte Backup-Strategie. Der Standard ist die 3-2-1-Regel:
- 3 Kopien der Daten
- 2 verschiedene Speichermedien
- 1 Kopie ausser Haus (Offsite oder Cloud)
Zusaetzlich verlangen die meisten Versicherer eine Offline- oder Air-Gapped-Kopie als Ransomware-Schutz sowie quartalmaessige Wiederherstellungstests. Wichtig: Recovery Time Objective (RTO) und Recovery Point Objective (RPO) muessen definiert und getestet sein.
Patch-Management
- Kritische Sicherheitspatches (CVSS 9-10): Installation innerhalb weniger Tage
- Standardpatches: innerhalb von 14 bis 30 Tagen
- Keine End-of-Life-Software mit bekannten Sicherheitsluecken
- Dokumentierter Patch-Prozess mit Testverfahren
Endpoint Detection and Response (EDR)
EDR wird zunehmend verlangt, vor allem bei groesseren Unternehmen. Wer EDR implementiert, erhaelt bei vielen Versicherern eine Praemienreduktion von 5 bis 15 Prozent. EDR erkennt verdaechtiges Verhalten auf Endgeraeten fruehzeitig und reduziert die Zeit bis zur Entdeckung eines Angriffs.
Mitarbeiterschulungen
- Jaehrliche Security-Awareness-Trainings fuer alle Mitarbeiter
- Quartalmaessige Phishing-Simulationen
- Dokumentierte Teilnahme (Zertifikate aufbewahren)
- Erweiterte Schulungen fuer privilegierte Nutzer und Admins
Netzwerksicherheit
- Firewall zwischen Internet und internem Netzwerk
- Segmentierung kritischer Systeme (Server, Clients, IoT getrennt)
- Intrusion Prevention System (IPS)
- Sichere WLAN-Konfiguration
Folgen einer Obliegenheitsverletzung
Das Versicherungsvertragsgesetz (VVG, Paragraf 28) regelt die Rechtsfolgen:
| Verschuldensgrad | Rechtsfolge | Beispiel |
|---|---|---|
| Vorsatz | Vollstaendige Leistungsfreiheit | Bewusst keine Backups trotz vertraglicher Pflicht |
| Grobe Fahrlaessigkeit | Leistungskuerzung (anteilig, je nach Schwere) | Sicherheitsupdates monatelang ignoriert |
| Leichte Fahrlaessigkeit | Voller Versicherungsschutz | Patch wegen Urlaub um eine Woche verzoegert |
Kausalitaet erforderlich
Die Leistungskuerzung setzt voraus, dass die Obliegenheitsverletzung fuer den Schaden mitursaechlich war. Fehlende MFA bei einem Angriff ueber gestohlene Credentials: kausal. Fehlende MFA bei einem physischen USB-Stick-Angriff: nicht kausal. Die Beweislast fuer Vorsatz und grobe Fahrlaessigkeit liegt beim Versicherer.
Rechtsprechung: Was Gerichte zur Cyberversicherung sagen
Die Rechtsprechung zur Cyberversicherung ist noch jung, aber drei Entscheidungen praegen die aktuelle Rechtslage:
LG Tuebingen (Mai 2023) - Versicherungsnehmer gewinnt
Az. 4 O 193/21 | Streitwert: ca. 3,7 Mio. EUR | Zugesprochen: 2.858.923 EUR
Ein Heizungskomponenten-Hersteller wurde Opfer eines Ransomware-Angriffs. Der Versicherer verweigerte die Leistung wegen fehlender MFA und Updates. Das Gericht urteilte: Der Versicherer hatte im Risikofragebogen nicht explizit nach MFA oder Updates gefragt. Allgemeine "Stand der Technik"-Verweise reichen nicht aus, um im Schadenfall Obliegenheitsverletzungen zu begruenden. Berufung haengig am OLG Stuttgart (Az. 7 U 262/23).
LG Kiel (Mai 2024) - Versicherer gewinnt
Az. 5 O 128/21 | Holzgrosshaendler mit 16 Standorten
Der Versicherungsnehmer hatte im Antrag bestaetigt, aktuelle Sicherheitsupdates einzusetzen. In Wahrheit liefen mehrere Server noch mit Windows Server 2008. Das Gericht wertete das als arglistige Taeuschung: Wer Fragen "ins Blaue hinein" beantwortet, ohne den tatsaechlichen Zustand zu pruefen, handelt arglistig. Der Versicherer durfte den Vertrag anfechten.
OLG Schleswig (Januar 2025) - Versicherer gewinnt
Az. 16 U 63/24 | Erste OLG-Entscheidung zur Cyberversicherung
Das Oberlandesgericht bestaetigte: Groessere Unternehmen muessen bei Risikofragen besondere Sorgfalt walten lassen. "Unwissenheit ueber die eigene IT-Infrastruktur" schuetzt nicht vor den Folgen falscher Angaben. Der Trend in der Rechtsprechung geht Richtung hoehere Sorgfaltspflichten fuer Unternehmen.
Die Lektion aus der Rechtsprechung ist klar: Antragsfragen gewissenhaft beantworten, IT-Zustand vor Antragstellung tatsaechlich pruefen und alle Massnahmen lueckenlos dokumentieren. Mehr zur Geschaeftsfuehrer-Haftung bei IT-Versaeumnissen in unserem Ratgeber Geschaeftsfuehrer-Haftung.
NIS-2 und Cyberversicherungs-Obliegenheiten
Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland in Kraft. Rund 30.000 Unternehmen sind betroffen, ohne Uebergangsfristen.
Die NIS-2-Mindestmassnahmen ueberlappen stark mit typischen Obliegenheiten der Cyberversicherung:
| Massnahme | NIS-2 Pflicht | Typische Versicherer-Obliegenheit |
|---|---|---|
| Multi-Faktor-Authentifizierung | Ja | Ja (fast alle Versicherer) |
| Patch-Management | Ja (Schwachstellenmanagement) | Ja (14-30 Tage fuer kritische Patches) |
| Backup und Wiederherstellung | Ja | Ja (3-2-1-Regel, Offline-Kopie) |
| Mitarbeiterschulungen | Ja | Ja (jaehrlich, dokumentiert) |
| Incident Reporting (72h) | Ja (an BSI) | Ja (an Versicherer, meist 72h) |
| Verschluesselung | Ja | Teilweise |
| Lieferkettensicherheit | Ja | Selten explizit |
Wer NIS-2 erfuellt, erfuellt in der Regel auch die meisten Versicherer-Obliegenheiten. Umgekehrt kann NIS-2-Nicht-Compliance die Geschaeftsfuehrung persoenlich treffen: Bussgelder bis 10 Mio. EUR oder 2 Prozent des Jahresumsatzes, Haftung mit Privatvermoegen. Eine D&O-Versicherung wird fuer betroffene Unternehmen damit wichtiger. Mehr zur NIS-2-Richtlinie in unserem NIS-2 Ratgeber.
GDV-Musterbedingungen 2024: Was sich geaendert hat
Der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) hat 2024 die Musterbedingungen fuer Cyberrisiko-Versicherungen erstmals seit 2017 ueberarbeitet. Die wichtigsten Aenderungen:
- Cloud-Schaeden: Manipulation, Malware und unbefugter Zugriff bei externen Cloud-Anbietern sind jetzt explizit eingeschlossen
- DSGVO-Schadensersatz: Ansprueche Dritter nach Art. 82 DSGVO sind mitversichert
- Mobiles Arbeiten: Remote-Zugriffe auf die Firmen-IT sind klargestellt
- Staatsangriff-Ausschluss: Schaeden durch staatlich gelenkte Cyberangriffe auf kritische Infrastruktur sind ausgeschlossen
Marktdaten: Cyberversicherung in Deutschland
Laut GDV-Statistik fuer 2023:
| Kennzahl | 2022 | 2023 | Veraenderung |
|---|---|---|---|
| Praemienvolumen | 249 Mio. EUR | 309 Mio. EUR | +24 % |
| Schadenaufwand | 121 Mio. EUR | 180 Mio. EUR | +49 % |
| Durchschnittsschaden | 41.876 EUR | 45.370 EUR | +8,3 % |
| Policenanzahl | ca. 226.000 | ca. 261.000 | +15,7 % |
So stellen Sie Obliegenheits-Compliance sicher
Vor Vertragsabschluss
- IT-Zustand tatsaechlich pruefen, bevor Sie den Fragebogen beantworten
- Keine Fragen "ins Blaue hinein" beantworten (LG Kiel Lektion)
- Luecken identifizieren und vor Antragstellung schliessen
- Dokumentation aller Massnahmen von Anfang an fuehren
Waehrend der Vertragslaufzeit
- Regelmaessige interne Audits (quartalmaessig empfohlen)
- Patch-Protokolle, Backup-Logs, Schulungsnachweise aufbewahren
- Aenderungen in der IT-Infrastruktur dem Versicherer melden
- Neue Obliegenheiten bei Vertragserneuerung pruefen
Im Schadenfall: die ersten 72 Stunden
Die ersten Stunden nach einem Angriff entscheiden ueber Ihre Deckung. Die meisten Vertraege verlangen eine Meldung binnen 72 Stunden und untersagen Alleingaenge. Halten Sie sich an diese Reihenfolge:
- Sofort (Stunde 0 bis 4): Betroffene Systeme isolieren, nichts loeschen oder neu aufsetzen. Jede vernichtete Spur erschwert spaeter den Nachweis.
- Schaden melden (innerhalb 24 Stunden): Versicherer und, falls personenbezogene Daten betroffen sind, die Aufsichtsbehoerde nach Art. 33 DSGVO informieren.
- Forensik einschalten (24 bis 48 Stunden): IT-Forensik-Dienstleister hinzuziehen. Viele Versicherer stellen eigene Krisenteams und uebernehmen die Kosten nur bei deren Einsatz.
- Dokumentieren (laufend): Logfiles, Zeitstempel und alle Entscheidungen festhalten. Diese Unterlagen braucht der Versicherer fuer die Schadenpruefung.
- Kooperieren, aber abgestimmt: Mit dem Versicherer zusammenarbeiten und kein Loesegeld zahlen oder Schuld zugeben, ohne Ruecksprache.
Fazit: Obliegenheiten ernst nehmen, Dokumentation nicht vernachlaessigen
Die Rechtsprechung zeigt zwei klare Linien: Versicherer koennen nur auf Obliegenheiten pochen, die sie explizit vereinbart haben (LG Tuebingen). Aber falsche Angaben im Antrag fuehren zur Vertragsanfechtung (LG Kiel, OLG Schleswig). Beides laesst sich vermeiden.
Pruefen Sie Ihren IT-Zustand vor der Antragstellung ehrlich, implementieren Sie MFA, Backups und Patch-Management, und dokumentieren Sie alles. Wer NIS-2 erfuellt, hat die meisten Versicherer-Obliegenheiten gleich mit abgedeckt. Vergleichen Sie Policen auch nach ihrem Obliegenheits-Modell, nicht nur nach Preis. Eine Cyberversicherung ohne Obliegenheiten gibt es bei 31 Prozent der Anbieter.
Checkliste: Bin ich compliant?
- ☐MFA fuer alle Remote-Zugaenge, E-Mail- und Admin-Konten aktiviert
- ☐3-2-1-Backup-Strategie mit Offline-Kopie implementiert
- ☐Backup-Wiederherstellung quartalmaessig getestet und dokumentiert
- ☐Kritische Patches innerhalb von 14 Tagen installiert (Prozess dokumentiert)
- ☐Keine End-of-Life-Software mit bekannten Sicherheitsluecken im Einsatz
- ☐EDR oder aktuelle Antivirenloesung auf allen Endgeraeten
- ☐Firewall mit Netzwerksegmentierung konfiguriert
- ☐Jaehrliche Security-Awareness-Schulungen dokumentiert
- ☐Antragsfragen ehrlich und geprueft beantwortet (nicht "ins Blaue hinein")
- ☐Notfallplan erstellt und getestet
Haeufige Fragen zu Cyberversicherungs-Obliegenheiten
Obliegenheiten sind vertragliche IT-Sicherheitspflichten. Typisch sind MFA, regelmaessige Backups und Patch-Management. Die Erfuellung ist Voraussetzung fuer den Versicherungsschutz. Bei Verletzung kann der Versicherer die Leistung kuerzen oder ganz verweigern.
Bei Vorsatz ist der Versicherer vollstaendig leistungsfrei. Bei grober Fahrlaessigkeit kann die Leistung anteilig gekuerzt werden. Bei leichter Fahrlaessigkeit bleibt der Schutz bestehen. Die Beweislast fuer das Verschulden liegt beim Versicherer (Paragraf 28 VVG).
Laut MRTK Cyber-Monitor 2025 werden rund 31 Prozent der Antraege abgelehnt. Hauptgrund: Die Unternehmen erfuellen die verschaerften IT-Sicherheitsanforderungen der Versicherer nicht, etwa fehlende MFA oder veraltete Software.
Das LG Tuebingen sprach 2023 einem Unternehmen rund 2,85 Mio. EUR zu. Das Gericht urteilte: Ein Versicherer kann fehlende IT-Sicherheitsmassnahmen nur als Obliegenheitsverletzung geltend machen, wenn er im Risikofragebogen explizit danach gefragt hat. Allgemeine Verweise auf den Stand der Technik reichen nicht.
In der Regel ja. Im Antrag bestaetigen Sie die Einhaltung. Manche Versicherer erlauben eine Nacherfuellung binnen einer Frist. Falsche Angaben koennen zur Vertragsanfechtung fuehren, wie das LG Kiel 2024 bei einem Holzgrosshaendler mit veralteten Windows-Servern entschied.
NIS-2 ist seit Dezember 2025 in Deutschland in Kraft und betrifft rund 30.000 Unternehmen. Die NIS-2-Mindestmassnahmen (MFA, Patch-Management, Backup, Schulungen) ueberlappen stark mit typischen Versicherungs-Obliegenheiten. Wer NIS-2 erfuellt, erfuellt oft auch die Versicherer-Anforderungen.
Vor Vertragsabschluss: durch Frageboegen oder Sicherheits-Assessments. Im Schadenfall: sehr genau. Das OLG Schleswig urteilte 2025, dass groessere Unternehmen bei Risikofragen besondere Sorgfalt walten lassen muessen. Fehlende Dokumentation kann zur Leistungskuerzung fuehren.
Nein. Laut Marktanalyse verzichten 31 Prozent der Versicherer ganz auf Obliegenheiten. 25 Prozent arbeiten mit klaren Listen, 31 Prozent mit abgemilderten Anforderungen und 13 Prozent nutzen vage Stand-der-Technik-Klauseln. Letztere sind fuer Versicherungsnehmer am riskantesten.
Hinweis: Die Inhalte auf dieser Seite dienen der allgemeinen Information. Sie ersetzen keine individuelle Beratung durch einen zugelassenen Versicherungsvermittler oder -berater und keine Rechtsberatung.