Typisches Obliegenheiten-Paket 2026
| Obliegenheit | Mindeststandard | Typische Nachweise |
|---|---|---|
| Multi-Faktor-Authentifizierung | Alle Admin- und Remote-Zugänge | IAM-Reports, Screenshot-Belege. |
| Patch-Management | Kritische Patches binnen 14 Tagen, Server binnen 30 Tagen | Patch-Reports, Inventarliste. |
| Backup-Strategie | 3-2-1-Regel, mindestens eine Offline-/Immutable-Kopie | Backup-Logs, Wiederherstellungstest pro Quartal. |
| EDR / Endpoint-Schutz | Aktiv auf allen Endpunkten und Servern | Console-Coverage-Report. |
| Awareness und Schulung | Mind. jährlich, Phishing-Simulation | Schulungsnachweis, Simulationsstatistik. |
| Notfallplan | Dokumentiert, getestet, Eskalationskette | Plan, Übungsprotokolle. |
| E-Mail-Sicherheit | SPF/DKIM/DMARC, Spam-Filter, Anhangsprüfung | DNS-Reports, Filter-Konfiguration. |
Rechtsfolgen einer Obliegenheitsverletzung
Nach § 28 VVG hängt die Sanktion vom Verschuldensgrad ab: Bei Vorsatz wird der Versicherer leistungsfrei, bei grober Fahrlässigkeit kann er die Leistung kürzen (anteilig nach Schwere des Verschuldens), einfache Fahrlässigkeit bleibt sanktionslos. Den Vorsatz beweist der Versicherer, die Kausalität ebenfalls. Der Versicherungsnehmer kann sich entlasten, wenn er nachweist, dass die Verletzung weder kausal für das Eintreten des Versicherungsfalls noch für den Umfang der Leistungspflicht war.
Kausalitätsgegenbeweis als zentrale Verteidigung
Wer trotz MFA-Pflichtverletzung Opfer eines vollständig anderen Angriffsvektors wurde (z. B. Lieferketten-Kompromittierung), kann den Kausalitätsgegenbeweis führen. Die Praxis zeigt: dokumentierte Logs, forensische Berichte und Zeitachsen entscheiden. Ohne saubere Dokumentation scheitert der Gegenbeweis regelmäßig.
Verzahnung mit NIS2 und Risikomanagement
Wer die NIS2-Maßnahmen (siehe NIS2-Risikomanagement) und ein ISMS implementiert, erfüllt fast alle Versicherer-Obliegenheiten automatisch — und kann das im Schadenfall belegen. Die Police wird so von einem Risikofaktor zu einer Bestätigung der bereits etablierten Sicherheitsorganisation.
Häufige Fragen
- Was ist eine Obliegenheit?
- Eine im Versicherungsvertrag vereinbarte Verhaltenspflicht des Versicherungsnehmers. Die Verletzung führt nach § 28 VVG zu Leistungskürzung oder -freiheit, abgestuft nach Verschuldensgrad und Kausalität.
- Welche Obliegenheiten verlangen Cyberversicherer heute?
- Standardpaket: MFA für Admin- und Remote-Zugänge, dokumentiertes Patch-Management, getestetes Backup mit Offline-Kopie, Sicherheitsbewusstsein und Schulung, EDR/Endpoint-Schutz, Notfallplan. Bei größeren Risiken kommen Penetrationstests und ISMS-Anforderungen hinzu.
- Was passiert bei einer Obliegenheitsverletzung?
- Vorsatz: vollständige Leistungsfreiheit. Grobe Fahrlässigkeit: Leistungskürzung nach Schwere des Verschuldens. Einfache Fahrlässigkeit: keine Sanktion. Der Versicherer trägt die Beweislast für Vorsatz, der Versicherungsnehmer für die fehlende Kausalität.
- Wirkt sich die Verletzung immer auf den Schaden aus?
- Nur, wenn sie kausal war. Der Versicherungsnehmer kann durch Kausalitätsgegenbeweis die volle Leistung sichern (§ 28 Abs. 3 VVG). In der Praxis ist dieser Nachweis oft schwierig.
- Was bedeutet die Risikoerhöhungspflicht?
- Während der Vertragslaufzeit eingetretene Risikoerhöhungen sind anzuzeigen — etwa neuer Cloud-Provider, neuer Standort, Akquisition. Ohne Anzeige droht Leistungsfreiheit nach § 26 VVG.
- Hilft ein ISMS nach ISO 27001 oder BSI-Standard?
- Ja, weil dadurch viele Obliegenheiten dokumentiert nachweisbar sind. Versicherer verlangen ISMS-Nachweise zunehmend bei größeren Risiken.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
