Cyberangriffe, Cyberversicherung und Haftung am 8.10.2025 – it-sa Nürnberg

Nach dem Lagebericht des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) vom 12.11.2024 war und ist die Lage der IT Sicherheit in Deutschland besorgniserregend. Malware wird inzwischen als Dienstleistung (MaaS) angeboten, Cyberkriminalität ist Teil der organisierten Kriminalität und hoch professionell mit arbeitsteiligen Strukturen.

Im Bericht des BSI wird ausdrücklich die EU Digital Identity Wallet (EU DIW), die im Zuge der Reform der eIDAS VO geschaffen und bis Ende 2026 eingeführt werden wird, als Baustein zur Verbesserung der IT-Sicherheit benannt.

Das BKA benennt Cybercrime als eines der sich am dynamischsten verändernden Kriminalitätsprobleme.

Schutz vor Schäden durch Cybercrime

Prävention und Abwehrmaßnahmen

Erster Schritt zur Vermeidung von Schäden ist, geeignete Prävention und Abwehrmaßnahmen zu ergreifen. Dazu gehört, die Systeme regelmäßig zu aktualisieren, insbesondere die von den Herstellern angebotenen Updates jeweils zeitnah zu installieren. Unternehmen müssen angemessene technische und organisatorische Maßnahmen zum Schutz der IT Sicherheit ergreifen.

Vertragsgestaltung

Vertragsgestaltung ist eine Möglichkeit, die möglichen Schäden zu begrenzen. Einerseits kann man bei der Beschaffung von IT Anforderungen an die IT-Sicherheit definieren und damit für den Schutz vor Cybercrime sorgen. Daneben kommen Klauseln zur Haftungsbegrenzung in Betracht.

Vielfach wird überlegt, durch die Haftung durch die Rechtsform zu begrenzen. Dabei muss allerdings bedacht werden, dass beispielsweise die GmbH eine Haftungsbegrenzung auf das Gesellschaftsvermögen bedeutet, damit allerdings nur die Gesellschafter und nicht die Geschäftsführer schützt. Verstoßen Geschäftsführer grob fahrlässig gegen ihre Verpflichtung, angemessene Maßnahmen zur IT-Sicherheit zu treffen, haften sie zunächst gegenüber der GmbH auf Ersatz des entstandenen Schadens. Kommt es zu Schaden bei Vertragspartnern der GmbH, haben diese nicht unmittelbar ein Anspruch gegen die Geschäftsführer. Wenn allerdings die GmbH nicht in der Lage ist, die Schadensersatzforderung zu erfüllen, kann im Wege der Durchgriffshaftung auf die Privatvermögen der Geschäftsführer zugegriffen werden.

Cyberversicherung

Cyberversicherungen bieten in vielfältiger Form Unterstützung und Schutz bei Schadensfällen. Den genauen Schutzumfang muss man bei der Auswahl der Versicherung abfragen und mit den eigenen Bedürfnissen abgleichen. Hier kann nur eine Auswahl der typischen Leistungsbereiche dargestellt werden.

Krisenmanagement und Soforthilfe

Meist bieten Cyberversicherungen unmittelbar im Schadensfall direkten Schutz. Hier wird eine Hotline für Krisenfälle angeboten, die rund um die Uhr (24/7) ansprechbar ist und direkt Hilfe mit erfahrenen Ansprechpartnern bietet. Die Unterstützung beginnt bei der Ermittlung der Ursachen und der Feststellung des genauen Schadens, sowie bei Maßnahmen zur Vermeidung weiterer Schäden. Sodann wird bei der Erfüllung von Informationspflichten Hilfe geleistet. Außerdem kann die Abwehr und Minderung von Reputationsschäden von der Versicherung geleistet werden.

Eigene Schäden

Kommt es beispielsweise zu einer Betriebsunterbrechung, kann die Versicherung Ertragsausfälle und fortlaufende Kosten abdecken. Die Wiederherstellung von DatenSowie eine Analyse der angegriffenen Systeme können von der Versicherung bezahlt werden.

Schäden Dritter

Cyberangriffe führen häufig auch zur Schädigung Dritter, insbesondere Vertragspartner des Unternehmens. Die Cyberversicherung dient zunächst dazu, unberechtigte Ersatzforderungen abzuwehren und berechtigte Schadensersatzansprüche, insbesondere Vermögensschäden, abzudecken. Zusätzlich kann die Haftungsfreistellung von Vertragspartnern im Versicherungsumfang enthalten sein.

Haftung

Kommt es zu Schäden aufgrund von Cyberangriffen, stellt sich schnell die Frage nach der Haftung. Meist sind die Angreifer nicht zu erreichen.

Bei den handelnden Personen im Unternehmen ist zwischen den Mitarbeitenden und dem Management zu unterscheiden. Geschäftsführer oder Vorstände sind gesetzlich verpflichtet, die Sorgfalt eines ordentlichen Kaufmanns einzuhalten und insbesondere angemessene Maßnahmen zu ergreifen, um Schäden durch Cybercrime zu verhindern. Sie müssen angemessene Maßnahmen zur IT-Sicherheit ergreifen. Werden diese Verpflichtung schuldhaft nicht erfüllt, haften sie mit ihrem Privatvermögen. allerdings besteht aufgrund der Business Judgement Rule ein weiter Ermessensspielraum für das Management. Es dürfen durchaus Risiken eingegangen werden.

Arbeitnehmer haften demgegenüber nur sehr eingeschränkt für Fehlverhalten während der Arbeit. Diese Einschränkung gilt auch für das Management, soweit keine Führungsaufgaben im eigentlichen Sinne ausgeübt werden, sondern Tätigkeiten, die zum normalen Bereich der Arbeitnehmer gehören.

Fallstricke, Best Practices

Häufig wird übersehen, dass die Versicherungen nicht nur einige Bereiche aus dem Versicherungsschutz ausdrücklich ausnehmen, sondern den Versicherungsschutz auch nur gewähren, wenn bestimmte Obliegenheiten eingehalten werden. Dazu zählt insbesondere die Verpflichtung, unverzüglich die Versicherung zu informieren, wenn es zu einem Schadensfall gekommen ist. Dabei sind alle bekannten Informationen weiterzugeben. Versicherung achten sehr darauf, dass alle Obliegenheiten eingehalten werden und verweigern ihre Leistungen, wenn es zu Verstößen gekommen ist.