Die Relevanz von Sicherheitspatches für den Erhalt einer Cyberversicherung

Die Professionalisierung der Cyberkriminalität erfordert von Unternehmen eine kontinuierliche Absicherung ihrer IT-Infrastruktur. Hierbei ist das Schwachstellen- und Sicherheitspatch-Management ein zentraler Faktor. Für Versicherungsmakler ist ein fundiertes Verständnis dieser technischen Prozesse sowie der vertraglichen Implikationen notwendig, um Mandanten risikogerecht zu beraten, Haftungsrisiken bei der Vermittlung von Cyberpolicen zu minimieren und im Schadensfall den Deckungsschutz zu gewährleisten.
Der Unterschied zwischen Sicherheitspatches und Funktionsupdates
Sicherheitspatches sind spezifische, zeitkritische Korrekturen von Softwarecode, um identifizierte Sicherheitslücken zu schließen. Diese Schwachstellen werden im standardisierten „Common Vulnerabilities and Exposures“-System (CVE) erfasst und nach ihrer Kritikalität bewertet. Ein Sicherheitspatch adressiert somit eine konkrete Verwundbarkeit, die unter Umständen bereits von Angreifern ausgenutzt wird. Die Dringlichkeit lässt sich über das Common Vulnerability Scoring System (CVSS) bestimmen. Weist eine Schwachstelle eine Einstufung von mehr als 7 auf, ist eine zeitnahe Installation des Patches erforderlich, um das Einbruchsrisiko zu minimieren.
Demgegenüber dienen normale Funktionsupdates der Systempflege. Sie enthalten funktionale Erweiterungen, Leistungsoptimierungen oder Anpassungen der Benutzeroberfläche. Im Gegensatz zu Sicherheitspatches sind diese Updates nicht zeitkritisch. Ihre Installation kann im Rahmen geplanter, zyklischer Wartungsfenster erfolgen, ohne die unmittelbare IT-Sicherheit des Unternehmens zu gefährden.
Das Risiko von Falschangaben bei Versicherungsverträgen
Bei Abschluss einer Cyberversicherung verlangen Versicherer die Beantwortung eines Risikofragebogens. Die dort gemachten Angaben bilden die Kalkulationsgrundlage für das Risiko und die Prämie. Kommt es zu einem Schadensfall, prüfen Versicherer diese vorvertraglichen Angaben. Weichen die realen Gegebenheiten von den Antworten im Fragebogen ab und war diese Abweichung ursächlich für den Cybervorfall, kann dem Versicherungsnehmer der Verlust des Versicherungsschutzes drohen.
Verifikation statt Schätzung
Ein häufiger Fehler im Antragsprozess ist das Beantworten von Risikofragen auf Basis von Schätzungen. Wenn eine verantwortliche Person wie die Geschäftsführung oder ein Abteilungsleiter die Durchführung von Sicherheitspatches bejaht, ohne den tatsächlichen Ist-Zustand geprüft zu haben, wird dieses Wissen dem Unternehmen zugerechnet. Bewusst falsch beantwortete Antragsfragen können rechtlich als arglistige Täuschung gewertet werden.
Rechtliche Konsequenzen im Schadensfall
Unvollständige Angaben im Risikofragebogen führen im Schadensfall zu rechtlichen Konsequenzen. Je nach Verschuldensgrad reicht die Bandbreite von einer rückwirkenden Anfechtung oder einem Rücktritt vom Versicherungsvertrag bis hin zu einer Kündigung oder Vertragsanpassung. Im ungünstigsten Fall entfällt der Versicherungsschutz vollständig, sodass das Unternehmen den Schaden selbst tragen muss. Der Risikofragebogen sollte daher ausschließlich auf Basis verifizierter Informationen der zuständigen Fachbereiche ausgefüllt werden.
Gesetzliche Anforderungen und die Haftung der Geschäftsführung
Mit der nationalen Umsetzung der europäischen NIS-2-Richtlinie im BSI-Gesetz (BSIG) ist Cybersicherheit eine gesetzliche Pflicht der Unternehmensführung. Der § 30 BSIG legt verbindliche technische Mindestanforderungen als aktuellen „Stand der Technik“ fest. Dazu gehört neben einer flächendeckenden Mehr-Faktor-Authentifizierung (MFA) und Backups auch ein dokumentiertes Patch-Management.
Nach § 38 BSIG haftet die Geschäftsführung betroffener Unternehmen (ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in den regulierten Sektoren) unter bestimmten Voraussetzungen persönlich und unbeschränkt mit dem Privatvermögen, wenn diese Pflichten schuldhaft verletzt werden.
Aufklärungspflicht für Versicherungsmakler
Das Sachwalterurteil des Bundesgerichtshofs verpflichtet Versicherungsmakler, das versicherte Risiko ihrer Bestandskunden fortlaufend zu überwachen und bei relevanten Änderungen aufzuklären. Die Einführung des neuen BSIG stellt eine solche Veränderung des Risikoprofils dar. Neben den klassischen Risikofragen im Cyberantrag hat das Patch-Management durch die NIS-2-Regulierung eine eigenständige gesetzliche Relevanz erhalten. Wenn ein Makler seine Kunden nicht proaktiv auf diese neuen gesetzlichen Anforderungen und die damit einhergehenden Haftungsrisiken für die Geschäftsführung hinweist, verletzt er seine vertraglichen Hauptpflichten und riskiert Schadensersatzforderungen.
Moderne Versicherungsanbieter: Kontinuierliche Risiko-Scans statt statischer Abfragen
Statische, jährliche Risikofragebögen können das dynamische IT-Risiko eines Unternehmens nicht mehr adäquat abbilden. Digitale Risiken verändern sich kontinuierlich, weshalb moderne Cyberversicherer eine Verbindung aus Versicherungsschutz und proaktiver IT-Sicherheit etablieren.
Anstatt sich rein auf punktuelle Angaben im Risikobogen zu verlassen, beinhalten zeitgemäße Policen automatisierte Risiko-Scans der externen IT-Infrastruktur. So prüfen Anbieter Risiken beispielsweise mittels Schwachstellenscans. Dieser Ansatz optimiert das Risikomanagement auf mehreren Ebenen:
- Frühzeitige Identifizierung: Technische Schwachstellen und offene Einbruchstore werden automatisiert erkannt, bevor Angreifer sie ausnutzen können.
- Minimierung der Haftung: Durch die kontinuierliche externe Validierung sinkt das Risiko, veraltete Systeme zu übersehen, was im Schadensfall den Vorwurf der Täuschung entkräftet.
- Effizienz im Antragsprozess: Durch den Einsatz moderner Technologie wie dem Deep Scan von Baobab Risk Solutions reduziert sich der Antragsprozess erheblich. Bei einem Umsatz bis 100 Mio. € genügen oft nur 4 Fragen im Antrag, da der Scan bis zu 40% der klassischen Risikofragen ersetzt.
Fazit und Empfehlungen für die Maklerpraxis
Das Thema Sicherheitspatches ist eine essenzielle Rechts- und Haftungsfrage für Unternehmen und deren Versicherungsmakler. Für die tägliche Beratungspraxis lassen sich vier Kernstrategien ableiten:
- IT-Verifikation etablieren: Risikofragebögen sollten immer durch die IT-Abteilung oder den externen IT-Dienstleister des Mandanten freigegeben werden. Makler sollten darauf hinwirken, dass eine fachkundige Person die technischen Angaben im Versicherungsantrag validiert und dokumentiert.
- Wissenslücken transparent dokumentieren: Ist der genaue Status des Sicherheitspatches bestimmter Altsysteme bei Antragstellung unklar, darf die Frage nicht pauschal mit „Ja“ beantwortet werden. Der Makler sollte den Mandanten anleiten, diese Lücke explizit im Antrag zu vermerken und dem Versicherer gegenüber offenzulegen (z. B. durch den Zusatz: „Prüfung läuft, Altsysteme teilweise isoliert“). Dies schließt den Vorwurf der Täuschung aus.
- Bevorzugung präventionsbasierter Cyber-Policen: Makler sollten zur eigenen Haftungsbegrenzung bevorzugt Cyberversicherungen vermitteln, die proaktive Sicherheitsleistungen wie regelmäßige Risiko-Scans fest in den Tarif integrieren. Diese Tarife erhöhen die Resilienz des Mandanten und dokumentieren die Erfüllung der maklerrechtlichen Sorgfaltspflichten der NIS-2.


