In der modernen Unternehmensführung haben sich Cyberversicherungen als fester Bestandteil des Risikomanagements etabliert. Die Logik dahinter ist nachvollziehbar: Da absolute Sicherheit in vernetzten IT-Umgebungen technisch nicht erreichbar ist, soll das verbleibende Restrisiko finanziell abgesichert werden. Doch diese Betrachtung greift in der operativen Praxis zu kurz. Mit der steigenden Bedrohungslage verschärfen Versicherer ihre technischen Anforderungen kontinuierlich. Eine Cyberversicherung fungiert nicht als Vollkaskoschutz, der bedingungslos leistet, sondern als komplexes Vertragswerk, dessen Wirksamkeit unmittelbar vom technischen Zustand der IT-Infrastruktur abhängt.
Aus Sicht eines IT-Dienstleisters verschiebt sich damit die Rolle massgeblich: Der Provider wird zum Ermöglicher der Versicherbarkeit. Im Schadenfall entscheiden nicht primär juristische Auslegungen, sondern technische Fakten, die in Logfiles, Konfigurationen und Protokollen dokumentiert sind. Die kritischste Lücke im Risikomanagement ist heute oft nicht die fehlende Firewall, sondern die Diskrepanz zwischen vertraglichen Sicherheitszusagen und der tatsächlich gelebten IT-Realität im Unternehmen.
Obliegenheiten als technisches Lastenheft
Jede Cyberversicherung definiert sogenannte Obliegenheiten. Dabei handelt es sich um technische und organisatorische Massnahmen, die nicht nur zum Zeitpunkt des Vertragsabschlusses erfüllt sein müssen, sondern während der gesamten Laufzeit nachzuweisen sind. Für den IT-Betrieb wirken diese Klauseln wie ein dynamisches Lastenheft, das wesentliche Architekturentscheidungen beeinflusst.
Lückenlose Authentifizierung als Basis
Ein zentraler Punkt ist die Multi-Faktor-Authentifizierung (MFA). Während MFA für Fernzugriffe und privilegierte Konten heute als Standard gilt, liegt die Herausforderung in der lückenlosen Umsetzung. In der Praxis finden sich regelmässig blinde Flecken: Legacy-Systeme ohne MFA-Unterstützung, externe Wartungszugänge von Maschinenherstellern oder Service-Accounts für automatisierte Prozesse. Erfolgt ein Angriff über eine dieser Ausnahmen, steht sofort der Vorwurf der groben Fahrlässigkeit im Raum. MFA muss daher architektonisch so durchgesetzt werden, dass Ausnahmen entweder technisch unterbunden oder im Risikomanagement explizit begründet und dokumentiert sind.
Der Compliance-Faktor im Patch-Management
Ähnlich verhält es sich beim Patch-Management. Versicherer definieren heute präzise Zeitfenster für die Installation kritischer Sicherheitsupdates – häufig zwischen 7 und 14 Tagen nach deren Verfügbarkeit. Diese Fristen kollidieren oft mit operativen Realitäten, da Updates vorab in Testumgebungen validiert werden müssen, um die Stabilität von Fachanwendungen nicht zu gefährden. Wird jedoch eine Schwachstelle ausgenutzt, für die seit Wochen ein Patch verfügbar war, sind Leistungskürzungen durch den Versicherer fast unausweichlich. Das Patch-Management wandelt sich damit von einer rein technischen Wartungsaufgabe zu einer Compliance-Aufgabe, bei der die Dokumentation des Update-Status ebenso wichtig ist wie die Installation selbst.
Backup-Härtung: Über die 3-2-1-Regel hinaus
Das Backup gilt als die letzte Verteidigungslinie eines Unternehmens. Doch auch hier haben sich die Anforderungen der Versicherer massiv gewandelt. Die klassische 3-2-1-Regel – drei Kopien, zwei verschiedene Medien, eine Kopie offsite – wird zunehmend um Anforderungen zur Härtung ergänzt. Entscheidend ist heute die Unveränderbarkeit (Immutability) oder die logische Trennung der Backups vom restlichen Netzwerk.
Moderne Ransomware-Angreifer zielen gezielt auf Online-Backups ab, um diese vor der eigentlichen Verschlüsselung zu löschen oder zu korrumpieren. Ein Cloud-Backup, das über dieselben administrativen Konten erreichbar ist wie die Produktivsysteme, genügt den Anforderungen vieler aktueller Policen nicht mehr. Gefordert sind Konzepte wie Immutable Backups oder Air-Gap-Lösungen. Die logische Trennung der Backup-Infrastruktur sollte heute zum absoluten Standard gehören – in der Praxis zeigt sich jedoch regelmässig, dass dies bei Unternehmen und selbst bei vielen IT-Dienstleistern noch nicht konsequent umgesetzt ist.
Ein ebenso kritischer Punkt ist die regelmässige Überprüfung der Wiederherstellbarkeit. Ein Backup, dessen Restore-Fähigkeit nicht mindestens quartalsweise systematisch getestet und lückenlos protokolliert wird, kann im Ernstfall zur bösen Überraschung werden. Unternehmen, die im Schadensfall weder logisch isolierte Sicherungen noch dokumentierte Restore-Tests nachweisen können, riskieren, dass die Versicherung die Kosten für eine aufwendige Datenwiederherstellung nicht übernimmt, da das Backup-Konzept nicht dem vereinbarten Stand der Technik entsprach.
Beweislast und Dokumentationstiefe
Im Schadenfall entsendet der Versicherer in der Regel forensische Gutachter. Deren Aufgabe ist die Rekonstruktion des Angriffsverlaufs und die Prüfung, ob die vertraglichen Obliegenheiten zum Zeitpunkt des Vorfalls eingehalten wurden. Hier findet eine faktische Umkehr der Beweislast statt: Das versicherte Unternehmen muss belegen können, dass die vereinbarten Schutzmassnahmen aktiv waren.
Konkret bedeutet das: Es reicht nicht aus, eine Firewall betrieben zu haben – man muss nachweisen können, dass sie korrekt konfiguriert war. Hat eine Ransomware nicht nur Daten verschlüsselt, sondern auch Logging-Server gelöscht, bricht die Argumentationskette gegenüber dem Versicherer zusammen. Eine revisionssichere IT erfordert daher zentralisiertes Logging mit mehrjähriger Aufbewahrung, versionierte Konfigurationsdokumentationen, protokollierte Restore-Tests und ein strikt dokumentiertes Identity-Management. Diese Nachweispflicht macht Reporting-Funktionen moderner IT-Management-Systeme zu kritischen Komponenten für den Versicherungsschutz.
Systemgrenzen und Deckungsausschlüsse
Selbst wenn alle technischen Bedingungen erfüllt sind, existieren Ausschlussklauseln, die im Ernstfall relevant werden. Ein häufiger Streitpunkt ist die grobe Fahrlässigkeit. Die Grenze zwischen einfacher Nachlässigkeit und grobem Fehlverhalten ist fliessend. Während ein seit Monaten ungepatchtes System meist als grob fahrlässig gewertet wird, beginnt bei geringfügigen Fristüberschreitungen eine juristische Grauzone. Ein strukturierter, dokumentierter Prozess kann hier im Zweifelsfall entlastend wirken.
Besondere Aufmerksamkeit verdienen End-of-Life-Systeme (EOL). Der Betrieb von Servern oder Applikationen, für die der Hersteller keinen Support mehr anbietet, führt häufig zum kompletten Ausschluss der Deckung für Angriffe auf diese Komponenten. Ebenso komplex sind Kriegs- und Cyberwar-Klauseln. Angriffe, die staatlichen Akteuren zugeordnet werden können, sind oft vom Versicherungsschutz ausgenommen. Da die technische Zuweisung eines Angriffs jedoch extrem schwierig ist, resultieren daraus häufig langwierige Rechtsstreitigkeiten.
Strategische Incident Response
Im Angriffsfall entstehen oft konkurrierende Interessenlagen. Der IT-Betrieb und das Unternehmen verfolgen das Ziel, die Systeme so schnell wie möglich wiederherzustellen, um den Betriebsschaden zu minimieren. Der Versicherer und die Forensiker benötigen hingegen Zeit, um den Zustand der infizierten Systeme für die Ursachenanalyse und Beweissicherung zu konservieren.
Dieser Interessenkonflikt lässt sich nur durch einen vorab definierten Incident Response Plan auflösen. Ein solcher Plan regelt nicht nur technische Abläufe, sondern auch organisatorische Vorgaben des Versicherers. Viele Versicherungen akzeptieren beispielsweise nur bestimmte, zertifizierte Forensik-Dienstleister. Erfolgt die Beauftragung eigenmächtig, kann dies den Leistungsanspruch gefährden. Moderne Technologien wie Snapshot-basierte Backups ermöglichen es heute, den Systemstatus für die Ermittler zu sichern, während die Produktion auf isolierten, sauberen Kopien bereits wieder anlaufen kann. Ohne solche technischen Vorkehrungen kostet die Analyse wertvolle Zeit, die den Betriebsausfall unnötig verlängert.
Auditierung vor Vertragsabschluss
Die Unterzeichnung einer Cyberversicherung sollte daher kein isolierter Vorgang der Geschäftsleitung oder des Versicherungsmaklers sein. Ein technisches Audit durch die IT-Verantwortlichen oder den Provider ist zwingend erforderlich. Der Risikofragebogen muss Punkt für Punkt verifiziert werden. Jede Zusage zu MFA oder Backup-Intervallen muss technisch belegbar sein. Eine ungenaue Angabe kann im Schadensfall die gesamte Deckung kosten. In vielen Fällen ist es ratsam, bestehende Sicherheitslücken oder Legacy-Systeme transparent zu machen. Versicherer akzeptieren oft befristete Ausnahmen, wenn ein klarer Migrationsplan vorliegt. Ein jährlicher Abgleich zwischen Versicherungsanforderungen und tatsächlichem IT-Zustand stellt sicher, dass auch nach Cloud-Migrationen oder Infrastrukturänderungen der Schutz bestehen bleibt.
Cyberversicherung braucht nachweisbare IT-Sicherheit
Cyberversicherungen sind kein Ersatz für IT-Sicherheit, sondern setzen diese voraus. Die geforderten Obliegenheiten orientieren sich an etablierten Best Practices, die auch ohne Versicherungsschutz für eine belastbare IT-Infrastruktur geboten wären. Die Verbreitung dieser Policen hat jedoch den positiven Nebeneffekt, dass der Druck auf die Qualität der IT-Sicherheit professionalisiert wird.
Für Unternehmen bedeutet das: Die Rolle des IT-Dienstleisters erweitert sich vom reinen Systembetrieb zur strategischen Partnerschaft im Risikomanagement. Nur wenn die Infrastruktur so konfiguriert, überwacht und dokumentiert ist, dass sie einer forensischen Prüfung standhält, bietet die Cyberversicherung den gewünschten Schutz. Im Ernstfall entscheidet die technische Beweiskraft. Wer seine Hausaufgaben gemeinsam mit Profis macht, verfügt über ein belastbares Sicherheitsnetz. Ohne diese Vorbereitung bleibt die Police im Krisenfall oft nur ein kostspieliges Dokument ohne wirklichen Gegenwert.
Der Autor
Cesar Ribeiro Ramos ist CISO von MTF Solutions. Mit mehrjähriger Erfahrung im Bereich Compliance unterstützt er Unternehmen dabei, komplexe Normen präzise auf operative Abläufe herunterzubrechen und regulatorische Anforderungen nahtlos in die Prozesslandschaft zu integrieren.
