Graubereiche der Verantwortung bei Cyber-Vorfällen

Moderne IT-Strukturen in Unternehmen bestehen aus vielen miteinander verbundenen Komponenten. Interne Systeme, externe IT-Dienstleister, Cloud-Plattformen und projektbezogene Spezialisten arbeiten oft gleichzeitig an derselben digitalen Infrastruktur. Kommt es zu einem Cyber-Vorfall, sind Ursache, Zuständigkeit und Haftung häufig nicht eindeutig einer einzigen Partei zuzuordnen. Genau an diesen Schnittstellen entstehen Graubereiche der Verantwortung.

Dieser Beitrag zeigt, warum diese Graubereiche entstehen, wie Haftungsketten bei Cyber-Vorfällen aufgebaut sind und welche Rolle Unternehmen, IT-Dienstleister, Cloud-Anbieter und externe IT-Experten dabei spielen. Außerdem erklären wir, welche typischen Haftungskonflikte auftreten können und wann eine Cyber-Versicherung im Schadenfall hilft.

Unsere Roadmap für Sie: Cybervorfall → Unternehmen → IT-Dienstleister → Cloud-/SaaS-Anbieter → Freelancer / Externe à Versicherung

Von Klemens Lemke

16 Min. Lesezeit31.03.2026

Aktualisiert am 01.04.2026

In einem hellen Büro arbeitet eine Frau in grüner Kleidung konzentriert an einem Tablet, während im Vordergrund ein Mann an einem Laptop mit Grafiken zu sehen ist, dessen Bild verschwommen ist.

Schon gewusst?

  • Schnelleinstieg: Graubereiche

    Graubereiche der Verantwortung entstehen bei Cyber-Vorfällen, wenn Ursache, Zuständigkeit und Haftung nicht eindeutig derselben Partei zugeordnet werden können. In modernen IT-Strukturen sind häufig mehrere Beteiligte betroffen: Unternehmen, IT-Dienstleister, Cloud-Anbieter oder externe IT-Experten. Dadurch entstehen im Schadenfall oft komplexe Abgrenzungsfragen.

Warum entstehen bei Cyber-Vorfällen häufig unklare Verantwortlichkeiten?

Nach einem Cyber-Vorfall (durch technische Probleme oder Cyber-Kriminalität) steht oft nicht sofort eindeutig fest, wer für welchen Teil des Problems zuständig war und wer am Ende für die Folgen einstehen muss. Verantwortung verteilt sich im Cyber-Bereich selten auf nur eine einzige Partei. Oft greifen technische, organisatorische und vertragliche Zuständigkeiten ineinander. So entstehen Graubereiche mit nicht klar definierten Verantwortlichkeiten. In diesem Kapitel möchten wir Ihnen zeigen, aus welchen fünf Gründen diese unklaren Zuständigkeiten entstehen können: 

Mehrere Beteiligte arbeiten gleichzeitig an derselben IT-Umgebung

Unternehmen, interne IT, externe IT-Dienstleister, Freelancer, Cloud-Anbieter und Software-Hersteller übernehmen jeweils Teilaufgaben. Im Schadenfall stellt sich dann die Frage, wer für genau welchen Bereich zuständig war.

Schnittstellen schaffen Graubereiche

Viele Cyber-Vorfälle entstehen nicht nur durch einen einzelnen Fehler, sondern an Übergängen zwischen Systemen, Zuständigkeiten und Dienstleistern. An solchen Schnittstellen verschwimmt die Verantwortung schnell.

Cloud-Nutzung wird oft falsch eingeschätzt

Viele Unternehmen gehen davon aus, dass mit der Nutzung einer Cloud-Lösung auch die komplette Sicherheitsverantwortung beim Anbieter liegt. In der Praxis gilt aber meist ein Shared Responsibility Model: Der Anbieter schützt die Infrastruktur, das Unternehmen bleibt für Zugriffe, Konfigurationen und Daten verantwortlich.

Ausgelagerte IT bedeutet nicht ausgelagerte Gesamtverantwortung

Auch wenn IT-Aufgaben an externe Partner vergeben werden, bleibt ein Teil der Organisations- und Kontrollverantwortung häufig beim Unternehmen. Verantwortung lässt sich also nicht vollständig abgeben.

Verträge regeln nicht immer alle Details sauber

Serviceverträge, Leistungsbeschreibungen und SLAs sind oft nicht eindeutig. Im Ernstfall ist es wichtig, dass Zuständigkeiten, Reaktionspflichten oder Haftungsgrenzen präzise formuliert sind. Wenn das nicht der Fall ist, entstehen schnell Auslegungsspielräume und Streit über die Verantwortlichkeit im Schadenfall. Denn es ist häufig nicht eindeutig geklärt, wer welche Sicherheitsaufgaben übernehmen musste, wer auf Warnsignale hätte reagieren müssen und wer für den entstandenen Cyber-Schaden haftet.

Besonders kritisch wird es, wenn mehrere dieser Punkte zusammenkommen. Dann entsteht eine Situation, in der jede beteiligte Partei nur einen Teil des Problems verantwortet, der Gesamtschaden aber niemandem sofort eindeutig zugeordnet werden kann. 

Typische Auslöser für solche Graubereiche sind zum Beispiel:

  • unklare Zuständigkeiten für Updates und Patches
  • fehlerhafte Konfigurationen von Cloud- oder Sicherheitslösungen
  • unzureichend geregelte Zugriffsrechte
  • fehlende Dokumentation von Aufgaben und Freigaben
  • projektbezogene Zusammenarbeit mit externen Spezialisten
  • abweichende Erwartungen zwischen Unternehmen und IT-Dienstleister

Cyber-Kriminalität als Auslöser von Cyber-Vorfällen

Viele Cyber-Vorfälle entstehen durch Cyber-Kriminalität, etwa durch Phishing, DoS / DDoS Attacken, Schadsoftware oder gezielte Hacker-Angriffe. Cyber-Kriminelle nutzen dabei technische Schwachstellen, menschliche Fehler oder unzureichende Sicherheitsmaßnahmen aus, um Zugriff auf Systeme oder Daten zu erhalten.

Aktuelle Studien zeigen, wie vielfältig die Ursachen von Cyber-Vorfällen sind. Laut dem ENISA Threat Landscape Report 2025 beginnen rund 60 % aller Angriffe mit Phishing oder Social Engineering. Weitere etwa 21 % entstehen durch die Ausnutzung technischer Sicherheitslücken. Gleichzeitig werden Social-Engineering-Angriffe zunehmend durch KI unterstützt. Diese Mischung aus menschlichen Fehlern, technischen Schwachstellen und komplexen IT-Strukturen macht deutlich, warum Verantwortlichkeiten bei Cyber-Vorfällen häufig nicht eindeutig zuzuordnen sind.

Quelle: European Union Agency for Cybersecurity

Bei Cyber-Vorfällen geht es darum, wer den Fehler gemacht hat, wer wofür verantwortlich war, was vertraglich geregelt wurde und welche Pflichten beim Unternehmen verbleiben. Diese Haftungs- und Verantwortungsstruktur zeigen wir Ihnen im nächsten Kapitel genauer.

KI verändert auch die Cyber-Sicherheit

Cyber-Risiken verändern sich zunehmend durch neue Technologien wie Künstliche Intelligenz. Laut dem Hiscox Cyber Readiness Report 2025 sehen 77 Prozent der Unternehmen KI als Chance für mehr Cyber-Sicherheit. Gleichzeitig sind sich viele auch der neuen Risiken bewusst. Das unterstreicht, dass Cyber-Sicherheit heute nicht nur eine technische Frage ist, sondern ein Feld, in dem Prävention, Risikobewusstsein und klare Verantwortlichkeiten zusammenspielen. 

Die 5-Fragen-Haftungslogik

Bei Cybervorfällen entscheiden meist fünf Fragen über die Haftung:

  1. Wer hat den Fehler verursacht?
  2. Wer war für den betroffenen Bereich verantwortlich?
  3. Was ist vertraglich geregelt?
  4. Welche gesetzlichen Pflichten gelten?
  5. Welche Versicherung greift im Schadenfall?

Wie funktionieren Haftungsketten bei Cyber-Vorfällen?

Moderne IT-Strukturen bestehen heute meist aus mehreren Ebenen: internen Systemen im Unternehmen, externen IT-Dienstleistern, Cloud- oder SaaS-Anbietern sowie teilweise Freelancern oder projektbezogenen Spezialisten. Dadurch verteilen sich Aufgaben und Zuständigkeiten auf mehrere Beteiligte. Genau daraus entstehen bei Cyber-Vorfällen häufig Haftungsketten.

Eine Haftungskette beschreibt, dass die Ursache eines Cyber-Vorfalls, die Zuständigkeit für den betroffenen Bereich und die Haftung für den entstandenen Schaden bei unterschiedlichen Parteien liegen können. Ein Cyber-Vorfall entsteht also oft nicht durch nur einen einzelnen Fehler, sondern durch das Zusammenspiel mehrerer Faktoren.

Typische Ebenen einer Haftungskette

  • Unternehmen: Das Unternehmen betreibt seine IT-Systeme, legt Sicherheitsrichtlinien fest und steuert den Zugriff auf Daten und Anwendungen.
  • IT-Dienstleister: Externe IT-Partner übernehmen häufig Wartung, Administration oder die Einrichtung von Systemen und Sicherheitslösungen.
  • Cloud- oder SaaS-Anbieter: Viele Anwendungen und Daten laufen heute über Cloud-Plattformen, bei denen die Infrastruktur und die Plattform vom Anbieter bereitgestellt werden.
  • Freelancer oder externe Spezialisten: In Projekten arbeiten häufig externe Entwickler, Administratoren oder Sicherheitsexperten mit, die einzelne Systeme konfigurieren oder Software entwickeln.

Je mehr Beteiligte in diese Struktur eingebunden sind desto mehr Schnittstellen entstehen zwischen Verantwortungsbereichen. An diesen Schnittstellen entstehen häufig Cyber-Risiken.

Typische Auslöser für Cyber-Vorfälle

  • ein ungepatchtes System, das von einem IT-Dienstleister betreut wird
  • eine Fehlkonfiguration einer Cloud-Anwendung durch einen Administrator
  • unzureichend definierte Zugriffsrechte im Unternehmen
  • eine Sicherheitslücke in eingesetzter Software
  • ein Phishing-Angriff auf einen Mitarbeiter

Beispiel einer typischen Haftungskette

  1. Technische Ursache
    In einem IT-System bleibt ein sicherheitsrelevantes Update aus. Dadurch entsteht eine Sicherheitslücke.
  2. Zuständigkeit für das System
    Das betroffene System wird von einem externen IT-Dienstleister betreut, der für die Wartung und Updates zuständig ist.
  3. Organisatorische Verantwortung
    Das Unternehmen hätte kontrollieren müssen, ob Sicherheitsmaßnahmen und Update-Prozesse tatsächlich umgesetzt werden.
  4. Cyber-Vorfall
    Angreifer nutzen die Sicherheitslücke und verschaffen sich Zugriff auf Daten oder Systeme.
  5. Schaden
    Es entstehen Kosten durch Datenverlust, Betriebsunterbrechung oder Wiederherstellung der Systeme.
  6. Haftungsfrage
    Jetzt wird geprüft:
    • Liegt die Verantwortung beim IT-Dienstleister?
    • Hat das Unternehmen seine Organisationspflichten erfüllt?
    • Welche Regelungen stehen im Servicevertrag oder SLA?

Die zentrale Frage nach einem Cyber-Vorfall lautet: An welcher Stelle der Haftungskette ist der entscheidende Fehler entstanden? Erst wenn diese Frage beantwortet ist, lässt sich beurteilen, welche Partei tatsächlich Verantwortung trägt und welche Rolle Verträge oder eine Cyber-Versicherung im Schadenfall spielen.

Klemens Lemke, Underwriting Manager Cyber bei Hiscox, trägt eine Brille und einen Anzug und lächelt in die Kamera
Die zentrale Frage nach einem Cyber-Vorfall lautet: An welcher Stelle der Haftungskette ist der entscheidende Fehler entstanden? Erst wenn diese Frage beantwortet ist, lässt sich beurteilen, welche Partei tatsächlich Verantwortung trägt und welche Rolle Verträge oder eine Cyber-Versicherung im Schadenfall spielen.
Klemens LemkeUnderwriting Manager Cyber Hiscox

Wann haften Unternehmen, IT-Dienstleister, Freelancer und externe IT-Experten?

Grundsätzlich gilt: Auch wenn Unternehmen IT-Aufgaben an externe Partner auslagern, bleibt ein Teil der Verantwortung häufig beim Unternehmen selbst. Gleichzeitig können IT-Dienstleister, Freelancer oder externe Spezialisten haften, wenn Fehler in ihrem Verantwortungsbereich entstehen.

Welche Partei tatsächlich haftet, hängt daher immer von mehreren Faktoren ab:

  • Zuständigkeit für das betroffene System oder die Anwendung
  • vertragliche Vereinbarungen, etwa Serviceverträge oder SLAs
  • konkrete Aufgaben und Verantwortlichkeiten der beteiligten Parteien
  • organisatorische Pflichten des Unternehmens, etwa Sicherheitsrichtlinien oder Kontrollen

Typische Aufgabenbereiche und mögliche Haftungssituationen

Die Verantwortung bei Cyber-Vorfällen verteilt sich häufig auf mehrere Beteiligte. Die folgende Übersicht zeigt typische Aufgabenbereiche und mögliche Haftungssituationen von Unternehmen, IT-Dienstleistern und externen IT-Experten.

Beteiligte ParteiTypische VerantwortlichkeitenBeispiele für mögliche Haftungsfälle
UnternehmenFestlegung von Sicherheitsrichtlinien, Steuerung von Zugriffsrechten, Auswahl und Kontrolle externer IT-Dienstleister, Schulung von Mitarbeitenden im Umgang mit Cyber-Risikenunzureichende Sicherheitsrichtlinien, fehlende Zugriffskontrollen, mangelnde Überwachung externer Dienstleister
IT-DienstleisterWartung und Administration von Systemen, Installation von Updates und Patches, Einrichtung und Überwachung von IT-Infrastrukturfehlende oder verspätete Sicherheitsupdates, fehlerhafte Systemkonfigurationen, unzureichende Wartung oder Systemüberwachung
Freelancer / externe SpezialistenProjektbezogene IT-Arbeiten, Entwicklung oder Anpassung von Software, Konfiguration einzelner Systeme oder SicherheitslösungenSicherheitslücken in entwickelter Software, Fehlkonfigurationen von Cloud-Systemen oder Anwendungen

Verantwortung lässt sich nicht vollständig auslagern

Ein wichtiger Grundsatz im Cyber-Bereich lautet: Verantwortung für IT-Sicherheit lässt sich nur begrenzt auslagern. Unternehmen können zwar technische Aufgaben an externe Partner übertragen, bleiben aber häufig für übergeordnete Sicherheits- und Organisationspflichten verantwortlich. Deshalb kommt es nach Cyber-Vorfällen häufig zu komplexen Haftungsfragen. Mehrere Parteien können gleichzeitig beteiligt sein, während Ursache, Zuständigkeit und Haftung nicht automatisch bei derselben Stelle liegen.

Im nächsten Kapitel schauen wir uns deshalb an, wie sich Verantwortlichkeiten bei Cloud-Anwendungen verteilen und welche Rolle das sogenannte Shared-Responsibility-Modell spielt.

Wie solche Angriffe in der Praxis aussehen, zeigen reale Beispiele aus dem Unternehmensalltag. Diese haben wir im Beitrag Häufige Cyber-Schadenfälle in Unternehmen zusammengestellt.

Wer trägt Verantwortung für Sicherheit in der Cloud? (Shared Responsibility)

Mit der zunehmenden Nutzung von Cloud- und SaaS-Lösungen verlagern viele Unternehmen einen Teil ihrer IT-Infrastruktur zu externen Anbietern. Anwendungen, Daten und Systeme werden nicht mehr ausschließlich im eigenen Unternehmen betrieben, sondern auf Plattformen von Cloud-Anbietern. 

Was ist Shared Responsibility?

Wer ist bei ausgelagerter IT-Infrastruktur für IT-Sicherheit verantwortlich? In der Praxis ist die Verantwortung zwischen Anbieter und Unternehmen aufgeteilt. Dieses Prinzip wird als Shared Responsibility bezeichnet.

Das bedeutet: Der Cloud-Anbieter ist in der Regel für die Sicherheit der technischen Infrastruktur verantwortlich, etwa für Rechenzentren, Hardware, Netzwerke und die grundlegende Plattform. Das Unternehmen bleibt dagegen für viele sicherheitsrelevante Aspekte innerhalb der eigenen Cloud-Nutzung zuständig. Dazu gehören unter anderem:

  • die sichere Konfiguration von Anwendungen
  • die Verwaltung von Benutzerkonten und Zugriffsrechten
  • der Schutz sensibler Unternehmensdaten
  • die Festlegung von Sicherheitsrichtlinien
  • Schulungen von Mitarbeitenden im Umgang mit Cloud-Systemen

 

Verantwortungs-Check: Wer ist in der Cloud zuständig?

Viele Missverständnisse rund um Cloud-Sicherheit entstehen, weil Unternehmen und Cloud-Anbieter unterschiedliche Aufgaben übernehmen. Die folgenden Beispiele zeigen typische Situationen aus der Praxis.

Situation:  Ein Cloud-Speicher ist versehentlich öffentlich zugänglich und sensible Unternehmensdaten sind abrufbar.

Verantwortungs-Check: Cloud-Anbieter oder Unternehmen?

Unternehmen:  Die Konfiguration von Zugriffsrechten und Berechtigungen liegt in der Verantwortung des Unternehmens

Situation: Ein Rechenzentrum des Cloud-Anbieters fällt wegen eines Hardwarefehlers aus.

Verantwortungs-Check: Cloud-Anbieter oder Unternehmen?

Cloud-Anbieter:  Der Betrieb und die Absicherung der Infrastruktur gehören zum Verantwortungsbereich des Anbieters.

Situation:  Ein Mitarbeiter verwendet ein schwaches Passwort für seinen Cloud-Zugang und ein Angreifer erhält Zugriff auf Daten.

Verantwortungs-Check: Cloud-Anbieter oder Unternehmen?

Unternehmen:  Die Verwaltung von Benutzerkonten, Passwortrichtlinien und Mehrfaktor-Authentifizierung liegt beim Unternehmen.

Situation: Eine Sicherheitslücke in der Cloud-Plattform ermöglicht einen Angriff auf mehrere Kunden.

Verantwortungs-Check: Cloud-Anbieter oder Unternehmen?

Cloud-Anbieter:  Die Sicherheit der Plattform und der zugrunde liegenden Infrastruktur liegt beim Anbieter.

Diese Beispiele zeigen, warum Cloud-Sicherheit auf einem Shared-Responsibility-Prinzip basiert: Der Cloud-Anbieter schützt die Infrastruktur, während Unternehmen für die sichere Nutzung der Anwendungen, Zugriffsrechte und Daten verantwortlich bleiben.

Im nächsten Kapitel zeigen wir Ihnen, welche typischen Haftungskonflikte nach Cyber-Vorfällen entstehen können und warum diese Fragen in der Praxis häufig zu Streit zwischen Unternehmen, Dienstleistern und anderen Beteiligten führen.

Welche Cyber-Risiken Unternehmen tatsächlich treffen, zeigen typische Angriffsmuster im Unternehmensalltag. Einen Überblick über die häufigsten Angriffstypen finden Sie in unserem Beitrag Welche Cyber-Angriffe treffen KMU wirklich?

Welche typischen Haftungskonflikte entstehen nach Cyber-Vorfällen?

Wenn ein Cyber-Vorfall eintritt, wird die technische Ursache oft schnell gefunden. Deutlich schwieriger ist die Frage, wer tatsächlich für den entstandenen Schaden verantwortlich ist. Gerade wenn mehrere Parteien an IT-Systemen beteiligt sind, entstehen häufig Konflikte über Zuständigkeiten und Haftung. Typische Konflikte entstehen vor allem dann, wenn Ursache, Zuständigkeit und Verantwortung nicht eindeutig zusammenfallen.

Beispiel 1: Sicherheitsupdates

Ein Unternehmen nutzt ein System, das von einem externen IT-Dienstleister betreut wird. Nach einem Angriff stellt sich heraus, dass ein sicherheitsrelevantes Update nicht installiert wurde.

In dieser Situation stellen sich die Fragen:

  • War der IT-Dienstleister für Updates verantwortlich?
  • Oder hätte das Unternehmen die Aktualisierung freigeben müssen?

Die Antwort hängt davon ab, was im Servicevertrag tatsächlich vereinbart wurde.

Beispiel 2: Fehlkonfiguration in der Cloud

In einer Cloud-Anwendung sind sensible Daten öffentlich zugänglich, weil ein Speicher falsch konfiguriert wurde. Das Unternehmen vermutet zunächst ein Sicherheitsproblem beim Cloud-Anbieter. Dieser verweist jedoch darauf, dass die Konfiguration von Zugriffsrechten beim Kunden liegt.

Entscheidend ist in diesem Fall:

  • Liegt die Verantwortung beim Cloud-Anbieter oder beim Unternehmen?

Hier entsteht ein typischer Konflikt im Rahmen des Shared-Responsibility-Modells.

Beispiel 3: Sicherheitslücke in einer Anwendung

Eine Software enthält eine Schwachstelle, die von Angreifern ausgenutzt wird.

Im Schadenfall stellen sich die Fragen:

  • Liegt die Verantwortung beim Softwareanbieter?
  • Beim IT-Dienstleister, der die Software betreibt?
  • Oder beim Unternehmen, das die Anwendung einsetzt?

Meistens ist in einem solchen Fall der vertraglich definierte Verantwortungsbereich ausschlaggebend.

Typisches Muster bei Haftungskonflikten

Viele dieser Graubereiche in der Verantwortung folgen einem ähnlichen Muster:

  1. Ein Cyber-Vorfall entsteht durch eine Sicherheitslücke oder Fehlkonfiguration.
  2. Mehrere Parteien sind an der betroffenen IT-Struktur beteiligt.
  3. Ursache, Zuständigkeit und Haftung liegen nicht automatisch bei derselben Stelle.

So entstehen nach Cyber-Vorfällen häufig komplexe Haftungsfragen, die erst durch Verträge, Zuständigkeiten und Versicherungen geklärt werden.

Im nächsten Abschnitt schauen wir uns deshalb an, welche Rolle eine Cyber-Versicherung in solchen Situationen spielen kann.

Welche Maßnahmen helfen, Cyber-Angriffe frühzeitig zu erkennen oder ganz zu verhindern, erfahren Sie im Beitrag Prävention und Cyber-Resilienz.

Wann hilft eine Cyber-Versicherung bei einem Cyber-Vorfall?

Wenn nach einem Cyber-Vorfall unklar ist, wer für den entstandenen Schaden verantwortlich ist, kann eine Cyber-Versicherung ein wichtiger Baustein sein. In Graubereichen der Verantwortung (wenn mehrere Beteiligte an IT-Systemen oder Cloud-Anwendungen beteiligt sind) lassen sich Ursache, Zuständigkeit und Haftung nicht immer sofort eindeutig zuordnen.

Typischerweise greift eine Cyber-Versicherung bei:

  • Eigenschäden durch Cyber-Vorfälle: beispielsweise durch Datenverlust, Datenmissbrauch oder die Wiederherstellung von IT-Systemen
  • Schadenersatzforderungen Dritter: wenn Kunden oder Geschäftspartner gesetzliche Ansprüche im Zusammenhang mit einem Cyber-Vorfall geltend machen
  • Kosten für IT-Forensik und Krisenmanagement: um Ursachen zu analysieren und den Vorfall einzudämmen
  • Betriebsunterbrechung: wenn digitale Ausfälle den Geschäftsbetrieb beeinträchtigen
  • Datenschutzverletzungen: wenn personenbezogene Daten betroffen sind

Zusätzlich kann eine Cyber-Versicherung durch Assistance-Leistungen unterstützen, zum Beispiel durch:

  • Notfall-Hotlines
  • IT-Sicherheits-Experten im Verdachts- oder Schadenfall
  • Krisenpläne und begleitende Unterstützung
  • Cyber-Trainings für Mitarbeitende

Wichtig ist dabei: Eine Cyber-Versicherung ersetzt keine technischen und organisatorischen Sicherheitsmaßnahmen. Sie ergänzt das Cyber-Risikomanagement und hilft Unternehmen, Freelancer und Selbstständigen dabei, nach einem Cyber-Vorfall handlungsfähig zu bleiben.

Erklär-Film Cyber-Versicherung: Aus einem Cyber-Zwischenfall können Ihnen hohe Schadenersatzansprüche entstehen. Erfahren Sie im Video, wie eine Cyber-Versicherung während und nach dem Schaden hilft und von welchen Leistungen Sie profitieren.

Wie hoch die finanziellen Folgen solcher Angriffe sein können und welche Versicherungssummen sinnvoll sind, erklären wir im Beitrag Versicherungssummen und Risikoeinschätzung für Unternehmen.

Checkliste: Wie Unternehmen Graubereiche der Verantwortung reduzieren

Prüfen Sie regelmäßig, ob diese Punkte in Ihrem Unternehmen klar geregelt sind:
 

  • Zuständigkeiten für IT-Systeme
    Ist eindeutig dokumentiert, wer für welche Systeme, Anwendungen und Schnittstellen verantwortlich ist?
  • Updates und Sicherheitsmaßnahmen
    Ist klar festgelegt, wer Patches, Sicherheitsupdates und technische Schutzmaßnahmen umsetzt und kontrolliert?
  • Zugriffsrechte und Cloud-Konfigurationen
    Werden Berechtigungen, Benutzerkonten und Cloud-Einstellungen regelmäßig überprüft?
  • Verträge und SLAs
    Sind Leistungen, Reaktionspflichten und Haftungsgrenzen mit IT-Dienstleistern und externen Partnern präzise geregelt?
  • Krisenplan für den Ernstfall
    Gibt es klare Abläufe und Ansprechpartner für den Fall eines Cyber-Vorfalls?
  • Cyber-Versicherung als Ergänzung
    Ist geprüft, ob eine Cyber-Versicherung Teil des Cyber-Risikomanagements sein sollte?

Fazit

Cyber-Vorfälle entstehen häufig dort, wo mehrere Systeme, Dienstleister und Verantwortungsbereiche zusammenkommen. Genau an diesen Schnittstellen entstehen oft Graubereiche der Verantwortung. Eine Cyber-Versicherung kann helfen, die finanziellen und organisatorischen Folgen eines Cyber-Vorfalls abzufedern; auch dann, wenn Haftungsfragen zwischen den Beteiligten noch nicht abschließend geklärt sind.

Klemens Lemke, Underwriting Manager Cyber bei Hiscox, trägt eine Brille und einen Anzug und lächelt in die Kamera

Autor: Klemens Lemke, Underwriting Manager Cyber

Experte für Cyber-Risiken & Cyber-Versicherungslösungen

📍 Beiträge in:

Klemens Lemke ist als Underwriting Manager Cyber im Bereich Underwriting & Pricing tätig und am Standort Hamburg angesiedelt. In seiner Rolle befasst er sich intensiv mit der Bewertung komplexer Cyber-Risiken sowie der Entwicklung und Platzierung passgenauer Versicherungslösungen für Unternehmen unterschiedlicher Branchen und Größenordnungen. 

Sein fachlicher Schwerpunkt liegt auf der Analyse von IT-Infrastrukturen, der Beurteilung von Cyber-Bedrohungsszenarien sowie der Ableitung tragfähiger Cyberversicherungslösungen. Dabei verbindet er technisches Verständnis mit versicherungsfachlicher Tiefe und berücksichtigt sowohl regulatorische Anforderungen als auch marktspezifische Rahmenbedingungen.

FAQs: Häufige Fragen zu Verantwortung und Haftung bei Cyber-Vorfällen

Wer haftet bei einem Cyber-Vorfall im Unternehmen?

Wer bei einem Cyber-Vorfall haftet, hängt davon ab, wo die Ursache entstanden ist und wer für den betroffenen Bereich verantwortlich war. Häufig sind mehrere Parteien beteiligt, zum Beispiel Unternehmen, IT-Dienstleister, Cloud-Anbieter oder externe IT-Experten. Entscheidend sind dabei vertragliche Vereinbarungen, organisatorische Pflichten und die konkreten Zuständigkeiten für Systeme und Anwendungen.

Haftet mein IT-Dienstleister bei einem Cyber-Schaden?

Ein IT-Dienstleister kann haften, wenn der Schaden in seinem Verantwortungsbereich entstanden ist, etwa durch fehlende Sicherheitsupdates oder fehlerhafte Systemkonfigurationen. Ob tatsächlich eine Haftung besteht, hängt jedoch stark von den vereinbarten Leistungen im Servicevertrag oder SLA ab.

Bin ich für Sicherheitsprobleme in der Cloud verantwortlich?

In der Cloud gilt meist das Shared-Responsibility-Modell. Das bedeutet: Der Cloud-Anbieter schützt die Infrastruktur und Plattform. Das Unternehmen bleibt jedoch für viele Aspekte selbst verantwortlich, etwa für Zugriffsrechte, Konfigurationen und den Schutz der eigenen Daten.

Können Unternehmen Verantwortung für IT-Sicherheit vollständig auslagern?

Nein. Unternehmen können zwar technische Aufgaben an externe IT-Dienstleister oder Cloud-Anbieter übertragen, behalten jedoch häufig eine grundlegende Organisations- und Sicherheitsverantwortung. Dazu gehören zum Beispiel Sicherheitsrichtlinien, Zugriffskontrollen und die Auswahl geeigneter IT-Partner.

Wann hilft eine Cyber-Versicherung?

Eine Cyber-Versicherung kann helfen, wenn durch einen Cyber-Vorfall Eigenschäden entstehen oder Dritte Schadenersatzforderungen stellen. Sie unterstützt typischerweise bei IT-Forensik, Krisenmanagement, Wiederherstellung von Systemen oder Kosten durch Betriebsunterbrechung.

Warum entstehen bei Cyber-Vorfällen häufig Graubereiche der Verantwortung?

Cyber-Vorfälle entstehen oft durch mehrere Ursachen gleichzeitig, zum Beispiel technische Schwachstellen, menschliche Fehler oder unklare Zuständigkeiten. Wenn mehrere Parteien an IT-Systemen beteiligt sind, können Ursache, Verantwortung und Haftung auseinanderfallen. Genau dadurch entstehen Graubereiche bei der Verantwortungszuordnung.

Wer haftet bei einem Datenleck im Unternehmen?

Bei einem Datenleck hängt die Haftung davon ab, wo die Ursache entstanden ist und wer für den betroffenen Bereich verantwortlich war. Möglich ist zum Beispiel eine Fehlkonfiguration im Unternehmen, eine Sicherheitslücke in einer Anwendung oder ein Fehler eines externen IT-Dienstleisters. Entscheidend sind dabei die Zuständigkeiten, vertragliche Vereinbarungen sowie gesetzliche Pflichten, etwa im Datenschutzrecht.

Wer zahlt bei einem Cyber-Angriff im Unternehmen?

Wer für die Kosten eines Cyber-Angriffs aufkommt, hängt davon ab, wer für die betroffene IT-Struktur verantwortlich war. In vielen Fällen entstehen zunächst Eigenschäden im Unternehmen, etwa durch Systemausfälle oder Datenverlust. Zusätzlich können Schadenersatzforderungen Dritter entstehen. Eine Cyber-Versicherung kann helfen, diese finanziellen Folgen abzufedern.

Kann man Verantwortung für IT-Sicherheit vollständig auslagern?

Unternehmen können technische Aufgaben an externe IT-Dienstleister oder Cloud-Anbieter übertragen. Die grundlegende Verantwortung für IT-Sicherheit und organisatorische Schutzmaßnahmen bleibt jedoch meist beim Unternehmen. Dazu gehören beispielsweise Sicherheitsrichtlinien, Zugriffskontrollen und die Auswahl geeigneter Dienstleister.

Smartphone zeigt Hiscox-Webseite mit Formular zur Versicherungsanfrage; Text auf Deutsch, roter ‚Weiter‘-Button und Auswahlfelder für Unternehmensangaben sichtbar.

In nur 3 Schritten Ihre Cyber-Versicherung online abschließen

1. Angaben machen am Smartphone, Tablet oder Computer & Schutz auswählen
2. Unverbindliches Angebot erhalten
3. Auf Wunsch online abschließen und sofort Versicherungsschein erhalten

Tipps & Insights für Ihr Business

Alle Artikel in der Übersicht