Die wachsende Bedrohung durch BEC und die Tücken der Cyberversicherung

Die digitale Transformation schreitet unaufhaltsam voran, doch mit ihr wachsen auch die Cyber-Risiken für Unternehmen exponentiell. Eine der raffiniertesten und finanziell verheerendsten Bedrohungen ist Business Email Compromise (BEC), oft auch als CEO-Fraud oder Fake President Attack bezeichnet. Als Versicherungsvermittler oder -makler sind Sie der erste Ansprechpartner für Ihre Mandanten, wenn es um den Schutz vor den finanziellen Folgen von Cyberangriffen geht. Doch gerade bei BEC-Schäden lauern Fallstricke: Standard-Cyberversicherungspolicen bieten oft keinen ausreichenden Schutz, wie ein aktuelles Urteil des Landgerichts Hagen drastisch verdeutlicht. Dieser Artikel analysiert die Herausforderungen, beleuchtet das LG Hagen Urteil und gibt Ihnen als Vermittler praxisnahe Tipps für die Beratung und die Auswahl passender Versicherungslösungen.

Was genau ist Business Email Compromise (BEC)?

BEC ist keine technische Attacke im klassischen Sinne, sondern eine Form des Social Engineering. Kriminelle nutzen E-Mails, um sich als vertrauenswürdige Personen auszugeben – der CEO, ein wichtiger Lieferant, ein Anwalt oder ein Kollege. Durch psychologische Tricks wie das Erzeugen von Dringlichkeit, das Ausnutzen von Autorität oder das Fordern von Geheimhaltung manipulieren sie Mitarbeiter dazu, Gelder auf betrügerische Konten zu überweisen oder sensible Daten preiszugeben.

Die Angriffe sind oft schwer zu durchschauen, da sie meist ohne klassische Malware oder verdächtige Links auskommen. Die Täter recherchieren ihre Opfer gründlich, nutzen Techniken wie Domain Spoofing oder Lookalike Domains und setzen zunehmend auch Künstliche Intelligenz (KI) ein, um ihre E-Mails noch überzeugender zu gestalten. Die finanziellen Schäden sind enorm und gehen weltweit in die Milliarden, wobei die Rückholung überwiesener Gelder fast aussichtslos ist.

Die Deckungslücke: Warum Standard-Cyberpolicen bei BEC oft versagen

Viele Ihrer Mandanten wiegen sich mit einer abgeschlossenen Cyberversicherung in Sicherheit. Doch die Realität sieht oft anders aus. Die Kernproblematik liegt in den Versicherungsbedingungen:

1. Definition der “Informationssicherheitsverletzung”: Viele Standardpolicen, oft orientiert an den Musterbedingungen des GDV (AVB Cyber), definieren den Versicherungsfall als eine technische Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit der IT-Systeme des Versicherungsnehmers. Bei einem typischen BEC-Angriff wird jedoch oft kein System des versicherten Unternehmens gehackt. Stattdessen wird ein autorisierter Mitarbeiter durch Täuschung dazu gebracht, eine Überweisung freiwillig vorzunehmen. Das System selbst funktioniert technisch korrekt.
2. Ausschluss “Abfluss von Vermögenswerten”: Ein kritischer und häufiger Ausschluss in Standard-Cyberpolicen (z.B. A1-17.8 der GDV AVB Cyber) schließt den direkten Verlust von Geldern des Versicherungsnehmers aus. Genau dieser finanzielle Schaden entsteht aber bei einer erfolgreichen BEC-Überweisung.

Praxisbeispiel: Das Urteil des LG Hagen (Az. 9 O 258/23)

Wie relevant diese Deckungslücken sind, zeigt ein rechtskräftiges Urteil des Landgerichts Hagen vom 15.10.2024 (Az. 9 O 258/23). In diesem Fall fiel ein Unternehmen (die Klägerin) auf eine BEC-Attacke herein. Betrüger hatten die E-Mail-Kommunikation mit einem polnischen Lieferanten manipuliert und das Unternehmen dazu gebracht, Zahlungen auf ein falsches Konto zu leisten. Die Klägerin machte den Schaden bei ihrer Cyberversicherung geltend – erfolglos.

Das Gericht wies die Klage ab und begründete dies maßgeblich damit, dass keine versicherte Informationssicherheitsverletzung im Sinne der zugrundeliegenden AVB Cyber vorlag. Die entscheidenden Punkte der Urteilsbegründung waren:

• Keine Verletzung der Netzwerksicherheit der Klägerin: Das Gericht stellte fest, dass die IT-Systeme und das E-Mail-System der Klägerin selbst ordnungsgemäß funktionierten. Der Angriffspunkt lag extern – im kompromittierten E-Mail-System des Lieferanten. Eine reine Täuschung durch eine von außen kommende E-Mail, selbst wenn diese von einem gehackten Konto stammt, stelle keine Verletzung der eigenen Netzwerksicherheit im Sinne der Police dar.
• Verweis auf Ausschlussbeispiele: Das Gericht zog Parallelen zu den in den AVB genannten Beispielen für nicht versicherte Netzwerksicherheitsverletzungen, wie “fake president Angriffe mittels nachgebildeter E-Mail-Adresse” (Teil A Ziff. 3.3.1 Nr. 4 AVB). Obwohl im konkreten Fall das echte (aber kompromittierte) Konto des Lieferanten genutzt wurde, sah das Gericht den Fall als vergleichbar und somit nicht vom Versicherungsschutz umfasst an.
• Kein Greifen der Vertrauensschadenversicherung: Auch die ebenfalls in der Police enthaltene Vertrauensschadenversicherung (Teil D AVB) half nicht, da diese laut Bedingungen eine vorausgehende Informationssicherheitsverletzung nach Teil A Ziffer 3 erforderte, die das Gericht ja gerade verneint hatte.

Fazit des Gerichts: Der Vorfall wurde als “normaler” Betrug eingestuft, bei dem die Klägerin auf eine Täuschung hereingefallen war. Die Cyber-Police, so das Gericht, sei primär darauf ausgelegt, Risiken der eigenen IT-Systeme des Versicherungsnehmers abzusichern, was hier nicht der Fall war.

Dieses Urteil ist ein Weckruf für alle Unternehmen und insbesondere für Sie als Vermittler. Es unterstreicht, dass der Teufel im Detail der Versicherungsbedingungen steckt und eine Standard-Cyberpolice eben keinen Allround-Schutz gegen jede Form von Cyberkriminalität bietet.

Beratungsfokus für Vermittler: So finden Sie den passenden BEC-Schutz

Um Ihre Mandanten wirksam vor den finanziellen Folgen von BEC zu schützen, müssen Sie bei der Policenauswahl und -beratung sehr genau hinsehen. Verlassen Sie sich nicht auf Standardformulierungen. Suchen Sie aktiv nach spezifischen Deckungserweiterungen:

• Social Engineering Fraud (SEF) / Fraudulent Instruction: Dies ist die wichtigste Klausel! Achten Sie auf Bausteine, die explizit Schäden durch betrügerische Anweisungen (per E-Mail, Telefon etc.) abdecken, die Mitarbeiter zu Geldtransfers verleiten. Diese finden sich oft als Zusatz in Cyber- oder Vertrauensschadenversicherungen.
• Cyber-Vertrauensschaden: Dieser Baustein kann Betrug durch Dritte, einschließlich Social-Engineering-Angriffe wie CEO-Fraud, umfassen. Er kann die Lücke der Standard-Cyberpolice schließen, aber prüfen Sie die genauen Voraussetzungen (siehe LG Hagen Urteil!).
• Cyber-Diebstahl (mit spezifischer Definition): Einige Versicherer definieren diesen Baustein explizit so, dass auch irrtümlich aufgrund von Täuschung (BEC/CEO Fraud) überwiesene Gelder gedeckt sind. Hier ist die genaue Formulierung entscheidend!
• CEO-Fraud-Deckung: Manche Anbieter haben spezielle Module für dieses Szenario.

Ihre Checkliste für die Policenprüfung:

• Definitionen Auslöser: Ist ein technischer Einbruch in die Systeme des Mandanten Voraussetzung oder reicht die reine Täuschung? Welche Personen müssen imitiert werden (nur externe Lieferanten/Kunden oder auch interne Führungskräfte/Mitarbeiter)?
• Sublimits Selbstbehalte: Deckungen für Betrug/SEF sind oft stark sublimitiert (z.B. nur 50.000 € oder 100.000 € bei einer Police mit Millionen-Deckungssumme) und haben höhere Selbstbehalte. Prüfen Sie kritisch, ob das Sublimit dem tatsächlichen Risiko des Mandanten entspricht!
• Obliegenheiten (Verifizierungsverfahren!): Viele SEF-Deckungen setzen die strikte Einhaltung interner Verifizierungsverfahren voraus (z.B. obligatorischer Rückruf über eine bekannte, separat verifizierte Nummer vor  jeder Überweisung oder Stammdatenänderung). Klären Sie exakt, welche Verfahren gefordert sind und ob der Mandant diese nachweislich implementiert hat und lebt.Die Nichteinhaltung führt im Schadenfall fast sicher zur Leistungsverweigerung!
• Kombination Cyber VSV: Da BEC an der Schnittstelle von Cyber und Kriminalität liegt, kann eine Kombination aus Cyber- und Vertrauensschadenversicherung (VSV) die beste Lösung sein, um Deckungslücken zu schließen. Prüfen Sie Überschneidungen und die Rangfolge der Deckung (Subsidiarietätsklauseln).

Prävention ist das A und O: Tipps für Ihre Mandantenberatung

Keine Versicherung kann einen Angriff verhindern. Der beste Schutz ist immer noch eine starke Prävention. Weisen Sie Ihre Mandanten aktiv auf folgende Maßnahmen hin, die auch von Versicherern zunehmend als Voraussetzung für den Versicherungsschutz oder bessere Konditionen gefordert werden:

• Technische Schutzwälle:
  • Multi-Faktor-Authentifizierung (MFA): Absolutes Muss für E-Mail, VPN, Cloud-Dienste und administrative Konten.
  • E-Mail-Sicherheit: SPF, DKIM, DMARC konsequent implementieren. Fortschrittliche E-Mail-Filter (Anti-Phishing, Anti-Spoofing, KI-Anomalieerkennung) nutzen. E-Mails von externen Absendern klar kennzeichnen.
  • Endpoint Security: Aktuellen Virenschutz und idealerweise Endpoint Detection and Response (EDR/XDR) einsetzen. Regelmäßiges Patch-Management.
• Prozessuale Leitplanken:
  • !!! Obligatorische Verifizierungsprozesse !!!: Dies ist die entscheidende Maßnahme gegen BEC! Kunden sollten strikt verbindliche Regeln für jede Anweisung zur Geldüberweisung, Änderung von Bankverbindungen oder Herausgabe sensibler Daten etablieren. Die Verifizierung muss immer über einen zweiten, unabhängigen, vorab bekannten Kommunikationskanal erfolgen (z.B. Rückruf bei einer im System hinterlegten, verifizierten Telefonnummer, persönliche Rücksprache), niemals über die in der verdächtigen E-Mail genannten Kontaktdaten. Kunden sollten auch das Vier-Augen-Prinzip für kritische Transaktionen implementieren.
  • Funktionstrennung: Bei Finanzprozessen sicherstellen.
  • Notfallplan (Incident Response Plan): Einen Plan für den Ernstfall entwickeln und testen.
• Der Faktor Mensch:
  • Regelmäßige, praxisnahe Schulungen: Mitarbeiter müssen wiederholt für BEC-Taktiken (Imitation, Dringlichkeit etc.), Phishing-Erkennung und die zwingende Einhaltung der internen Verifizierungsprozesse sensibilisiert werden. Simulierte Phishing-Tests können helfen.
  • Sicherheitskultur fördern: Mitarbeiter sollten ermutigt werden, verdächtige Prozesse immer umgehend an die Geschäftsleitung oder den Datenschutzbeauftragten zu melden.

Angesichts der Komplexität von BEC und der Cyberversicherungslandschaft kommt Ihnen als Vermittler eine entscheidende Rolle zu:

• Risikoaufklärung: Machen Sie Ihren Mandanten die spezifischen Risiken von BEC und die potenziellen Deckungslücken in Standardpolicen unmissverständlich klar. Nutzen Sie Beispiele wie das LG Hagen Urteil.
• Bedarfsgerechte Policenanalyse: Gehen Sie über Standardangebote hinaus. Analysieren Sie die Bedingungen im Detail, identifizieren Sie Policen mit expliziter und ausreichender SEF-/Betrugsdeckung und achten Sie penibel auf Sublimits und Obliegenheiten.
• Präventionsberatung: Betonen Sie die absolute Notwendigkeit robuster Präventionsmaßnahmen, insbesondere der Verifizierungsprozesse. Erklären Sie, dass diese oft Voraussetzung für den Versicherungsschutz sind.
• Ganzheitlicher Ansatz: Prüfen Sie die Notwendigkeit einer Kombination aus Cyber- und Vertrauensschadenversicherung.
• Marktkenntnis nutzen: Vergleichen Sie Angebote verschiedener Versicherer nicht nur nach Preis, sondern nach Bedingungswerk, Expertise und Schadenregulierungspraxis.

Proaktive Prävention und maßgeschneiderter Versicherungsschutz

Business Email Compromise ist eine reale und kostspielige Gefahr. Das Urteil des LG Hagen zeigt deutlich, dass eine Standard-Cyberversicherung allein oft nicht ausreicht, um die direkten finanziellen Verluste durch BEC abzudecken. Für Sie als Versicherungsvermittler bedeutet das: Eine tiefgehende Analyse der Policenbedingungen, die aktive Suche nach spezifischen Betrugsdeckungen (SEF, Vertrauensschaden) und die genaue Prüfung von Sublimits und Obliegenheiten sind unerlässlich. Gleichzeitig müssen Sie Ihre Mandanten eindringlich auf die Notwendigkeit robuster Präventionsmaßnahmen, allen voran wasserdichter Verifizierungsprozesse für Zahlungen, hinweisen. Nur die Kombination aus starker Prävention und einem sorgfältig ausgewählten, bedarfsgerechten Versicherungsschutz kann Unternehmen wirksam vor den finanziellen Folgen von BEC schützen.

Was tun, wenn der Versicherer die Leistung ablehnt?

Trotz sorgfältiger Auswahl und Prävention kann es vorkommen, dass ein Versicherer die Leistung im Schadenfall – insbesondere bei komplexen Sachverhalten wie BEC – ablehnt. Die Begründungen können vielfältig sein: Nichteinhaltung von Obliegenheiten (z.B. der Verifizierungsverfahren), Auslegung von Definitionen (z.B. “Informationssicherheitsverletzung”) oder die Anwendung von Ausschlüssen.

In solchen Fällen ist es für Ihre Mandanten entscheidend, die Ablehnung nicht vorschnell zu akzeptieren. Die Versicherungsbedingungen sind oft komplex und juristisch anspruchsvoll formuliert. Eine Ablehnung durch den Versicherer basiert auf dessen Interpretation der Police und des Sachverhalts, die nicht immer zutreffend oder die einzig Mögliche sein muss.

Empfehlen Sie Ihren Mandanten dringend, sich bei einer Leistungsablehnung durch den Versicherer an einen spezialisierten Fachanwalt für Versicherungsrecht zu wenden. Ein erfahrener Anwalt kann:

• Die Versicherungsbedingungen und die Ablehnungsgründe des Versicherers prüfen.
• Den Sachverhalt und die Einhaltung der Obliegenheiten durch den Mandanten bewerten.
• Die Erfolgsaussichten einer Anfechtung der Ablehnung einschätzen.
• Den Mandanten außergerichtlich oder gerichtlich gegenüber dem Versicherer vertreten, um doch noch eine Deckung zu erreichen.

Gerade im Bereich der Cyberversicherung, einem relativ neuen und sich ständig entwickelnden Feld mit oft uneinheitlichen Bedingungen, ist eine fachkundige juristische Prüfung bei Leistungsstreitigkeiten unerlässlich.

Rechtlicher Hinweis: Dieser Blogartikel dient ausschließlich der allgemeinen Information und ersetzt keine individuelle Rechts- oder Versicherungsberatung. Für spezifische Fragen zu Ihrem Versicherungsschutz oder im Schadenfall wenden Sie sich bitte an Ihren Versicherer oder einen spezialisierten Rechtsanwalt.