Öffentliche Vergabe: Cyberversicherungen rechtssicher beschaffen

Ransomware-Attacken, Datendiebstahl und Systemausfälle verursachen nicht nur hohe wirtschaftliche Schäden, sondern gefährden auch den reibungslosen Betrieb von Behörden und kritischen Infrastrukturen.

Laut dem jüngsten „Bericht zur Lage der IT-Sicherheit in Deutschland 2024“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) eskaliert die Bedrohungslage weiter – insbesondere für Kommunen, Hochschulen und Krankenhäuser, die häufig über begrenzte IT-Sicherheitsressourcen verfügen. Kritische Vorfälle wie der Cyberangriff auf den Landkreis Anhalt-Bitterfeld, bei dem die Verwaltung zeitweise handlungsunfähig war, oder die Attacke auf die Südwestfalen-IT, die 72 Kommunen traf, zeigen, wie real diese Gefahr ist. Die Folgen solcher Angriffe sind oft über Monate hinweg spürbar.

Angesichts dieser Bedrohungslage gewinnen Cyberversicherungen rasant an Bedeutung. Sie bieten nicht nur finanziellen Schutz, sondern auch professionelle Unterstützung durch Incident-Response-Dienste und digitale Forensik. Doch während private Unternehmen diese Policen individuell abschließen können, unterliegen öffentliche Auftraggeber den Vorgaben des Vergaberechts.

Vergaberechtliche Anforderungen an die Beschaffung von Cyberversicherungen

Die Ausschreibung einer Cyberversicherung muss nicht nur marktgerecht, sondern auch rechtssicher gestaltet werden. Dabei sind insbesondere die folgenden zentralen Aspekte zu berücksichtigen:

Wahl des richtigen Vergabeverfahrens

Die Wahl des richtigen Vergabeverfahrens ist ein entscheidender Schritt für eine rechtssichere und marktgerechte Beschaffung von Cyberversicherungen. Da es sich hierbei um eine Dienstleistungsvergabe handelt, unterliegt sie den Vorschriften der Vergabeverordnung (VgV) bzw. der Unterschwellenvergabeordnung (UVgO), während bei europaweiten Ausschreibungen die Vergaberichtlinie 2014/24/EU maßgeblich ist. Die Komplexität und Marktdynamik von Cyberversicherungen machen eine differenzierte Betrachtung der möglichen Vergabeverfahren erforderlich.

Das offene Verfahren stellt das meistgenutzte Vergabeverfahren dar und bietet sich an, wenn der Markt eine ausreichende Anzahl vergleichbarer Versicherungsprodukte bereithält. Es zeichnet sich durch Transparenz und einen breiten Wettbewerb aus, ist jedoch weniger flexibel, da es keine nachträgliche Verhandlung mit den Bietern erlaubt. Eine Alternative stellt das nichtoffene Verfahren mit Teilnahmewettbewerb dar. Bei Ausschreibungen von Versicherungsverträgen spielt dieses Verfahren allerdings kaum eine Rolle, da sich an solchen Ausschreibungen ohnehin immer nur sehr wenige Bieter beteiligen.

Besonders geeignet für die Ausschreibung von Cyberversicherungen ist jedoch das Verhandlungsverfahren mit vorheriger Bekanntmachung oder der wettbewerbliche Dialog. Da Cyberversicherungen individuell gestaltete Policen sind, deren Deckungsumfang und Leistungskomponenten je nach Anbieter variieren, bietet dieses Verfahren die Möglichkeit, mit den Bietern in den Dialog zu treten und die Versicherungslösung auf die spezifischen Bedürfnisse des öffentlichen Auftraggebers zuzuschneiden. Die flexible Ausgestaltung dieses Verfahrens erlaubt es, Anpassungen vorzunehmen, ohne dass die Vergabe an Transparenz oder Rechtssicherheit verliert. 

Die Wahl des Vergabeverfahrens sollte daher sorgfältig abgewogen werden, da ein zu restriktives Verfahren zu ungeeigneten Angeboten oder einem lückenhaften Versicherungsschutz führen kann.

Leistungsbeschreibung: Präzision und Flexibilität als zentrale Faktoren

Neben der Wahl des richtigen Verfahrens spielt die Leistungsbeschreibung eine zentrale Rolle für eine erfolgreiche und rechtssichere Ausschreibung. Da Cyberversicherungen keine standardisierten Produkte sind und sich der Markt kontinuierlich weiterentwickelt, müssen Auftraggeber die Anforderungen präzise formulieren, ohne den Wettbewerb unnötig einzuschränken. In der Leistungsbeschreibung sollte klar festgelegt sein, welche Risiken abgedeckt werden sollen, etwa Hackerangriffe, Ransomware, Datenschutzverletzungen oder Betriebsunterbrechungen. Ebenso ist zu definieren, welche Schadenshöhen je Vorfall und pro Jahr gedeckt sind und in welchem Umfang eine Selbstbeteiligung vorgesehen wird.

Ein wesentlicher Aspekt ist zudem die Beschreibung der Risikoverhältnisse. Cyberversicherer bewerten die IT-Sicherheitsmaßnahmen des Versicherungsnehmers als maßgebliches Kriterium für die Prämiengestaltung und den Deckungsumfang. Deshalb sollten öffentliche Auftraggeber bereits in der Ausschreibung mitteilen, welche Sicherheitsanforderungen erfüllt werden, beispielsweise die Einhaltung von IT-Sicherheitsstandards wie ISO 27001 oder BSI-Grundschutz. Darüber hinaus sollten auch Präventionsleistungen und das Schadenmanagement Teil der Risikoinformationen sein.

Bei der Zusammenstellung von Informationen für die Risikobewertung ist es wichtig zu wissen, welche Fragestellungen diejenigen Versicherer regelmäßig stellen, die grundsätzlich Cyber-Versicherungsschutz für öffentliche Auftraggeber anbieten. Denn es wird in einem Vergabeverfahren kaum möglich sein, die (sehr umfangreichen) Fragebögen jedes einzelnen potenziellen Bieters zu bearbeiten.

Zu den Leistungen eines Versicherers und damit zum Bestandteil der Leistungsbeschreibung gehören unter anderem Incident-Response-Dienste, digitale Forensik und Unterstützung im Krisenmanagement. Im Falle eines Cyberangriffs sind diese Dienste entscheidend für eine schnelle Wiederherstellung der Systeme.

Ein häufiger Fehler in Ausschreibungen ist eine zu restriktive oder zu allgemeine Leistungsbeschreibung. Eine zu enge Definition kann dazu führen, dass kein Anbieter ein wirtschaftlich tragfähiges Angebot unterbreitet, während eine zu offene Formulierung dazu führen kann, dass die Angebote schwer vergleichbar sind. Hierbei muss man wissen, dass die Standardbedingungswerke der Versicherungsunternehmen stark voneinander abweichen und nicht selten einen Umfang von mehr als 40 DIN-A-4-Seiten aufweisen. Eine durchdachte Balance zwischen Konkretisierung und Marktoffenheit ist daher essenziell. Empfehlenswert ist ein klar strukturierter Leistungskatalog mit Mindestanforderungen, ergänzt durch eine Bewertungsmatrix, die qualitative Unterschiede angemessen berücksichtigt.

Fehler bei der Gestaltung der Leistungsbeschreibung (und damit des Inhalts des abzuschließenden Versicherungsvertrages) können schlimmstenfalls zu Deckungslücken und damit eventuell nicht gedeckten Schäden in Millionenhöhe führen.

Angebotsbewertung: Mehr als nur der Preis

Die Bewertung der eingereichten Angebote darf sich nicht allein am Preis orientieren. Eine Cyberversicherung mit unzureichender Deckung oder umfangreichen Ausschlussklauseln kann im Schadensfall erhebliche finanzielle und operative Risiken für den Auftraggeber mit sich bringen. Daher sollte die Bewertung auf einer ausgewogenen Gewichtung verschiedener Kriterien basieren. Neben dem Deckungsumfang und den abgedeckten Schadensszenarien, die mit etwa 40 Prozent den größten Anteil ausmachen sollten, spielen auch die Servicequalität und die Reaktionszeiten im Schadensfall eine wesentliche Rolle. Zusätzlich ist die Risikobewertung durch den Versicherer zu berücksichtigen, um sicherzustellen, dass die Prämienhöhe in einem angemessenen Verhältnis zur gebotenen Leistung steht.

Ein ausgewogenes Bewertungsverfahren gewährleistet, dass nicht allein der Preis, sondern auch die Qualität der Versicherungslösung in die Entscheidung einfließen. Dadurch erhält der öffentliche Auftraggeber nicht nur eine wirtschaftlich tragfähige, sondern auch eine risikoadäquate Versicherungsdeckung, die den besonderen Anforderungen an den Schutz sensibler IT-Infrastrukturen gerecht wird.

Vermeidbare Stolperfallen und vergaberechtliche Risiken

Bei der Ausschreibung von Cyberversicherungen treten immer wieder vergaberechtliche Fehler auf, die nicht nur zu einer Verzögerung des Vergabeverfahrens, sondern im schlimmsten Fall zu dessen vollständiger Unwirksamkeit führen können. Besonders problematisch sind dabei unklare oder widersprüchliche Leistungsbeschreibungen, da sie die Vergleichbarkeit der Angebote erschweren und zu Missverständnissen bei den Bietern führen. Dies erhöht das Risiko von Nachprüfungsverfahren erheblich, da unterlegene Anbieter geltend machen können, dass die Bewertung ihrer Angebote nicht anhand eindeutiger und transparenter Kriterien erfolgte.

Ein weiteres Problemfeld ist die fehlende Definition von Bewertungsmatrix und Zuschlagskriterien. Wenn nicht klar geregelt ist, nach welchen Maßstäben die Angebote bewertet werden, entsteht eine erhebliche Angriffsmöglichkeit für unterlegene Bieter. Diese können die Entscheidung des Auftraggebers infrage stellen, indem sie geltend machen, dass das Vergabeverfahren nicht diskriminierungsfrei oder nachvollziehbar durchgeführt wurde. Besonders bei Cyberversicherungen, bei denen nicht nur der Preis, sondern auch qualitative Aspekte eine zentrale Rolle spielen, ist eine transparente und eindeutige Bewertungsmatrix unerlässlich.

Darüber hinaus kann eine nachträgliche Änderung des Vertrags erhebliche vergaberechtliche Konsequenzen nach sich ziehen. Wesentliche Modifikationen, etwa im Hinblick auf den Deckungsumfang oder die Vertragskonditionen, können dazu führen, dass der ursprüngliche Zuschlag vergaberechtswidrig wird. Dies gilt insbesondere dann, wenn sich die Änderungen auf wesentliche Vertragsbestandteile beziehen, die in der Ausschreibung festgelegt wurden. Solche Änderungen können im schlimmsten Fall dazu führen, dass der Vertrag für unwirksam erklärt wird, was für den öffentlichen Auftraggeber nicht nur finanzielle, sondern auch erhebliche organisatorische Risiken mit sich bringt.

Ein rechtssicheres Vergabeverfahren reduziert nicht nur das Risiko langwieriger Rechtsstreitigkeiten, sondern stellt auch sicher, dass die gewünschte Cyberversicherung effizient und innerhalb der rechtlichen Vorgaben beschafft wird. Um dieses Ziel zu erreichen, ist es entscheidend, bereits in der Planungsphase der Ausschreibung alle relevanten Anforderungen klar zu definieren, das richtige Vergabeverfahren zu wählen und eine belastbare Bewertungsmatrix zu etablieren. Nur so können Auftraggeber vermeiden, dass die Vergabeentscheidung später angefochten wird und der Prozess durch Nachprüfungsverfahren verzögert oder sogar vollständig aufgehoben wird.

Fazit: Sorgfältige Ausschreibung als Erfolgsfaktor

Cyberversicherungen sind für öffentliche Auftraggeber ein unverzichtbarer Bestandteil eines umfassenden Risikomanagements. Angesichts der zunehmenden Cyberbedrohungen müssen Behörden und öffentliche Institutionen sicherstellen, dass sie im Falle eines Angriffs nicht nur technisch, sondern auch finanziell abgesichert sind. Allerdings stellt die Ausschreibung solcher Versicherungsprodukte eine besondere Herausforderung dar, da sie sowohl den Anforderungen des Vergaberechts als auch den dynamischen Entwicklungen des Versicherungsmarktes gerecht werden muss.

Öffentliche Auftraggeber sollten daher frühzeitig die vergaberechtlichen Rahmenbedingungen ihrer geplanten Cyberversicherung prüfen und eine strategisch durchdachte Ausschreibung aufsetzen. Nur so kann gewährleistet werden, dass der Vergabeprozess rechtssicher und effizient verläuft und am Ende eine Versicherungslösung steht, die sowohl den finanziellen als auch den sicherheitstechnischen Anforderungen gerecht wird.

Sollten Sie als öffentlicher Auftraggeber Unterstützung bei der Ausschreibung oder Fragen zur vergaberechtlichen Gestaltung haben, stehen wir Ihnen gerne mit unserer Expertise zur Verfügung.