Cyberversicherung für KMU — Koreva eG Magdeburg

Cyberversicherung für KMU: Was sie leistet — und was nicht

Der Markt für Cyberversicherungen wächst. Die Policen werden teurer, die Bedingungen komplexer — und im Schadensfall lehnen Versicherer häufiger ab als Unternehmen erwarten. Was Sie vor dem Abschluss prüfen sollten.

Das Wichtigste in Kürze:
  • Cyberversicherungen decken Eigenschäden, Drittschäden und Krisenmanagement ab, während Lösegeldzahlungen bei Ransomware zunehmend aus Policen gestrichen werden.
  • Versicherer lehnen Schadensfälle häufig wegen Obliegenheitsverletzungen, falscher Angaben im Antrag oder Ausschlussklauseln im Kleingedruckten ab.
  • Bußgelder der Datenschutzbehörden sind in Deutschland nicht versicherbar, ebenso wenig Reputationsschäden und Vertrauensverlust bei Kunden.
  • Einfache Policen für KMU bis 50 Mitarbeitende kosten 800 bis 2.000 Euro Jahresprämie bei Versicherungssummen bis 500.000 Euro.
  • NIS2-Anforderungen wie MFA, Patch-Management und getestete Backups decken sich weitgehend mit den Obliegenheiten der Cyberversicherer.
Inhaltsverzeichnis

Was eine Cyberversicherung abdeckt

Im Grundsatz deckt eine Cyberversicherung drei Bereiche ab:

  • Eigenschäden: Kosten für IT-Forensik, Systemwiederherstellung, Betriebsunterbrechung, Benachrichtigung betroffener Personen nach einem Datenschutzvorfall
  • Drittschäden: Ansprüche von Kunden oder Geschäftspartnern, deren Daten bei einem Angriff kompromittiert wurden
  • Krisenmanagement: PR-Kosten, Anwaltskosten, Kommunikationsberatung nach einem Vorfall

Manche Policen decken zusätzlich Lösegeld-Zahlungen bei Ransomware ab — was in der Praxis umstritten ist und zunehmend aus Policen gestrichen wird.

Warum Versicherer im Schadensfall ablehnen

Die häufigsten Ablehnungsgründe aus der Praxis:

Obliegenheitsverletzungen

Versicherungspolicen enthalten Klauseln über Sicherheitsmaßnahmen, die das versicherte Unternehmen einhalten muss. Typische Anforderungen: aktuelles Patch-Management, aktivierte MFA für Remote-Zugänge, regelmäßige Backups, Antivirussoftware. Wenn ein Angriff über eine bekannte Sicherheitslücke gelingt, die seit Wochen ungepatcht war — etwa auf einem Betriebssystem ohne Sicherheitsupdates —, kann der Versicherer die Leistung kürzen oder verweigern.

Unvollständige Angaben bei Vertragsabschluss

Beim Abschluss einer Cyberversicherung werden Fragen zur IT-Sicherheit gestellt. Wenn diese unvollständig oder falsch beantwortet wurden — etwa weil die tatsächliche IT-Situation unklar war — hat der Versicherer Spielraum zur Anfechtung.

Ausschlussklauseln

Viele Policen schließen bestimmte Szenarien aus: staatlich geförderte Angriffe (war exclusion), Social Engineering ohne technischen Einbruch, Schäden durch eigene Mitarbeiter (Insider-Angriffe). Im Kleingedruckten stecken oft Überraschungen.

Was eine Cyberversicherung nicht ersetzt

Eine Cyberversicherung ist kein Ersatz für IT-Sicherheit — sie ist ein letztes Auffangnetz. Wer glaubt, mit einer Versicherungspolice die Sicherheitsmaßnahmen einsparen zu können, hat das Modell missverstanden:

  • Reputationsschäden nach einem Datenleck sind nicht versicherbar
  • Vertrauensverlust bei Kunden ist nicht versicherbar
  • Bußgelder der Datenschutzbehörden sind in Deutschland nicht versicherbar
  • Betriebsunterbrechungen werden nur teilweise und mit Selbstbehalt gedeckt

Was Sie vor dem Abschluss prüfen sollten

  1. Obliegenheiten lesen: Welche IT-Sicherheitsmaßnahmen sind vertraglich vorgeschrieben? Erfüllen Sie diese aktuell?
  2. Ausschlüsse prüfen: Was ist explizit ausgeschlossen? Ransomware-Lösegelder? Social Engineering?
  3. Sublimits beachten: Viele Policen haben separate, niedrigere Limits für bestimmte Schadenarten (z. B. Betriebsunterbrechung)
  4. Schadenmeldepflichten: Innerhalb welcher Frist muss ein Schaden gemeldet werden? 24 Stunden?
  5. Krisendienstleister: Hat der Versicherer einen eigenen IT-Forensik-Dienstleister — oder dürfen Sie selbst wählen?

Was eine Cyberversicherung für KMU kostet

Die Prämien variieren stark nach Unternehmensgröße, Branche und nachgewiesenem IT-Sicherheitsniveau. Grobe Orientierungswerte für KMU mit bis zu 50 Mitarbeitenden:

  • Einfache Policen: 800 – 2.000 € Jahresprämie bei Versicherungssummen bis 500.000 €
  • Mittlere Deckung: 2.500 – 6.000 € bei Versicherungssummen bis 2 Mio. €
  • Selbstbehalt: Üblicherweise 2.500 – 10.000 € pro Schadensfall — je niedriger, desto höher die Prämie

Unternehmen, die ein nachweislich hohes IT-Sicherheitsniveau vorweisen können — dokumentiertes Patch-Management, MFA, getestetes Backup-Konzept — erhalten bei vielen Versicherern günstigere Konditionen. Ein IT-Sicherheitscheck vor dem Vertragsabschluss lohnt sich daher doppelt: als Vorbereitung auf den Antragsfragebogen und als Verhandlungsgrundlage für die Prämie.

NIS2 und Cyberversicherung: Was sich geändert hat

Seit Oktober 2024 ist die NIS2-Richtlinie als NIS2UmsuCG in deutsches Recht überführt. Betroffen sind deutlich mehr Unternehmen als viele erwarten — nicht nur klassische KRITIS-Betreiber, sondern auch mittelgroße KMU aus Sektoren wie Energie, Gesundheit, Transport, Digitale Infrastruktur und Abfallwirtschaft. Für alle gilt: technische und organisatorische Sicherheitsmaßnahmen müssen nicht nur umgesetzt, sondern nachgewiesen werden.

Was viele noch nicht wissen: Diese Anforderungen decken sich weitgehend mit dem, was Cyberversicherer ohnehin voraussetzen. Wer NIS2-konform aufgestellt ist, erfüllt gleichzeitig die meisten Obliegenheiten aus dem Versicherungsvertrag. Das macht NIS2-Compliance zu einer Investition mit doppeltem Nutzen — weniger Regulierungsrisiko und bessere Versicherungskonditionen.

Konkret überschneiden sich folgende Anforderungen:

  • Schwachstellenmanagement: NIS2 § 30 schreibt Maßnahmen zur Erkennung und Behandlung von Schwachstellen vor — exakt das, was Versicherer unter "aktuelles Patch-Management" verstehen
  • Multi-Faktor-Authentifizierung: Beide Seiten fordern MFA für privilegierte und Remote-Zugänge — Gesetzgeber und Versicherer gleichermaßen
  • Backup und Business Continuity: Getestete Backup-Konzepte und Notfallpläne sind sowohl NIS2-Pflicht als auch Versicherungsobliegenheit
  • Incident Response und Meldepflichten: NIS2 schreibt eine 24-Stunden-Erstmeldepflicht bei erheblichen Vorfällen vor — die meisten Versicherungspolicen haben ähnliche Schadenmeldungsfristen

Ob Ihr Unternehmen unter NIS2 fällt und welche Maßnahmen konkret erforderlich sind, erklärt unser Artikel zu NIS2 für KMU.

IT-Sicherheitsmaßnahmen, die Ihre Versicherbarkeit verbessern

Versicherer führen beim Vertragsabschluss eine strukturierte Risikobewertung durch. Wer dabei ein nachweislich hohes IT-Sicherheitsniveau vorweisen kann, bekommt entweder bessere Konditionen — oder überhaupt erst einen Vertrag. Diese sechs Maßnahmen haben den stärksten Einfluss:

  1. Multi-Faktor-Authentifizierung für Remote-Zugänge: Fast alle Cyberversicherer setzen MFA für VPN, Remote Desktop und Cloud-Konten voraus. Fehlt sie, gibt es entweder Ausschluss oder deutlichen Prämienaufschlag. Details zur MFA-Einführung für Unternehmen
  2. Dokumentiertes Patch-Management: Der Nachweis, dass Software-Updates zeitnah eingespielt werden, ist ein zentrales Bewertungskriterium. Nicht nur das Vorhandensein, sondern die Dokumentation des Prozesses zählt
  3. Getestetes Backup-Konzept: Ein Backup, das nie wiederhergestellt wurde, ist für Versicherer ein Risikosignal. Die 3-2-1-Backup-Regel gilt als branchenüblicher Mindeststandard
  4. Endpoint Detection & Response: Moderner Endpoint-Schutz geht über klassische Virenscanner hinaus. EDR-Lösungen erkennen anomales Verhalten frühzeitig und sind bei manchen Policen explizit vorgeschrieben
  5. Netzwerksegmentierung: Wer kritische Systeme — Produktion, Finanzdaten, Backups — in separaten Netzwerksegmenten betreibt, begrenzt den Schaden im Ernstfall und zeigt Versicherern ein durchdachtes Sicherheitskonzept
  6. Mitarbeiterschulungen: Phishing ist nach wie vor das häufigste Einfallstor. Versicherer fragen gezielt, ob regelmäßige Security Awareness Trainings durchgeführt werden

Ein strukturierter IT-Sicherheitscheck vor dem Vertragsabschluss lohnt sich dreifach: Er zeigt Lücken auf, verbessert Ihre Position im Antragsgespräch — und kann die Jahresprämie signifikant reduzieren. Viele Versicherer akzeptieren einen professionellen Sicherheitsbericht als Grundlage für günstigere Konditionen.

Fazit: Eine Cyberversicherung kann sinnvoll sein — als letzte Sicherheitsstufe, nicht als Grundlage. Wer die Obliegenheiten ohnehin nicht erfüllt, zahlt Prämien für eine Police, die im Ernstfall nicht greift. Investieren Sie zuerst in die Basis.

Steffen Huntscha

IT-Berater & Gründungsmitglied · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP, seit 2010), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

Häufige Fragen

Die meisten Cyber­versicherungen decken Kosten für IT-Forensik, Benachrichtigungspflichten nach DSGVO, Betriebsunterbrechungsschäden, Lösegeldzahlungen (optional) und Haftpflichtansprüche Dritter ab. Was oft nicht abgedeckt ist: Schäden durch bekannte, nicht gepatchte Schwachstellen, Insider-Angriffe oder grobe Fahrlässigkeit.
Ablehnungsgründe sind fast immer: Die versicherte IT-Sicherheitsbasis war nicht vorhanden (kein aktuelles Patchmanagement, keine MFA, keine Backups), es bestanden bekannte Schwachstellen, oder Sicherheitsmaßnahmen wurden im Antrag falsch angegeben. Versicherer führen nach dem Schaden eine Überprüfung durch — und finden dann oft Lücken.
Nein. Eine Cyberversicherung ist kein Ersatz für Endpoint-Schutz, aktuelle Patches, Backups und Mitarbeiterschulungen — sie ist die letzte Auffanglinie für das, was trotz allem passiert. Viele Versicherer fordern mittlerweile den Nachweis eines Mindest-Sicherheitsniveaus, bevor sie überhaupt einen Vertrag ausstellen.
Mindest­sicherheits­basis herstellen (MFA, aktuelles Patchmanagement, getestetes Backup-Konzept), den Antragsfrager ehrlich und vollständig ausfüllen, das Kleingedruckte zu Ausschlüssen lesen — besonders zu 'bekannten Schwachstellen' — und einen IT-Berater hinzuziehen, der das IT-Ist-Niveau dokumentiert.

IT-Sicherheitsbasis aufbauen

Im Erstgespräch klären wir, welche Maßnahmen Sie brauchen — für Ihre Sicherheit und für die Versicherbarkeit.