- Cyberversicherungen decken Eigenschäden, Drittschäden und Krisenmanagement ab, während Lösegeldzahlungen bei Ransomware zunehmend aus Policen gestrichen werden.
- Versicherer lehnen Schadensfälle häufig wegen Obliegenheitsverletzungen, falscher Angaben im Antrag oder Ausschlussklauseln im Kleingedruckten ab.
- Bußgelder der Datenschutzbehörden sind in Deutschland nicht versicherbar, ebenso wenig Reputationsschäden und Vertrauensverlust bei Kunden.
- Einfache Policen für KMU bis 50 Mitarbeitende kosten 800 bis 2.000 Euro Jahresprämie bei Versicherungssummen bis 500.000 Euro.
- NIS2-Anforderungen wie MFA, Patch-Management und getestete Backups decken sich weitgehend mit den Obliegenheiten der Cyberversicherer.
Inhaltsverzeichnis
Was eine Cyberversicherung abdeckt
Im Grundsatz deckt eine Cyberversicherung drei Bereiche ab:
- Eigenschäden: Kosten für IT-Forensik, Systemwiederherstellung, Betriebsunterbrechung, Benachrichtigung betroffener Personen nach einem Datenschutzvorfall
- Drittschäden: Ansprüche von Kunden oder Geschäftspartnern, deren Daten bei einem Angriff kompromittiert wurden
- Krisenmanagement: PR-Kosten, Anwaltskosten, Kommunikationsberatung nach einem Vorfall
Manche Policen decken zusätzlich Lösegeld-Zahlungen bei Ransomware ab — was in der Praxis umstritten ist und zunehmend aus Policen gestrichen wird.
Warum Versicherer im Schadensfall ablehnen
Die häufigsten Ablehnungsgründe aus der Praxis:
Obliegenheitsverletzungen
Versicherungspolicen enthalten Klauseln über Sicherheitsmaßnahmen, die das versicherte Unternehmen einhalten muss. Typische Anforderungen: aktuelles Patch-Management, aktivierte MFA für Remote-Zugänge, regelmäßige Backups, Antivirussoftware. Wenn ein Angriff über eine bekannte Sicherheitslücke gelingt, die seit Wochen ungepatcht war — etwa auf einem Betriebssystem ohne Sicherheitsupdates —, kann der Versicherer die Leistung kürzen oder verweigern.
Unvollständige Angaben bei Vertragsabschluss
Beim Abschluss einer Cyberversicherung werden Fragen zur IT-Sicherheit gestellt. Wenn diese unvollständig oder falsch beantwortet wurden — etwa weil die tatsächliche IT-Situation unklar war — hat der Versicherer Spielraum zur Anfechtung.
Ausschlussklauseln
Viele Policen schließen bestimmte Szenarien aus: staatlich geförderte Angriffe (war exclusion), Social Engineering ohne technischen Einbruch, Schäden durch eigene Mitarbeiter (Insider-Angriffe). Im Kleingedruckten stecken oft Überraschungen.
Was eine Cyberversicherung nicht ersetzt
Eine Cyberversicherung ist kein Ersatz für IT-Sicherheit — sie ist ein letztes Auffangnetz. Wer glaubt, mit einer Versicherungspolice die Sicherheitsmaßnahmen einsparen zu können, hat das Modell missverstanden:
- Reputationsschäden nach einem Datenleck sind nicht versicherbar
- Vertrauensverlust bei Kunden ist nicht versicherbar
- Bußgelder der Datenschutzbehörden sind in Deutschland nicht versicherbar
- Betriebsunterbrechungen werden nur teilweise und mit Selbstbehalt gedeckt
Was Sie vor dem Abschluss prüfen sollten
- Obliegenheiten lesen: Welche IT-Sicherheitsmaßnahmen sind vertraglich vorgeschrieben? Erfüllen Sie diese aktuell?
- Ausschlüsse prüfen: Was ist explizit ausgeschlossen? Ransomware-Lösegelder? Social Engineering?
- Sublimits beachten: Viele Policen haben separate, niedrigere Limits für bestimmte Schadenarten (z. B. Betriebsunterbrechung)
- Schadenmeldepflichten: Innerhalb welcher Frist muss ein Schaden gemeldet werden? 24 Stunden?
- Krisendienstleister: Hat der Versicherer einen eigenen IT-Forensik-Dienstleister — oder dürfen Sie selbst wählen?
Was eine Cyberversicherung für KMU kostet
Die Prämien variieren stark nach Unternehmensgröße, Branche und nachgewiesenem IT-Sicherheitsniveau. Grobe Orientierungswerte für KMU mit bis zu 50 Mitarbeitenden:
- Einfache Policen: 800 – 2.000 € Jahresprämie bei Versicherungssummen bis 500.000 €
- Mittlere Deckung: 2.500 – 6.000 € bei Versicherungssummen bis 2 Mio. €
- Selbstbehalt: Üblicherweise 2.500 – 10.000 € pro Schadensfall — je niedriger, desto höher die Prämie
Unternehmen, die ein nachweislich hohes IT-Sicherheitsniveau vorweisen können — dokumentiertes Patch-Management, MFA, getestetes Backup-Konzept — erhalten bei vielen Versicherern günstigere Konditionen. Ein IT-Sicherheitscheck vor dem Vertragsabschluss lohnt sich daher doppelt: als Vorbereitung auf den Antragsfragebogen und als Verhandlungsgrundlage für die Prämie.
NIS2 und Cyberversicherung: Was sich geändert hat
Seit Oktober 2024 ist die NIS2-Richtlinie als NIS2UmsuCG in deutsches Recht überführt. Betroffen sind deutlich mehr Unternehmen als viele erwarten — nicht nur klassische KRITIS-Betreiber, sondern auch mittelgroße KMU aus Sektoren wie Energie, Gesundheit, Transport, Digitale Infrastruktur und Abfallwirtschaft. Für alle gilt: technische und organisatorische Sicherheitsmaßnahmen müssen nicht nur umgesetzt, sondern nachgewiesen werden.
Was viele noch nicht wissen: Diese Anforderungen decken sich weitgehend mit dem, was Cyberversicherer ohnehin voraussetzen. Wer NIS2-konform aufgestellt ist, erfüllt gleichzeitig die meisten Obliegenheiten aus dem Versicherungsvertrag. Das macht NIS2-Compliance zu einer Investition mit doppeltem Nutzen — weniger Regulierungsrisiko und bessere Versicherungskonditionen.
Konkret überschneiden sich folgende Anforderungen:
- Schwachstellenmanagement: NIS2 § 30 schreibt Maßnahmen zur Erkennung und Behandlung von Schwachstellen vor — exakt das, was Versicherer unter "aktuelles Patch-Management" verstehen
- Multi-Faktor-Authentifizierung: Beide Seiten fordern MFA für privilegierte und Remote-Zugänge — Gesetzgeber und Versicherer gleichermaßen
- Backup und Business Continuity: Getestete Backup-Konzepte und Notfallpläne sind sowohl NIS2-Pflicht als auch Versicherungsobliegenheit
- Incident Response und Meldepflichten: NIS2 schreibt eine 24-Stunden-Erstmeldepflicht bei erheblichen Vorfällen vor — die meisten Versicherungspolicen haben ähnliche Schadenmeldungsfristen
Ob Ihr Unternehmen unter NIS2 fällt und welche Maßnahmen konkret erforderlich sind, erklärt unser Artikel zu NIS2 für KMU.
IT-Sicherheitsmaßnahmen, die Ihre Versicherbarkeit verbessern
Versicherer führen beim Vertragsabschluss eine strukturierte Risikobewertung durch. Wer dabei ein nachweislich hohes IT-Sicherheitsniveau vorweisen kann, bekommt entweder bessere Konditionen — oder überhaupt erst einen Vertrag. Diese sechs Maßnahmen haben den stärksten Einfluss:
- Multi-Faktor-Authentifizierung für Remote-Zugänge: Fast alle Cyberversicherer setzen MFA für VPN, Remote Desktop und Cloud-Konten voraus. Fehlt sie, gibt es entweder Ausschluss oder deutlichen Prämienaufschlag. Details zur MFA-Einführung für Unternehmen
- Dokumentiertes Patch-Management: Der Nachweis, dass Software-Updates zeitnah eingespielt werden, ist ein zentrales Bewertungskriterium. Nicht nur das Vorhandensein, sondern die Dokumentation des Prozesses zählt
- Getestetes Backup-Konzept: Ein Backup, das nie wiederhergestellt wurde, ist für Versicherer ein Risikosignal. Die 3-2-1-Backup-Regel gilt als branchenüblicher Mindeststandard
- Endpoint Detection & Response: Moderner Endpoint-Schutz geht über klassische Virenscanner hinaus. EDR-Lösungen erkennen anomales Verhalten frühzeitig und sind bei manchen Policen explizit vorgeschrieben
- Netzwerksegmentierung: Wer kritische Systeme — Produktion, Finanzdaten, Backups — in separaten Netzwerksegmenten betreibt, begrenzt den Schaden im Ernstfall und zeigt Versicherern ein durchdachtes Sicherheitskonzept
- Mitarbeiterschulungen: Phishing ist nach wie vor das häufigste Einfallstor. Versicherer fragen gezielt, ob regelmäßige Security Awareness Trainings durchgeführt werden
Ein strukturierter IT-Sicherheitscheck vor dem Vertragsabschluss lohnt sich dreifach: Er zeigt Lücken auf, verbessert Ihre Position im Antragsgespräch — und kann die Jahresprämie signifikant reduzieren. Viele Versicherer akzeptieren einen professionellen Sicherheitsbericht als Grundlage für günstigere Konditionen.
