Anrufen
StartseiteBlogCyberversicherung
IT-Sicherheit Januar 2026 5 Min. Lesezeit

Cyberversicherung für KMU: Was sie leistet — und was nicht

Der Markt für Cyberversicherungen wächst. Die Policen werden teurer, die Bedingungen komplexer — und im Schadensfall lehnen Versicherer häufiger ab als Unternehmen erwarten. Was Sie vor dem Abschluss prüfen sollten.

Inhaltsverzeichnis

Was eine Cyberversicherung abdeckt

Im Grundsatz deckt eine Cyberversicherung drei Bereiche ab:

  • Eigenschäden: Kosten für IT-Forensik, Systemwiederherstellung, Betriebsunterbrechung, Benachrichtigung betroffener Personen nach einem Datenschutzvorfall
  • Drittschäden: Ansprüche von Kunden oder Geschäftspartnern, deren Daten bei einem Angriff kompromittiert wurden
  • Krisenmanagement: PR-Kosten, Anwaltskosten, Kommunikationsberatung nach einem Vorfall

Manche Policen decken zusätzlich Lösegeld-Zahlungen bei Ransomware ab — was in der Praxis umstritten ist und zunehmend aus Policen gestrichen wird.

Warum Versicherer im Schadensfall ablehnen

Die häufigsten Ablehnungsgründe aus der Praxis:

Obliegenheitsverletzungen

Versicherungspolicen enthalten Klauseln über Sicherheitsmaßnahmen, die das versicherte Unternehmen einhalten muss. Typische Anforderungen: aktuelles Patch-Management, aktivierte MFA für Remote-Zugänge, regelmäßige Backups, Antivirussoftware. Wenn ein Angriff über eine bekannte Sicherheitslücke gelingt, die seit Wochen ungepatcht war, kann der Versicherer die Leistung kürzen oder verweigern.

Unvollständige Angaben bei Vertragsabschluss

Beim Abschluss einer Cyberversicherung werden Fragen zur IT-Sicherheit gestellt. Wenn diese unvollständig oder falsch beantwortet wurden — etwa weil die tatsächliche IT-Situation unklar war — hat der Versicherer Spielraum zur Anfechtung.

Ausschlussklauseln

Viele Policen schließen bestimmte Szenarien aus: staatlich geförderte Angriffe (war exclusion), Social Engineering ohne technischen Einbruch, Schäden durch eigene Mitarbeiter (Insider-Angriffe). Im Kleingedruckten stecken oft Überraschungen.

Was eine Cyberversicherung nicht ersetzt

Eine Cyberversicherung ist kein Ersatz für IT-Sicherheit — sie ist ein letztes Auffangnetz. Wer glaubt, mit einer Versicherungspolice die Sicherheitsmaßnahmen einsparen zu können, hat das Modell missverstanden:

  • Reputationsschäden nach einem Datenleck sind nicht versicherbar
  • Vertrauensverlust bei Kunden ist nicht versicherbar
  • Bußgelder der Datenschutzbehörden sind in Deutschland nicht versicherbar
  • Betriebsunterbrechungen werden nur teilweise und mit Selbstbehalt gedeckt

Was Sie vor dem Abschluss prüfen sollten

  1. Obliegenheiten lesen: Welche IT-Sicherheitsmaßnahmen sind vertraglich vorgeschrieben? Erfüllen Sie diese aktuell?
  2. Ausschlüsse prüfen: Was ist explizit ausgeschlossen? Ransomware-Lösegelder? Social Engineering?
  3. Sublimits beachten: Viele Policen haben separate, niedrigere Limits für bestimmte Schadenarten (z. B. Betriebsunterbrechung)
  4. Schadenmeldepflichten: Innerhalb welcher Frist muss ein Schaden gemeldet werden? 24 Stunden?
  5. Krisendienstleister: Hat der Versicherer einen eigenen IT-Forensik-Dienstleister — oder dürfen Sie selbst wählen?
Fazit: Eine Cyberversicherung kann sinnvoll sein — als letzte Sicherheitsstufe, nicht als Grundlage. Wer die Obliegenheiten ohnehin nicht erfüllt, zahlt Prämien für eine Police, die im Ernstfall nicht greift. Investieren Sie zuerst in die Basis.

Häufige Fragen

Die meisten Cyber­versicherungen decken Kosten für IT-Forensik, Benachrichtigungspflichten nach DSGVO, Betriebsunterbrechungsschäden, Lösegeldzahlungen (optional) und Haftpflichtansprüche Dritter ab. Was oft nicht abgedeckt ist: Schäden durch bekannte, nicht gepatchte Schwachstellen, Insider-Angriffe oder grobe Fahrlässigkeit.
Ablehnungsgründe sind fast immer: Die versicherte IT-Sicherheitsbasis war nicht vorhanden (kein aktuelles Patchmanagement, keine MFA, keine Backups), es bestanden bekannte Schwachstellen, oder Sicherheitsmaßnahmen wurden im Antrag falsch angegeben. Versicherer führen nach dem Schaden eine Überprüfung durch — und finden dann oft Lücken.
Nein. Eine Cyberversicherung ist kein Ersatz für Endpoint-Schutz, aktuelle Patches, Backups und Mitarbeiterschulungen — sie ist die letzte Auffanglinie für das, was trotz allem passiert. Viele Versicherer fordern mittlerweile den Nachweis eines Mindest-Sicherheitsniveaus, bevor sie überhaupt einen Vertrag ausstellen.
Mindest­sicherheits­basis herstellen (MFA, aktuelles Patchmanagement, getestetes Backup-Konzept), den Antragsfrager ehrlich und vollständig ausfüllen, das Kleingedruckte zu Ausschlüssen lesen — besonders zu 'bekannten Schwachstellen' — und einen IT-Berater hinzuziehen, der das IT-Ist-Niveau dokumentiert.

IT-Sicherheitsbasis aufbauen

Im Erstgespräch klären wir, welche Maßnahmen Sie brauchen — für Ihre Sicherheit und für die Versicherbarkeit.

Erstgespräch buchen Pentest ansehen →