- Eine Cyber-Versicherung deckt typischerweise Eigen- und Drittschäden durch Cyberangriffe ab: Betriebsunterbrechung, Datenwiederherstellung, Krisenkommunikation, Haftpflicht und Rechtskosten.
- Typische Ausschlüsse sind Krieg und staatliche Angriffe, vorsätzliches Fehlverhalten, bekannte und nicht behobene Schwachstellen sowie Schäden durch fehlende Grundsicherheit.
- Versicherer prüfen vor Vertragsschluss den IT-Sicherheitsstand des Unternehmens. Wer Fragen im Antrag falsch beantwortet, riskiert die Leistungsverweigerung im Schadensfall.
- Ein funktionierendes ISMS senkt die Prämie, verbessert die Verhandlungsposition und reduziert das Risiko, dass der Versicherer im Schadensfall die Leistung kürzt.
- Eine Cyber-Versicherung ersetzt kein ISMS. Sie ist ein Baustein der Risikobehandlung (Risikotransfer), der die übrigen Maßnahmen ergänzt, aber nicht überflüssig macht.
Warum eine Cyber-Versicherung allein nicht reicht
Die Nachfrage nach Cyber-Versicherungen hat sich in den letzten Jahren vervielfacht. Und das aus gutem Grund: Cyberangriffe verursachen in deutschen Unternehmen jährlich Schäden in dreistelliger Milliardenhöhe. Ein einziger Ransomware-Angriff kann ein mittelständisches Unternehmen wochenlang lahmlegen und existenzbedrohende Kosten verursachen.
Gleichzeitig beobachten Versicherer, dass die Schadensquoten steigen und die Angriffe immer raffinierter werden. Die Folge: Prämien steigen, Deckungssummen sinken, und die Anforderungen an die IT-Sicherheit des Versicherungsnehmers werden strenger. Wer heute eine Cyber-Versicherung abschließen will, muss deutlich mehr nachweisen als noch vor drei Jahren.
Dieser Artikel erklärt, was eine Cyber-Versicherung tatsächlich abdeckt, wo die Grenzen liegen, wie Versicherer das Risiko bewerten und warum ein ISMS nicht nur die Versicherbarkeit verbessert, sondern auch die Wahrscheinlichkeit erhöht, dass im Schadensfall tatsächlich gezahlt wird.
Was eine Cyber-Versicherung abdeckt
Der Deckungsumfang variiert je nach Versicherer und Tarif erheblich. Es gibt keinen einheitlichen Standard wie bei der Kfz-Haftpflicht. Trotzdem lassen sich typische Bausteine identifizieren, die die meisten Policen enthalten.
Eigenschäden (First-Party-Deckung)
Betriebsunterbrechung: Erstattet den entgangenen Gewinn und die fortlaufenden Kosten (Gehälter, Miete, Leasingraten), wenn der Geschäftsbetrieb durch einen Cyberangriff unterbrochen wird. Die Deckung setzt typischerweise nach einer Karenzzeit ein (z. B. 8 oder 12 Stunden) und ist auf eine maximale Entschädigungsdauer begrenzt (z. B. 180 Tage). Achte auf die genaue Definition der "Betriebsunterbrechung": Manche Policen zahlen nur bei vollständigem Stillstand, andere auch bei teilweiser Beeinträchtigung.
Datenwiederherstellung: Deckt die Kosten für die Wiederherstellung verlorener oder verschlüsselter Daten aus Backups, einschließlich der Arbeitszeit der IT-Fachleute und gegebenenfalls externer Dienstleister.
Forensik und Incident Response: Übernimmt die Kosten für die forensische Analyse des Vorfalls, die Identifikation des Angriffsvektors, die Eindämmung und die Bereinigung der Systeme. Viele Versicherer haben Rahmenverträge mit spezialisierten IT-Forensik-Unternehmen und Incident-Response-Teams, die im Schadensfall sofort verfügbar sind.
Krisenkommunikation und PR: Deckt die Kosten für professionelle Krisenkommunikation, um Reputationsschäden zu begrenzen. Das umfasst PR-Berater, die Kommunikation mit Kunden, Partnern und Medien sowie die Einrichtung von Hotlines.
Lösegeldzahlung (Ransomware): Einige Policen decken Lösegeldzahlungen ab, andere nicht. Die Deckung von Lösegeld ist ethisch und rechtlich umstritten, weil sie die Finanzierung krimineller Aktivitäten ermöglicht. Wenn die Police Lösegeld abdeckt, ist die Zahlung typischerweise an Bedingungen geknüpft: vorherige Zustimmung des Versicherers, Einschaltung von Strafverfolgungsbehörden und Nachweis, dass alternative Wiederherstellungsmethoden geprüft wurden. Prüfe genau, ob und unter welchen Bedingungen Lösegeld gedeckt ist, und verlasse dich nicht darauf als primäre Strategie.
Benachrichtigungskosten: Bei einer Datenpanne, die personenbezogene Daten betrifft, bist du nach DSGVO verpflichtet, Betroffene und die Aufsichtsbehörde zu benachrichtigen. Die Kosten dafür (Ermittlung der Betroffenen, Erstellung und Versand der Benachrichtigungen, Callcenter) können erheblich sein und werden von den meisten Cyber-Policen gedeckt.
Drittschäden (Third-Party-Deckung / Haftpflicht)
Datenschutzhaftpflicht: Deckt Schadensersatzansprüche Dritter, die durch eine Datenpanne entstehen. Wenn Kundendaten gestohlen werden und Kunden dadurch einen finanziellen Schaden erleiden, übernimmt die Versicherung die Abwehr unberechtigter und die Begleichung berechtigter Ansprüche.
Regulatorische Verfahren: Deckt die Kosten für die Verteidigung gegen Bußgeldverfahren der Datenschutzaufsichtsbehörden und gegebenenfalls die Bußgelder selbst. Achtung: Die Versicherbarkeit von Bußgeldern ist in Deutschland rechtlich umstritten. Manche Policen decken Bußgelder explizit ab, andere schließen sie aus. Die Rechtslage ist nicht abschließend geklärt.
Vertragsstrafen: Wenn du durch einen Cyberangriff vertragliche Pflichten gegenüber Kunden oder Partnern verletzt (z. B. SLA-Verletzungen), können Vertragsstrafen anfallen. Manche Policen decken diese ab, manche nicht.
Rechtsberatung: Kosten für die anwaltliche Beratung und Vertretung in Zusammenhang mit dem Cybervorfall, einschließlich Datenschutzrecht, IT-Recht und Vertragsrecht.
Zusatzbausteine
Je nach Versicherer und Tarif sind weitere Bausteine verfügbar: Cyber-Erpressung (über Ransomware hinaus), Social Engineering und CEO-Fraud (Betrug durch gefälschte E-Mails), Vertrauensschaden (Schäden durch ungetreue Mitarbeiter), Cloud-Ausfall (Betriebsunterbrechung durch Ausfall eines Cloud-Providers) und Hardware-Ersatz (wenn Hardware durch einen Cyberangriff physisch beschädigt wird, z. B. durch Firmware-Manipulation).
Was eine Cyber-Versicherung nicht abdeckt
Die Ausschlüsse in einer Cyber-Police sind mindestens so wichtig wie der Deckungsumfang. Hier lauern die Fallstricke, die im Schadensfall zur Leistungsverweigerung führen können.
Typische Ausschlüsse
Krieg und staatliche Angriffe: Die meisten Policen schließen Schäden durch Kriegshandlungen und staatlich gesteuerte Angriffe (Nation-State Attacks) aus. Das Problem: Die Zuordnung eines Angriffs zu einem staatlichen Akteur (Attribution) ist notorisch schwierig und umstritten. Der Fall NotPetya (2017) hat gezeigt, wie problematisch dieser Ausschluss in der Praxis ist: Mehrere Versicherer verweigerten die Leistung mit dem Argument, NotPetya sei eine russische Kriegshandlung gewesen. Einige Gerichte gaben den Versicherern Recht, andere nicht.
Vorsatz und grobe Fahrlässigkeit: Wenn ein Mitarbeiter absichtlich Daten löscht oder ein Geschäftsführer wissentlich gegen Sicherheitsrichtlinien verstößt, greift die Versicherung nicht. Grobe Fahrlässigkeit führt je nach Vertrag zu einer Kürzung oder zum vollständigen Ausschluss.
Bekannte Schwachstellen: Wenn du eine bekannte Sicherheitslücke über einen längeren Zeitraum nicht behebst und darüber angegriffen wirst, kann der Versicherer die Leistung kürzen oder verweigern. Die Argumentation: Du hast eine dir bekannte Gefahr wissentlich in Kauf genommen.
Fehlende Grundsicherheit (Obliegenheitsverletzung): Im Versicherungsantrag gibst du an, welche Sicherheitsmaßnahmen du implementiert hast. Wenn diese Angaben nicht der Wahrheit entsprechen oder wenn du die vereinbarten Maßnahmen nicht aufrechterhältst, liegt eine Obliegenheitsverletzung vor. Das kann zur vollständigen Leistungsverweigerung führen. Beispiel: Du gibst an, dass alle Systeme mit MFA geschützt sind, aber der VPN-Zugang funktioniert tatsächlich nur mit Passwort.
Vorvertragliche Vorfälle: Schäden durch Angriffe, die vor Vertragsbeginn stattgefunden haben (auch wenn sie erst später entdeckt werden), sind in der Regel nicht gedeckt. Die Frage, ob ein Angreifer bereits vor Vertragsbeginn im Netzwerk war (Dwell Time), kann im Schadensfall kritisch werden.
Reputationsschäden: Der langfristige Reputationsverlust und der damit verbundene Umsatzrückgang nach einem Cyberangriff sind in den meisten Policen nicht versichert. Die Police deckt die Krisenkommunikation, aber nicht den Kundenverlust, der trotzdem eintritt.
Infrastruktur-Ausfall: Wenn ein großflächiger Ausfall (z. B. des Stromnetzes oder des Internet-Backbone) den Geschäftsbetrieb unterbricht, greift die Cyber-Versicherung in der Regel nicht, weil die Ursache nicht ein Cyberangriff auf dein Unternehmen ist.
Wie Versicherer das Risiko bewerten
Bevor ein Versicherer dir eine Police anbietet, bewertet er dein individuelles Cyberrisiko. Diese Bewertung bestimmt, ob du überhaupt versicherbar bist, welche Prämie du zahlst und welche Deckungssumme und Selbstbeteiligung angeboten werden.
Der Antragsprozess
Der Antragsprozess umfasst typischerweise einen Fragebogen zur IT-Sicherheit. Dieser Fragebogen wird von Jahr zu Jahr umfangreicher und detaillierter. Typische Fragen betreffen Backup-Strategie (Was, wie oft, wo, getestet?), Patch-Management (Wie schnell werden kritische Patches eingespielt?), Multi-Faktor-Authentifizierung (Wo implementiert? Für alle Benutzer?), Netzwerksegmentierung (Ist das Netzwerk segmentiert? Wie?), Mitarbeiterschulung (Gibt es Security-Awareness-Trainings? Wie oft?), Incident-Response-Plan (Existiert ein Plan? Wurde er getestet?), Verschlüsselung (Festplattenverschlüsselung? Transportverschlüsselung? Datenverschlüsselung?), Zugriffsmanagement (Least Privilege? Regelmäßige Überprüfung?) sowie Dienstleister und Cloud (Welche Cloud-Dienste? Wie gesichert?).
Wahrheit im Antrag
Die Beantwortung des Fragebogens ist eine vorvertragliche Anzeigepflicht nach § 19 VVG (Versicherungsvertragsgesetz). Falsche Angaben, auch unbeabsichtigte, können schwerwiegende Folgen haben: Der Versicherer kann im Schadensfall die Leistung verweigern, den Vertrag anfechten oder vom Vertrag zurücktreten.
Das bedeutet: Beantworte den Fragebogen ehrlich, auch wenn das bedeutet, dass du bei einigen Punkten "Nein" ankreuzen musst. Ein ehrliches "Nein, wir haben noch keine MFA für den VPN-Zugang" ist besser als ein falsches "Ja", das dir im Schadensfall die gesamte Deckung kostet. Und nutze die Gelegenheit, die identifizierten Lücken zu schließen, bevor du den Antrag abschickst.
Externe Prüfung
Manche Versicherer führen vor Vertragsschluss oder während der Vertragslaufzeit externe Prüfungen durch, zum Beispiel einen automatisierten Scan der öffentlich erreichbaren Infrastruktur (Open Ports, bekannte Schwachstellen, SSL-Konfiguration, E-Mail-Security), ein Gespräch mit dem IT-Leiter oder ISB oder eine Vor-Ort-Prüfung bei hohen Deckungssummen. Die Ergebnisse fließen direkt in die Risikobewertung und Prämienberechnung ein.
Prämienberechnung
Die Prämie hängt von mehreren Faktoren ab: Branche (manche Branchen wie Gesundheitswesen und Finanzdienstleistung zahlen mehr), Unternehmensgröße (Umsatz, Mitarbeiterzahl), IT-Sicherheitsniveau (Ergebnis des Fragebogens und externer Prüfungen), gewünschte Deckungssumme, Selbstbeteiligung (höhere Selbstbeteiligung senkt die Prämie) und Schadenshistorie (frühere Cybervorfälle erhöhen die Prämie).
Das ISMS als Versicherungsgrundlage
Ein funktionierendes ISMS ist der stärkste Faktor, den du bei der Verhandlung mit Versicherern in die Waagschale werfen kannst. Es zeigt, dass du Informationssicherheit systematisch betreibst, nicht nur punktuell. Wer noch am Anfang steht, findet im Leitfaden zum ISMS aufbauen eine praxisnahe Schritt-für-Schritt-Anleitung.
Vorteile eines ISMS bei der Versicherung
Bessere Versicherbarkeit: Unternehmen mit nachweisbarem ISMS werden von Versicherern bevorzugt. In einem Markt, in dem viele Versicherer ihre Portfolios bereinigen und risikoreichere Kunden ablehnen, kann ein ISMS den Unterschied zwischen "versicherbar" und "nicht versicherbar" ausmachen.
Niedrigere Prämien: Versicherer gewähren Rabatte für nachgewiesene Sicherheitsmaßnahmen. Eine ISO 27001 Zertifizierung kann die Prämie um 10 bis 25 Prozent senken, abhängig vom Versicherer und der Branche.
Höhere Deckungssummen: Wenn der Versicherer Vertrauen in dein Sicherheitsniveau hat, bietet er höhere Deckungssummen an, weil das Risiko eines Großschadens geringer ist.
Bessere Position im Schadensfall: Wenn du nachweisen kannst, dass du zum Zeitpunkt des Angriffs angemessene Sicherheitsmaßnahmen implementiert hattest, sinkt das Risiko einer Leistungskürzung wegen Obliegenheitsverletzung erheblich. Dein ISMS-Dokumentation ist dein Beweis.
Was Versicherer konkret sehen wollen
Die folgenden Maßnahmen werden von den meisten Versicherern als Grundvoraussetzung oder als prämienrelevant betrachtet:
Must-have (ohne diese Maßnahmen häufig keine Versicherung): Multi-Faktor-Authentifizierung für Remote-Zugriff und privilegierte Konten, regelmäßige und getestete Backups (idealerweise nach der 3-2-1-Regel), Patch-Management mit zeitnaher Behebung kritischer Schwachstellen, aktuelle Endpoint-Protection (Antivirus/EDR), Mitarbeiter-Schulung (Security Awareness).
Prämienrelevant (senkt die Prämie): Netzwerksegmentierung, Incident-Response-Plan (dokumentiert und getestet), Verschlüsselung von Daten (at rest und in transit), regelmäßige Schwachstellenscans oder Penetrationstests, Zugriffsmanagement nach Least Privilege und ISO-27001-Zertifizierung oder vergleichbarer Nachweis.
Den richtigen Versicherer finden
Vergleichskriterien
Vergleiche nicht nur die Prämie. Die folgenden Kriterien sind mindestens ebenso wichtig: Deckungsumfang im Detail (welche Bausteine sind enthalten, welche kosten extra?), Ausschlüsse (besonders die Kriegsklausel und die Obliegenheiten), Deckungssumme und Selbstbeteiligung, Sublimits (maximale Erstattung für einzelne Bausteine wie Lösegeld oder Benachrichtigungskosten), Assistance-Leistungen (24/7-Hotline, Incident-Response-Team, Forensik-Partner), Reaktionszeit des Versicherers im Schadensfall und Erfahrung des Versicherers mit Cyberschäden (Referenzen, Schadensabwicklung).
Makler einschalten
Ein auf Cyber-Versicherungen spezialisierter Versicherungsmakler kann den Markt für dich sondieren, Angebote vergleichen und die Vertragsbedingungen verhandeln. Der Aufwand lohnt sich besonders bei höheren Deckungssummen und komplexen Risikoprofilen. Der Makler kennt die Unterschiede zwischen den Versicherern, die aus den Standardunterlagen nicht immer ersichtlich sind.
Deckungssumme richtig wählen
Die richtige Deckungssumme hängt von deinem individuellen Risikoprofil ab. Eine grobe Orientierung: Berechne die Kosten einer zweiwöchigen Betriebsunterbrechung (entgangener Umsatz, fortlaufende Kosten), addiere die geschätzten Kosten für Forensik, Wiederherstellung und Krisenkommunikation (typischerweise 100.000 bis 500.000 Euro für KMU) und addiere einen Puffer für Haftpflichtansprüche und regulatorische Verfahren. Die Summe gibt dir eine Orientierung für die benötigte Deckungssumme. Für viele mittelständische Unternehmen liegt sie zwischen 1 und 5 Millionen Euro.
Cyber-Versicherung und Risikomanagement
Eine Cyber-Versicherung ist ein Instrument der Risikobehandlung. Im Kontext des ISMS ordnet sie sich wie folgt ein:
Risikovermeidung: Das Risiko wird eliminiert, indem die risikobehaftete Aktivität eingestellt wird. Beispiel: Keine Verarbeitung bestimmter Daten mehr.
Risikominimierung: Das Risiko wird durch Maßnahmen reduziert. Beispiel: MFA einführen, Netzwerk segmentieren, Mitarbeiter schulen.
Risikotransfer: Das verbleibende Risiko wird auf einen Dritten übertragen. Das ist die Domäne der Cyber-Versicherung.
Risikoakzeptanz: Das verbleibende Risiko wird bewusst akzeptiert. Beispiel: Das Restrisiko nach Implementierung aller Maßnahmen und Abschluss der Versicherung.
Die Reihenfolge ist entscheidend: Zuerst vermeidest und minimierst du Risiken durch Maßnahmen (ISMS). Dann transferierst du das verbleibende Restrisiko durch eine Versicherung. Die Versicherung soll das decken, was trotz aller Maßnahmen passieren kann, nicht das, was du durch fehlende Maßnahmen selbst verursachst.
Ein Unternehmen, das keine MFA hat, kein Patch-Management betreibt und seine Mitarbeiter nicht schult, wird keine Cyber-Versicherung finden, die bereit ist, dieses Risiko zu tragen. Und selbst wenn doch, wird die Prämie so hoch sein, dass sie in keinem Verhältnis zum Nutzen steht.
Praktische Empfehlungen
Antragsprozess ernst nehmen: Der Fragebogen ist kein Formalkram. Nimm dir die Zeit, ihn sorgfältig und ehrlich auszufüllen. Ziehe den IT-Leiter und den ISB hinzu.
ISMS-Dokumentation vorhalten: Halte deine ISMS-Dokumentation so auf, dass du sie dem Versicherer auf Anfrage vorlegen kannst. Risikoregister, Maßnahmenplan, Schulungsnachweise und Audit-Berichte sind die Dokumente, die Versicherer am häufigsten sehen wollen. In ISMS Lite lassen sich diese Nachweise zentral verwalten und bei Bedarf als auditfähiges Paket exportieren.
Jährlich überprüfen: Prüfe jährlich, ob die Deckungssumme noch ausreicht, ob die Angaben im Antrag noch stimmen und ob neue Risiken (z. B. Cloud-Migration, neues Geschäftsfeld) zusätzliche Deckung erfordern.
Im Schadensfall sofort melden: Melde Cybervorfälle unverzüglich dem Versicherer, auch wenn du dir noch nicht sicher bist, ob ein Schaden entstanden ist. Verspätete Meldungen können zur Leistungskürzung führen. Die meisten Versicherer bieten eine 24/7-Hotline an, die du nutzen solltest.
Assistance-Leistungen nutzen: Die vom Versicherer bereitgestellten Dienstleister (Forensik, Rechtsberatung, Krisenkommunikation) sind in der Prämie enthalten. Nutze sie. Sie sind in der Regel hochqualifiziert und auf Cybervorfälle spezialisiert.
Weiterführende Artikel
- IT-Sicherheitsklauseln in Verträgen: Was du von Dienstleistern fordern solltest
- Haftung des IT-Leiters: Persönliche Risiken und wie du dich absicherst
- Ransomware-Angriff: Sofortmaßnahmen und Schritt-für-Schritt-Anleitung
- Risikobehandlung: Mitigieren, Akzeptieren, Transferieren oder Vermeiden
- Was kostet ein ISMS? Budgetplanung für den Mittelstand