Cyberversicherungen werden im Mittelstand immer stärker beworben. Das Angebot ist unübersichtlich, die Bedingungen komplex und die Frage, ob und wann sich der Abschluss lohnt, ist nicht mit einem Satz beantwortet. Dieser Artikel gibt einen ehrlichen Überblick, ohne Versicherungsverkauf.
Was eine Cyberversicherung tatsächlich abdeckt
Eine Cyberversicherung ist keine IT-Sicherheitslösung. Sie ist eine Schadenversicherung: Sie zahlt, wenn trotz aller Maßnahmen etwas schiefgelaufen ist. Wer das Verhältnis der beiden Bereiche verwechselt, wird im Ernstfall enttäuscht.
Typische Leistungsbereiche einer guten Police:
Eigenschäden: Kosten für IT-Forensik nach einem Angriff, Wiederherstellung von Systemen und Daten, Kosten für Notfalldienstleister, Betriebsunterbrechungsschäden während der Wiederherstellungszeit, Lösegeldzahlungen bei Ransomware (umstritten, dazu mehr unten).
Drittschäden: Ansprüche von Kunden, Lieferanten oder Behörden, die durch den Vorfall geschädigt wurden. Beispiel: Ein Datenleck betrifft Kundendaten, und betroffene Kunden machen Schadensersatzansprüche geltend.
Kosten rund um den Vorfall: Kommunikationsmaßnahmen, Benachrichtigung betroffener Personen nach DSGVO, Anwaltskosten, Krisenmanagement.
Was eine Cyberversicherung nicht übernimmt: den Schaden am Ruf, der nach einem Vorfall entstanden ist, und die Kosten für die Verbesserung der IT-Sicherheit nach dem Angriff.
Typische Ausschlüsse, die viele übersehen
Ausschlüsse entscheiden darüber, ob die Versicherung im Ernstfall zahlt. Sie stehen im Kleingedruckten, aber sie sind entscheidend.
Bekannte, nicht behobene Sicherheitslücken: Wenn ein Angriff über eine Schwachstelle erfolgt, für die seit Wochen oder Monaten ein Patch bereitstand, kann der Versicherer die Leistung verweigern. Das Argument: Sie hätten die Lücke schließen können.
Kriegsausschluss bei staatlichen Angriffen: Dieser Ausschluss hat in den letzten Jahren zugenommen. Angriffe, die einem staatlichen Akteur zugeordnet werden, können als "kriegsähnliche Handlung" gelten und damit aus der Deckung fallen. Für KMU ist das seltener relevant, aber der Begriff ist in Policen unterschiedlich weit gefasst.
Fehlende Sicherheitsmaßnahmen zum Vorfallzeitpunkt: Wenn der Versicherungsfragebogen MFA für E-Mail-Zugänge mit "Ja" beantwortet wurde, zum Zeitpunkt des Angriffs aber tatsächlich keine MFA aktiv war, riskieren Sie Leistungsverweigerung wegen falscher Angaben.
Interne Vorfälle ohne Mindestschutz: Ein ehemaliger Mitarbeitender mit noch aktivem Konto löscht Daten. Wenn kein Offboarding-Prozess existierte und keine Zugangskontrolle, kann das als grob fahrlässig gewertet werden.
Lösegeldzahlungen: Ob und wie Versicherer Ransomware-Lösegelder erstatten, variiert stark. Manche decken es, manche nur unter bestimmten Bedingungen, manche gar nicht. Außerdem gibt es Stimmen aus Ermittlungsbehörden, die von Lösegeldzahlungen abraten, weil sie das Geschäftsmodell der Angreifer finanzieren.
Technische Mindestanforderungen der Versicherer
Hier liegt der Knackpunkt für viele KMU. Versicherer stellen beim Abschluss technische Mindestanforderungen, und wer sie zum Zeitpunkt eines Schadens nicht erfüllt, hat ein Problem.
Die häufigsten Anforderungen:
Multi-Faktor-Authentifizierung (MFA): Für E-Mail-Zugänge (besonders Microsoft 365 und Google Workspace), Remote-Zugänge (VPN, RDP), Adminkonten. MFA ist inzwischen bei fast allen Versicherern Grundvoraussetzung. Wer noch ohne MFA arbeitet, findet auf dem Markt kaum noch bezahlbare Deckung.
Aktuelles Backup mit getesteter Wiederherstellung: Die meisten Versicherer verlangen nicht nur das Vorhandensein eines Backups, sondern nachweislich regelmäßige Restore-Tests. Ein Backup, das noch nie auf Wiederherstellbarkeit geprüft wurde, zählt für viele Versicherer nicht als vollwertiger Nachweis.
Patch-Management: Regelmäßige Updates für Betriebssysteme und kritische Software. Kritische Patches müssen innerhalb eines definierten Zeitrahmens eingespielt werden, in Hochrisiko-Bereichen oft innerhalb von 24 bis 72 Stunden nach Veröffentlichung.
Endpunkt-Schutz: Aktueller Virenschutz auf allen Endgeräten, bei vielen Versicherern inzwischen als EDR-Lösung (Endpoint Detection and Response) gefordert, nicht mehr nur klassisches Antivirus.
Netzwerksegmentierung (bei größeren Unternehmen): Trennung von Büro- und Produktionsnetzwerken, getrennte Zugänge für Gäste.
Kostenrahmen für KMU
Jahresprämien für Cyberversicherungen variieren je nach Umsatz, Branche, Mitarbeiterzahl, Versicherungssumme und technischem Sicherheitsniveau.
| Unternehmensgröße | Umsatz (ca.) | Typische Jahresprämie |
|---|---|---|
| Kleinstunternehmen (bis 10 MA) | bis 1 Mio. Euro | 500 bis 1.500 Euro |
| Kleinunternehmen (10 bis 25 MA) | 1 bis 5 Mio. Euro | 1.000 bis 2.500 Euro |
| Mittelstand (25 bis 100 MA) | 5 bis 25 Mio. Euro | 2.000 bis 8.000 Euro |
| Mittelstand (ab 100 MA) | über 25 Mio. Euro | individuelle Kalkulation |
Branchen mit höherem Risikoprofil zahlen mehr: Handelsunternehmen mit vielen Kundendaten, Produktionsbetriebe mit vernetzten Maschinen, Unternehmen mit Kreditkartendaten oder Gesundheitsdaten.
Das technische Sicherheitsniveau hat direkten Einfluss auf die Prämie. Unternehmen mit guter MFA-Umsetzung, dokumentiertem Backup-Konzept und Nachweis über Patch-Management zahlen messbar weniger als vergleichbare Betriebe ohne diese Nachweise.
Prävention oder Versicherung zuerst?
Das ist keine Entweder-oder-Frage, aber die Reihenfolge macht einen Unterschied.
Wenn ein KMU noch keine grundlegenden Sicherheitsmaßnahmen umgesetzt hat, sollte genau dort die Investition stattfinden. Aus zwei Gründen: Erstens sind viele Vorfälle durch Basismaßnahmen verhinderbar. Zweitens zahlt die Versicherung im Ernstfall möglicherweise nicht, wenn die Mindestanforderungen nicht erfüllt waren.
Die Logik einer Cyberversicherung ist die des Restrisikos. Sie sichert das ab, was nach allen getroffenen Maßnahmen noch passieren kann. Wer nichts unternommen hat und sich auf die Versicherung verlässt, zahlt Prämien, ohne den eigentlichen Schutz zu haben.
Umgekehrt ist eine gut aufgestellte IT-Sicherheit kein Argument gegen die Versicherung. Angriffe können auch bei guter Vorbereitung gelingen. Die Wiederherstellungskosten nach einem Ransomware-Vorfall, die forensische Untersuchung, die Benachrichtigungspflichten nach DSGVO, all das kostet selbst bei schneller Reaktion mehrere zehntausend Euro. Das ist das Risiko, das eine Versicherung sinnvoll abdeckt.
Worauf beim Vertrag achten
Nicht alle Policen sind gleich. Diese Punkte sollten Sie vor dem Abschluss prüfen:
Versicherungssumme: Wie hoch ist die Deckungssumme pro Schadensfall? Gibt es Sublimits für einzelne Schadenarten (z. B. begrenzte Deckung für Betriebsunterbrechung)? Die günstigste Police mit einer zu geringen Deckungssumme schützt im größeren Schadensfall nicht ausreichend.
Wartezeiten: Manche Versicherer zahlen bei Betriebsunterbrechungsschäden erst ab einem bestimmten Zeitraum. Wenn die ersten 24 Stunden herausgerechnet werden, verändert das die effektive Deckung erheblich.
Obliegenheiten nach Vertragsabschluss: Welche Maßnahmen müssen Sie dauerhaft aufrechterhalten, damit der Schutz gilt? Wenn die Police MFA voraussetzt und Sie diese im Laufe der Zeit abstellen, kann das als Obliegenheitsverletzung gewertet werden.
Meldepflichten nach einem Vorfall: Innerhalb welcher Frist muss ein Vorfall gemeldet werden? Wer zu spät meldet, riskiert Kürzungen.
Mitversicherung von Tochterunternehmen und Standorten: Bei Unternehmen mit mehreren Standorten oder Tochtergesellschaften sollte klar sein, was abgedeckt ist und was nicht.
Das Zusammenspiel mit IT-Sicherheit im Alltag
Eine Cyberversicherung funktioniert am besten als letztes Glied in einer Kette, nicht als einzige Maßnahme. Die vorgelagerten Glieder sind: aktuell gepatchte Systeme, funktionierende Backups mit regelmäßigen Restore-Tests, MFA auf allen kritischen Zugängen, Benutzer-Schulungen zu Phishing und Social Engineering.
Wer diese Basis hat, kann eine Cyberversicherung als sinnvolle Ergänzung betrachten, die das verbleibende Restrisiko abdeckt. Wer die Basis nicht hat, sollte zuerst dort ansetzen, und dann prüfen, was noch versicherungswürdig bleibt.
ITCC betreut KMU in der Umsetzung genau dieser Basis: Patch-Management, Backup-Konzepte, MFA-Einrichtung und laufende Überwachung. Wenn Sie prüfen möchten, wo Ihr Unternehmen aktuell steht, sprechen Sie uns an.
Beratungsgespräch vereinbaren: Kontakt zu ITCC
Häufige Fragen
Verwandte Themen
- Kosten und WirtschaftlichkeitHardware-Lifecycle: Wann Sie PCs und Server tauschen sollten
Wirtschaftliche Nutzungsdauer von PCs, Notebooks und Servern, versteckte Kosten alter Hardware, Windows-11-Anforderungen und wie Sie Austauschzyklen budgetieren.
- Kosten und WirtschaftlichkeitManaged Services oder Break-Fix: Was sich für KMU rechnet
Stundensatz vs. Monatspauschale: Kostenvergleich mit konkreten Zahlen, versteckte Kosten von Ausfällen und wann welches Modell für ein KMU sinnvoll ist.
- Kosten und WirtschaftlichkeitMicrosoft 365 Business: Den richtigen Plan für Ihr Unternehmen wählen
Business Basic, Standard oder Premium: Was der Unterschied ist, was Premium an Sicherheit und Geräteverwaltung bringt und welche Fehlkäufe in KMU häufig vorkommen.