Cyber-Versicherung: Was Policen wirklich abdecken - und was nicht

Ein Ransomware-Angriff kann ein mittelständisches Unternehmen mehrere Hunderttausend Euro kosten - durch Systemwiederherstellung, Betriebsunterbrechung, externe Forensik-Kosten, Bußgelder und Reputationsschäden. Eine Cyber-Versicherung kann dieses Risiko absichern. Aber: nicht alle Policen sind gleich, und die Ausschlussklauseln sind entscheidend.

Warum Cyber-Versicherung?

Die durchschnittlichen Kosten eines Ransomware-Angriffs auf ein KMU setzen sich aus mehreren Posten zusammen: Lösegeldforderungen zwischen €50.000 und €500.000 (die oft nicht bezahlt werden), IT-Forensik und Incident Response €20.000 bis €80.000, Systemwiederherstellung und Datenverlust €30.000 bis €200.000, Betriebsunterbrechung über 1 bis 4 Wochen €50.000 bis €500.000, Benachrichtigung Betroffener €5.000 bis €50.000 sowie mögliche DSGVO-Bußgelder bis zu 4 % des Jahresumsatzes.

Der Gesamtschaden im Mittelstand bewegt sich damit typischerweise zwischen €150.000 und über €1.000.000. Eine Cyber-Police kostet dagegen je nach Risikoprofil und Umsatz: für KMU mit €5-20 Mio. Umsatz €3.000-15.000 pro Jahr, für Mittelstand mit €20-100 Mio. €10.000-50.000, für Enterprise über €100 Mio. ab €50.000 aufwärts. Selbst bei einem einmaligen Angriff im 10-Jahres-Zeitraum ist der ROI oft positiv.

Was eine gute Cyber-Police abdeckt

Eine vollständige Cyber-Police sollte folgende Kernleistungen umfassen:

1. IT-Forensik-Kosten: Forensik-Dienstleister zur Ursachenermittlung, Log-Analyse, Bestimmung des Schadensausmaßes und Nachweisführung gegenüber Behörden (BSI, Datenschutzbehörde). Typische Deckung: €10.000-100.000.

2. Systemwiederherstellung: IT-Dienstleister-Kosten, Hardware-Ersatz und Datenverlust-Wiederherstellung. Typisch: €50.000-500.000.

3. Betriebsunterbrechungsschaden (Business Interruption): Entgangene Gewinne während des Ausfalls und Mehrkosten für Notbetrieb und externe Dienstleister. Wichtig: Die Karenzzeit beachten - oft beginnt die Deckung erst 12-48 Stunden nach dem Vorfall.

4. Lösegeldzahlungen (Ransomware): Viele Policen decken Lösegeld ab, was jedoch umstritten ist - das BSI rät grundsätzlich von der Zahlung ab. Manche Versicherer verlangen, dass die Zahlung wirklich das letzte Mittel darstellt. Achtung: Die Sanktionslisten (OFAC) müssen beachtet werden, da Zahlungen an gelistete Gruppen illegal sind.

5. Krisenmanagement und PR: Externer Kommunikationsberater, Pressearbeit nach einer Datenpanne sowie Kundenbenachrichtigung.

6. DSGVO-Bußgelder: Viele Policen decken diese ab, allerdings mit Einschränkungen. Absichtliche Verletzungen sind grundsätzlich ausgeschlossen, und der Maximalbetrag ist oft begrenzt.

7. Haftpflicht gegenüber Dritten: Schadensersatzansprüche von Kunden, die durch eine Datenpanne geschädigt wurden, sowie Anwaltskosten.

8. 24/7-Krisenhotline: Ein wichtiges Feature, das direkten Zugang zu IR-Experten ermöglicht - für die entscheidende Frage: Wer ist der erste Anruf um 3 Uhr nachts?

Was häufig NICHT abgedeckt ist

Die entscheidenden Ausschlüsse verstecken sich im Kleingedruckten:

Kriegshandlungen / staatlich gesponserter Angriff: Die “War Exclusion” ist aktuell ein Streitthema. Der NotPetya-Angriff 2017 und der anschließende Lloyd’s/Merck-Prozess haben gezeigt, wie unklar die Abgrenzung sein kann. Klärung vor Vertragsabschluss ist Pflicht: Wie definiert der Versicherer “Krieg”?

Nicht-konnektierte Schäden: Schäden, die nicht direkt durch den Cyber-Angriff entstanden sind, beispielsweise wenn ein Mitarbeiter sich bei einer Serverraum-Evakuierung verletzt.

Vorsätzliche Handlungen: Wenn ein Mitarbeiter absichtlich Daten gestohlen oder beschädigt hat, oder wenn ein Insider-Angriff mit Wissen der Geschäftsführung stattfand.

Bekannte Schwachstellen ohne Patch: Wenn eine Sicherheitslücke länger als 3 Monate bekannt war und nicht gepatcht wurde, prüfen Versicherer, ob ein Patch verfügbar war. Die Konsequenz ist klar: Regelmäßiges Patching ist eine Versicherungspflicht.

Veraltete Software (EOL): Windows XP, Server 2003/2008 sind bei vielen Policen explizit ausgeschlossen. BSI und Versicherer teilen die Einschätzung: “Support-Ende = erhöhtes Risiko”.

Systeme ohne MFA: Remote-Access ohne MFA wird von einigen Versicherern explizit ausgeschlossen - VPN ohne MFA ist ein bekannter Angriffsvektor.

Kryptowährungsverluste: Direkter Verlust durch Krypto-Angriffe ist oft nicht gedeckt, wobei zwischen Kryptowährung als Asset und als Zahlungsmittel unterschieden wird.

Langfristige Reputationsschäden: Kurzfristige PR-Kosten sind oft gedeckt, langfristiger Umsatzverlust durch Imageschäden jedoch nicht.

Die Risikoprüfung - Was Versicherer prüfen

Beim Abschluss einer Cyber-Police werden heute standardmäßig Security-Fragen gestellt. Die Antworten haben direkte Auswirkungen auf Prämie und Deckung:

Frage	Konsequenz bei “Nein”
MFA für alle Remote-Zugänge (VPN, RDP, OWA)?	Oft kein Angebot oder Prämienaufschlag 50-100 %
MFA für privilegierte Konten (Admins)?	Höheres Risiko, Prämienaufschlag
Offline/Air-gapped Backups vorhanden und getestet?	Ransomware-Deckung oft eingeschränkt
EDR auf allen Endpoints?	Einige Versicherer lehnen ab oder verlangen Aufpreis
E-Mail-Security mit DMARC?	BEC-Risiko erhöht, Prämienaufschlag
Vulnerability Management (regelmäßige Scans und Patches)?	Critical-CVE-Exclusion möglich
Segmentierung (OT/IT getrennt)?	Für Industrieunternehmen besonders relevant
Incident Response Plan vorhanden?	Prämienreduktion möglich
Security Awareness Training (nachweislich)?	Risikoreduktion

Die Konsequenz daraus: Security-Investitionen senken direkt die Versicherungsprämie. Viele KMU entdecken durch diesen Prozess erstmals ihre Security-Lücken.

Der Schadenfall - Was passiert wenn es brennt?

Die wichtigste Regel: Sofortmeldung. Die Police schreibt “unverzüglich nach Kenntnis” vor - in der Praxis bedeutet das innerhalb von 24 bis 72 Stunden. Wer wartet bis der Schaden bekannt ist, riskiert Leistungskürzungen.

Schritt 1: Incident Detection Das IT-Team entdeckt die Ransomware - auch wenn es 3 Uhr nachts ist.

Schritt 2: Versicherer informieren (innerhalb 24h) Die 24/7-Krisenhotline anrufen. Wichtig: Nicht selbst handeln, bevor der IR-Dienstleister informiert wurde. Viele Versicherer schicken einen eigenen IR-Dienstleister.

Schritt 3: IR-Dienstleister einschalten Viele Policen haben einen vorab qualifizierten Dienstleister-Panel. Eigene Dienstleister nur einschalten, wenn die Police das ausdrücklich erlaubt - nicht genehmigte Kosten werden nicht erstattet.

Schritt 4: Dokumentation Alle Maßnahmen dokumentieren (wer, was, wann), Rechnungen sammeln, Behördenkommunikation archivieren, Betriebsunterbrechungsnachweis durch Gegenüberstellung von Umsatz vorher und nachher.

Schritt 5: Schadenmeldung Das Versicherer-Formular ausfüllen, den Forensik-Bericht beifügen, alle Rechnungen einreichen und den Schaden durch Buchführungsunterlagen nachweisen.

Schritt 6: Regulierung Der Versicherer prüft Ausschlussklauseln, Fahrlässigkeit und weitere Faktoren. Bei Streit steht der Versicherungsombudsmann oder der Klageweg offen. Die Dauer: typischerweise 3 bis 12 Monate, da der Prozess komplex ist.

Cyber-Versicherung und NIS2

NIS2 verstärkt den Bedarf an Cyber-Versicherungen auf mehreren Ebenen. Die NIS2-Pflichten treiben die Versicherungskosten: DSGVO/NIS2-Bußgelder können bis zu €10 Mio. oder 2 % des Weltumsatzes betragen, Meldepflicht-Kosten für externe BSI-Beratung kommen hinzu, und die Haftung der Geschäftsführer ist persönlich und nicht auf das Unternehmensrecht beschränkt.

Hier ist die Unterscheidung zwischen D&O-Versicherung und Cyber-Versicherung wichtig: D&O deckt die persönliche Haftung der Geschäftsführung ab, Cyber deckt Unternehmensschäden. Für NIS2-betroffene Unternehmen empfiehlt sich der Abschluss beider Versicherungsarten.

Cyber-Police-Leistungen, die gleichzeitig NIS2-Anforderungen erfüllen: Incident Response Kosten, Forensik und Beweissicherung, BSI-Meldungs-Beratung sowie Öffentlichkeitsarbeit bei Datenpannen.

Checkliste: Cyber-Versicherung abschließen

Vor dem Vergleich:

• Eigenes Risikoprofil erstellen (Branche, Umsatz, Kundendaten)
• Bestehende Sicherheitsmaßnahmen dokumentieren
• MFA überall aktiviert? (Vor dem Antrag unbedingt aktivieren)
• Backups: Offline-Backup vorhanden und letzter Test dokumentiert?

Beim Vergleich - Deckungssumme:

• Reicht die Deckung für die Betriebsunterbrechung?
• Maximalbetrag pro Schaden und pro Jahr?

Leistungen klären:

• Betriebsunterbrechung: mit welcher Karenzzeit?
• Lösegeldzahlungen: abgedeckt?
• DSGVO-Bußgelder: ja/nein?
• Drittschäden (Kunden): abgedeckt?

Ausschlüsse prüfen:

• War-Exclusion: wie definiert? Staatlich gesponserte Angriffe?
• Veraltete Software: was gilt als “veraltet”?
• MFA-Pflicht: was wenn nicht vorhanden?

Service bewerten:

• 24/7-Krisenhotline: wer ist erreichbar?
• IR-Dienstleister-Panel: welche Firmen sind gelistet? Eigene erlaubt?
• Reaktionszeit: wie schnell ist Hilfe vor Ort?

Prämie beurteilen:

• Prämie vs. Deckung: sinnvolles Verhältnis?
• Selbstbehalt: wie hoch? (Zu hoher Selbstbehalt: kleine Schäden muss das Unternehmen selbst tragen)
• Was würde die Prämie senken? (MFA, EDR, nachweisbares Awareness Training)

---

Cyber-Versicherung allein reicht nicht. Versicherungen ersetzen keine Sicherheitsmaßnahmen - sie ergänzen sie. AWARE7 hilft bei der Verbesserung des Sicherheitsniveaus, das auch Versicherungsprämien senkt und Ausschlussgründe minimiert.

Sicherheitscheck anfragen | ISO 27001 Beratung