Cyber-Versicherung: Was Policen wirklich abdecken - und was nicht
Cyber-Versicherung: Leistungsumfang, häufige Ausschlüsse, Schadenmeldung und Risikoprüfung durch Versicherer – mit Checkliste für den Vergleich.
Oskar Braun Abteilungsleiter Information Security Consulting TL;DR
Eine Cyber-Police zahlt im Ernstfall nur, wenn Sie die Ausschlussklauseln kennen - deshalb prüfen Sie vor Vertragsabschluss, wie Ihr Versicherer "Kriegshandlungen" definiert, denn der NotPetya-Prozess gegen Lloyd's/Merck zeigt, wie unklar diese Abgrenzung vor Gericht endet. Standardpolicen decken IT-Forensik, Systemwiederherstellung, Betriebsunterbrechung und DSGVO-Bußgelder ab - aber nicht bekannte Schwachstellen, die länger als drei Monate ungepatcht blieben, nicht End-of-Life-Systeme wie Windows Server 2008 und oft nicht Remote-Zugänge ohne MFA. Ein einzelner Ransomware-Angriff kostet KMU typischerweise 150.000 bis über eine Million Euro; die Jahresprämie liegt dagegen bei 3.000 bis 50.000 Euro.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).
Inhaltsverzeichnis (7 Abschnitte)
Ein Ransomware-Angriff kann ein mittelständisches Unternehmen mehrere Hunderttausend Euro kosten - durch Systemwiederherstellung, Betriebsunterbrechung, externe Forensik-Kosten, Bußgelder und Reputationsschäden. Eine Cyber-Versicherung kann dieses Risiko absichern. Aber: nicht alle Policen sind gleich, und die Ausschlussklauseln sind entscheidend.
Warum Cyber-Versicherung?
Die durchschnittlichen Kosten eines Ransomware-Angriffs auf ein KMU setzen sich aus mehreren Posten zusammen: Lösegeldforderungen zwischen €50.000 und €500.000 (die oft nicht bezahlt werden), IT-Forensik und Incident Response €20.000 bis €80.000, Systemwiederherstellung und Datenverlust €30.000 bis €200.000, Betriebsunterbrechung über 1 bis 4 Wochen €50.000 bis €500.000, Benachrichtigung Betroffener €5.000 bis €50.000 sowie mögliche DSGVO-Bußgelder bis zu 4 % des Jahresumsatzes.
Der Gesamtschaden im Mittelstand bewegt sich damit typischerweise zwischen €150.000 und über €1.000.000. Eine Cyber-Police kostet dagegen je nach Risikoprofil und Umsatz: für KMU mit €5-20 Mio. Umsatz €3.000-15.000 pro Jahr, für Mittelstand mit €20-100 Mio. €10.000-50.000, für Enterprise über €100 Mio. ab €50.000 aufwärts. Selbst bei einem einmaligen Angriff im 10-Jahres-Zeitraum ist der ROI oft positiv.
Was eine gute Cyber-Police abdeckt
Eine vollständige Cyber-Police sollte folgende Kernleistungen umfassen:
1. IT-Forensik-Kosten: Forensik-Dienstleister zur Ursachenermittlung, Log-Analyse, Bestimmung des Schadensausmaßes und Nachweisführung gegenüber Behörden (BSI, Datenschutzbehörde). Typische Deckung: €10.000-100.000.
2. Systemwiederherstellung: IT-Dienstleister-Kosten, Hardware-Ersatz und Datenverlust-Wiederherstellung. Typisch: €50.000-500.000.
3. Betriebsunterbrechungsschaden (Business Interruption): Entgangene Gewinne während des Ausfalls und Mehrkosten für Notbetrieb und externe Dienstleister. Wichtig: Die Karenzzeit beachten - oft beginnt die Deckung erst 12-48 Stunden nach dem Vorfall.
4. Lösegeldzahlungen (Ransomware): Viele Policen decken Lösegeld ab, was jedoch umstritten ist - das BSI rät grundsätzlich von der Zahlung ab. Manche Versicherer verlangen, dass die Zahlung wirklich das letzte Mittel darstellt. Achtung: Die Sanktionslisten (OFAC) müssen beachtet werden, da Zahlungen an gelistete Gruppen illegal sind.
5. Krisenmanagement und PR: Externer Kommunikationsberater, Pressearbeit nach einer Datenpanne sowie Kundenbenachrichtigung.
6. DSGVO-Bußgelder: Viele Policen decken diese ab, allerdings mit Einschränkungen. Absichtliche Verletzungen sind grundsätzlich ausgeschlossen, und der Maximalbetrag ist oft begrenzt.
7. Haftpflicht gegenüber Dritten: Schadensersatzansprüche von Kunden, die durch eine Datenpanne geschädigt wurden, sowie Anwaltskosten.
8. 24/7-Krisenhotline: Ein wichtiges Feature, das direkten Zugang zu IR-Experten ermöglicht - für die entscheidende Frage: Wer ist der erste Anruf um 3 Uhr nachts?
Was häufig NICHT abgedeckt ist
Die entscheidenden Ausschlüsse verstecken sich im Kleingedruckten:
Kriegshandlungen / staatlich gesponserter Angriff: Die "War Exclusion" ist aktuell ein Streitthema. Der NotPetya-Angriff 2017 und der anschließende Lloyd's/Merck-Prozess haben gezeigt, wie unklar die Abgrenzung sein kann. Klärung vor Vertragsabschluss ist Pflicht: Wie definiert der Versicherer "Krieg"?
Nicht-konnektierte Schäden: Schäden, die nicht direkt durch den Cyber-Angriff entstanden sind, beispielsweise wenn ein Mitarbeiter sich bei einer Serverraum-Evakuierung verletzt.
Vorsätzliche Handlungen: Wenn ein Mitarbeiter absichtlich Daten gestohlen oder beschädigt hat, oder wenn ein Insider-Angriff mit Wissen der Geschäftsführung stattfand.
Bekannte Schwachstellen ohne Patch: Wenn eine Sicherheitslücke länger als 3 Monate bekannt war und nicht gepatcht wurde, prüfen Versicherer, ob ein Patch verfügbar war. Die Konsequenz ist klar: Regelmäßiges Patching ist eine Versicherungspflicht.
Veraltete Software (EOL): Windows XP, Server 2003/2008 sind bei vielen Policen explizit ausgeschlossen. BSI und Versicherer teilen die Einschätzung: "Support-Ende = erhöhtes Risiko".
Systeme ohne MFA: Remote-Access ohne MFA wird von einigen Versicherern explizit ausgeschlossen - VPN ohne MFA ist ein bekannter Angriffsvektor.
Kryptowährungsverluste: Direkter Verlust durch Krypto-Angriffe ist oft nicht gedeckt, wobei zwischen Kryptowährung als Asset und als Zahlungsmittel unterschieden wird.
Langfristige Reputationsschäden: Kurzfristige PR-Kosten sind oft gedeckt, langfristiger Umsatzverlust durch Imageschäden jedoch nicht.
Die Risikoprüfung - Was Versicherer prüfen
Beim Abschluss einer Cyber-Police werden heute standardmäßig Security-Fragen gestellt. Die Antworten haben direkte Auswirkungen auf Prämie und Deckung:
| Frage | Konsequenz bei "Nein" |
|---|---|
| MFA für alle Remote-Zugänge (VPN, RDP, OWA)? | Oft kein Angebot oder Prämienaufschlag 50-100 % |
| MFA für privilegierte Konten (Admins)? | Höheres Risiko, Prämienaufschlag |
| Offline/Air-gapped Backups vorhanden und getestet? | Ransomware-Deckung oft eingeschränkt |
| EDR auf allen Endpoints? | Einige Versicherer lehnen ab oder verlangen Aufpreis |
| E-Mail-Security mit DMARC? | BEC-Risiko erhöht, Prämienaufschlag |
| Vulnerability Management (regelmäßige Scans und Patches)? | Critical-CVE-Exclusion möglich |
| Segmentierung (OT/IT getrennt)? | Für Industrieunternehmen besonders relevant |
| Incident Response Plan vorhanden? | Prämienreduktion möglich |
| Security Awareness Training (nachweislich)? | Risikoreduktion |
Die Konsequenz daraus: Security-Investitionen senken direkt die Versicherungsprämie. Viele KMU entdecken durch diesen Prozess erstmals ihre Security-Lücken.
Der Schadenfall - Was passiert wenn es brennt?
Die wichtigste Regel: Sofortmeldung. Die Police schreibt "unverzüglich nach Kenntnis" vor - in der Praxis bedeutet das innerhalb von 24 bis 72 Stunden. Wer wartet bis der Schaden bekannt ist, riskiert Leistungskürzungen.
Schritt 1: Incident Detection Das IT-Team entdeckt die Ransomware - auch wenn es 3 Uhr nachts ist.
Schritt 2: Versicherer informieren (innerhalb 24h) Die 24/7-Krisenhotline anrufen. Wichtig: Nicht selbst handeln, bevor der IR-Dienstleister informiert wurde. Viele Versicherer schicken einen eigenen IR-Dienstleister.
Schritt 3: IR-Dienstleister einschalten Viele Policen haben einen vorab qualifizierten Dienstleister-Panel. Eigene Dienstleister nur einschalten, wenn die Police das ausdrücklich erlaubt - nicht genehmigte Kosten werden nicht erstattet.
Schritt 4: Dokumentation Alle Maßnahmen dokumentieren (wer, was, wann), Rechnungen sammeln, Behördenkommunikation archivieren, Betriebsunterbrechungsnachweis durch Gegenüberstellung von Umsatz vorher und nachher.
Schritt 5: Schadenmeldung Das Versicherer-Formular ausfüllen, den Forensik-Bericht beifügen, alle Rechnungen einreichen und den Schaden durch Buchführungsunterlagen nachweisen.
Schritt 6: Regulierung Der Versicherer prüft Ausschlussklauseln, Fahrlässigkeit und weitere Faktoren. Bei Streit steht der Versicherungsombudsmann oder der Klageweg offen. Die Dauer: typischerweise 3 bis 12 Monate, da der Prozess komplex ist.
Cyber-Versicherung und NIS2
NIS2 verstärkt den Bedarf an Cyber-Versicherungen auf mehreren Ebenen. Die NIS2-Pflichten treiben die Versicherungskosten: DSGVO/NIS2-Bußgelder können bis zu €10 Mio. oder 2 % des Weltumsatzes betragen, Meldepflicht-Kosten für externe BSI-Beratung kommen hinzu, und die Haftung der Geschäftsführer ist persönlich und nicht auf das Unternehmensrecht beschränkt.
Hier ist die Unterscheidung zwischen D&O-Versicherung und Cyber-Versicherung wichtig: D&O deckt die persönliche Haftung der Geschäftsführung ab, Cyber deckt Unternehmensschäden. Für NIS2-betroffene Unternehmen empfiehlt sich der Abschluss beider Versicherungsarten.
Cyber-Police-Leistungen, die gleichzeitig NIS2-Anforderungen erfüllen: Incident Response Kosten, Forensik und Beweissicherung, BSI-Meldungs-Beratung sowie Öffentlichkeitsarbeit bei Datenpannen.
Checkliste: Cyber-Versicherung abschließen
Vor dem Vergleich:
- Eigenes Risikoprofil erstellen (Branche, Umsatz, Kundendaten)
- Bestehende Sicherheitsmaßnahmen dokumentieren
- MFA überall aktiviert? (Vor dem Antrag unbedingt aktivieren)
- Backups: Offline-Backup vorhanden und letzter Test dokumentiert?
Beim Vergleich - Deckungssumme:
- Reicht die Deckung für die Betriebsunterbrechung?
- Maximalbetrag pro Schaden und pro Jahr?
Leistungen klären:
- Betriebsunterbrechung: mit welcher Karenzzeit?
- Lösegeldzahlungen: abgedeckt?
- DSGVO-Bußgelder: ja/nein?
- Drittschäden (Kunden): abgedeckt?
Ausschlüsse prüfen:
- War-Exclusion: wie definiert? Staatlich gesponserte Angriffe?
- Veraltete Software: was gilt als "veraltet"?
- MFA-Pflicht: was wenn nicht vorhanden?
Service bewerten:
- 24/7-Krisenhotline: wer ist erreichbar?
- IR-Dienstleister-Panel: welche Firmen sind gelistet? Eigene erlaubt?
- Reaktionszeit: wie schnell ist Hilfe vor Ort?
Prämie beurteilen:
- Prämie vs. Deckung: sinnvolles Verhältnis?
- Selbstbehalt: wie hoch? (Zu hoher Selbstbehalt: kleine Schäden muss das Unternehmen selbst tragen)
- Was würde die Prämie senken? (MFA, EDR, nachweisbares Awareness Training)
Cyber-Versicherung allein reicht nicht. Versicherungen ersetzen keine Sicherheitsmaßnahmen - sie ergänzen sie. AWARE7 hilft bei der Verbesserung des Sicherheitsniveaus, das auch Versicherungsprämien senkt und Ausschlussgründe minimiert.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst - mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
