Wissen/Cyber-Versicherung 2026: wann greift sie wirklich?

Cyber-Versicherung 2026: wann greift sie wirklich?

Was eine Cyber-Versicherung in DACH 2026 wirklich abdeckt: Versicherungs-Tatbestände, häufige Ausschlüsse, Anforderungen der Versicherer. Stand: 2026-05-16.

ComplyCheck-Redaktion · Stand: 2026-06-26

cyber-versicherungrisikoransomwaregdvkmu

Cyber-Versicherung 2026: wann greift sie wirklich?

Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Was eine Cyber-Versicherung wirklich abdeckt

Die typische Cyber-Versicherung (Markt-Standard nach den GDV-Musterbedingungen und den AVB der jeweiligen Versicherer) gliedert sich in drei Bausteine:

Baustein 1: Eigenschäden

  • Forensik und Schadensermittlung durch externe IT-Forensiker
  • Wiederherstellung von Daten und Systemen
  • Krisen-Kommunikation (PR-Beratung, Hotline-Aufbau, Pressemitteilungen)
  • Erpressungsverhandlungen durch spezialisierte Verhandler
  • Lösegeld-Zahlungen (in einigen Verträgen; gesetzlich grenzfähig je nach Sanktionsrecht)
  • Betriebsunterbrechung (BU) — Deckung des Umsatzausfalls für definierte Dauer
  • Vertragsstrafen an Kunden bei Vertrags-SLA-Verletzungen (sofern versichert)
  • Rufschadens-Management

Baustein 2: Drittschadens-Haftung

  • Schadensersatz-Forderungen Dritter durch Datenleck
  • DSGVO-Schadensersatz-Ansprüche von Betroffenen (Art. 82 DSGVO)
  • Schäden bei Kunden durch unterbrochene Services
  • Anwalts- und Gerichts-Kosten der Verteidigung
  • Vergleichszahlungen mit Geschädigten

Baustein 3: Regulatorische und Strafrechtliche Folgen

  • Verteidigungs-Kosten in Bußgeld-Verfahren (das Verfahren, nicht das Bußgeld selbst)
  • Verteidigungs-Kosten in straf­rechtlichen Verfahren gegen Mitarbeitende oder Geschäftsführung
  • Notifikations-Kosten bei DSGVO-Datenpannen-Meldungen an Aufsichten und Betroffene
  • Kosten für Kreditkartenüberwachung der Betroffenen
Hinweis

Die drei Bausteine — was wirklich enthalten ist

Cyber-Verträge sind nach GDV-Musterbedingungen meist dreischichtig aufgebaut: Eigenschäden (Forensik, Wiederherstellung, BU-Schaden), Drittschadens-Haftung (DSGVO-Art. 82-Ansprüche, Kunden-Vertragsstrafen) und regulatorische Folgen (Verteidigungs-Kosten, Notifikations-Kosten). Wer nur das Wort „Cyber" auf der Police liest, übersieht oft, dass die teuerste Komponente — das Bußgeld selbst — in keinem dieser Bausteine enthalten ist.

Was eine Cyber-Versicherung typischerweise NICHT abdeckt

Bußgelder selbst

Wie im Bußgeld-Atlas ausgeführt: Die deutsche herrschende Meinung sieht Behörden-Bußgelder als nicht versicherbar. Die Versicherer leisten in der Regel nicht für das Bußgeld selbst — wohl aber für die Verteidigungs-Kosten und für Schadensersatz-Forderungen Dritter, die das Bußgeld nach sich ziehen kann.

Social-Engineering-Schäden ("Fake-CEO", "Business Email Compromise")

Schäden, bei denen Mitarbeitende durch Manipulation selbst Überweisungen oder Daten herausgeben, sind häufig nur mit Zusatzbaustein versichert und mit reduzierten Deckungssummen. Die typische Auslegung: Wenn keine technische Sicherheitslücke ausgenutzt wurde, sondern menschliche Täuschung, ist es kein klassischer "Cyber-Schaden".

Krieg und Kriegsähnliche Ereignisse

Seit den Cyber-Angriffen rund um geopolitische Konflikte schärfen Versicherer die Kriegs-Klauseln. Cyber-Angriffe, die staatlichen Akteuren zuzuschreiben sind, können ausgeschlossen sein. Die exakte Auslegung ist Gegenstand mehrerer laufender Gerichtsverfahren (z. B. NotPetya-Folgeverfahren).

Bekannte, ungepatchte Schwachstellen

Wenn das Unternehmen eine bekannte CVE-Schwachstelle über die im Versicherungsvertrag definierte Frist hinaus offen lässt und genau diese Schwachstelle ausgenutzt wird, kann der Versicherer Leistungs-Freiheit geltend machen.

Vorsatz und grobe Fahrlässigkeit

Wenn der Vorstand bewusst gegen Sicherheitsstandards verstößt oder schwerwiegende Verletzungen der Sorgfaltspflicht vorliegen, kann die Versicherung leistungsfrei sein.

Lieferketten-Schäden (oft eingeschränkt)

Wenn ein Cloud-Anbieter oder Lieferant gehackt wird und das Unternehmen mittelbar betroffen ist, wird oft nur ein Teil der mittelbaren Schäden ersetzt — viele Verträge haben Sublimits für Drittanbieter-bedingte Ausfälle.

Achtung

Falsch-Angaben im Fragebogen kosten den gesamten Schutz

Wer im Versicherungs-Fragebogen bewusst „Ja, MFA überall aktiviert" angibt, obwohl es nur teilweise stimmt, riskiert nicht nur Leistungs-Freiheit im Schadensfall, sondern auch eine rückwirkende Vertragsauflösung durch den Versicherer. Plus: bei einer bekannten ungepatchten CVE-Schwachstelle über die im Vertrag definierte Frist hinaus kann der Versicherer komplett leistungsfrei sein — auch wenn die Prämien jahrelang bezahlt wurden.

Was Versicherer 2026 prüfen

Die GDV-Markt-Daten zeigen: Die Schaden-Aufwand-Quote im Cyber-Markt ist stark gestiegen. Konsequenz: Versicherer prüfen Risiken zunehmend hart vor Vertragsabschluss.

Pflicht-Mindeststandards (Beispiele aus Versicherer-Fragebögen)

  • Multi-Faktor-Authentifizierung für alle externen Zugänge (VPN, Cloud-Admin-Accounts, Email)
  • Endpoint-Detection-and-Response (EDR) auf allen Endgeräten
  • Funktionierende Backups mit Offline-Komponente und mindestens einer Wiederherstellungs-Übung pro Jahr
  • Patch-Management mit definierten Patch-Fristen (kritische CVEs: 7-14 Tage)
  • Awareness-Schulungen mindestens jährlich für alle Mitarbeitenden
  • Email-Filter mit Phishing-Erkennung
  • Privileged Access Management für administrative Accounts
  • Vulnerability-Scans mindestens quartalsweise
  • Incident-Response-Plan mit dokumentierten Eskalationswegen

Ohne diese Mindeststandards: kein Vertrag oder erhebliche Preisaufschläge.

Optionale Plus-Anforderungen

Häufige Schadens-Szenarien — was greift wann?

Ransomware

  • Forensik und Wiederherstellung: greift, sofern Mindeststandards erfüllt
  • BU-Schaden: greift, oft mit Karenz-Zeiten (24-72 h) und Deckungs-Obergrenze
  • Lösegeld: nur in einigen Verträgen, oft mit Subvolumina und mit Sanktions-Klauseln (kein Lösegeld an gelistete Akteure)
  • DSGVO-Schadensersatz Dritter: greift im Rahmen der Drittschadens-Haftung
  • Bußgeld der Aufsicht: greift NICHT

CEO-Fraud / Business Email Compromise

  • Verlust der überwiesenen Summe: nur mit Zusatz-Baustein "Social Engineering Fraud", oft Sublimits unter €100.000
  • Forensik: greift, sofern Sicherheits-Vorfall als solcher anerkannt
  • Rückforderung: oft erst nach Einschaltung der Strafverfolgung

Datenleck durch Sicherheitslücke

  • Notifikations-Kosten: greift (Brief, Hotline, Kreditkartenüberwachung)
  • Forensik: greift
  • DSGVO-Schadensersatz: greift im Drittschaden
  • Reputations-PR: greift im Krisen-Management-Baustein
  • DSGVO-Bußgeld: greift NICHT

Cloud-Anbieter-Ausfall (BU ohne eigenen Vorfall)

  • Oft nur mit Sublimit versichert (z. B. €250.000 oder ein Bruchteil der Hauptdeckung)
  • Karenz-Zeit von 12-24 Stunden ist üblich
  • Cyber-Versicherung greift hier oft schwächer als BU-Versicherung mit IT-Erweiterung

Prämien 2026 — Realistische Bandbreiten

Für KMU mit DACH-Sitz, 50-250 Mitarbeitende, branchenüblich (kein Finanzdienstleister, keine Gesundheits-Branche):

Umsatz Deckungs-Summe Jahres-Prämie
< 5 Mio. € 500 Tsd. - 1 Mio. € €2.500-€6.000
5-25 Mio. € 1-3 Mio. € €5.000-€15.000
25-50 Mio. € 3-5 Mio. € €12.000-€30.000
50-100 Mio. € 5-10 Mio. € €25.000-€60.000

Aufschläge:

  • Gesundheits-/Bildungs-Branche (sensible Daten): +30-100 %
  • E-Commerce mit > 500k Kundendaten: +20-60 %
  • Fertigung mit OT/SCADA: +30-80 %
  • Frühere Vorfälle: kann zu Ablehnung oder hohen Mindest-Selbstbehalten führen

Selbstbehalte typischerweise:

  • KMU < 25 Mio. € Umsatz: €5.000-€25.000
  • Mittelstand 25-100 Mio. €: €25.000-€100.000
  • Wenn Mindeststandards nicht erfüllt: deutlich höhere Selbstbehalte oder Ablehnung

Was vor Vertragsabschluss zu tun ist

Praxis-Tipp

Sicherheits-Mindeststandards vor dem Angebot

Bevor der erste Versicherer kontaktiert wird, sollten diese Punkte umgesetzt und dokumentiert sein: (1) MFA auf allen externen Zugängen (VPN, Cloud-Admin, Email) — keine Ausnahmen, (2) EDR auf allen Endgeräten + funktionierende Offline-Backups mit jährlicher Wiederherstellungs-Übung, (3) Patch-Fristen schriftlich fixiert (kritische CVEs: 7-14 Tage) + jährliches Awareness-Training mit Teilnehmerliste. Damit fallen Aufschläge um 30-100 % weg und der Versicherer leistet im Ernstfall ohne Streit.
  1. Risiko-Analyse durchführen: was sind die wahrscheinlichsten und teuersten Szenarien?
  2. Mindeststandards abprüfen: was erwartet der Markt? Lücken schließen, bevor man Angebote einholt
  3. Marktvergleich: mindestens 3 Angebote von verschiedenen Versicherern und/oder Maklern
  4. Bedingungswerk im Detail lesen: Ausschlüsse, Sublimits, Karenz-Zeiten, Mitwirkungs-Pflichten
  5. Lieferanten-Versicherungen prüfen: sind kritische Drittanbieter selbst versichert? Gibt es Anschluss-Versicherungen?
  6. Schaden-Hotline klären: 24/7-Erreichbarkeit ist üblich, prüfen welcher Provider die Forensik leistet

FAQ

Ersetzt eine Cyber-Versicherung gutes IT-Sicherheits-Management?

Nein. Sie ergänzt es. Versicherer verlangen heute funktionierende Sicherheits-Standards als Voraussetzung für den Vertrag. Wer in einem Audit nicht nachweisen kann, dass die geforderten Maßnahmen umgesetzt sind, riskiert Leistungs-Freiheit im Schadens-Fall. Die Cyber-Versicherung deckt das Restrisiko — nicht das Grundrisiko durch fehlende Basis-Hygiene.

Greift die Versicherung auch bei Schäden durch eigene Mitarbeitende?

Bei versehentlichen Mitarbeitenden-Fehlern (z. B. versehentliches Klicken auf Phishing-Link): meistens ja. Bei vorsätzlichen Mitarbeitenden-Taten (Sabotage, Insider-Datendiebstahl): in der Regel ausgeschlossen, kann aber durch separate Vertrauensschadens-Versicherung abgedeckt werden.

Was sind realistische Karenz-Zeiten bei BU-Schäden?

12-72 Stunden sind marktüblich. Die Karenz-Zeit beginnt mit der Erkennung des Vorfalls, nicht mit dem Beginn des Schadens. Wer eine 24-h-Karenz hat und 18 Stunden Downtime erlebt, bekommt nichts für den BU-Anteil. Wer 30 Stunden Downtime erlebt, bekommt die 6 Stunden ab Karenz-Ende.

Welche Mindestdeckung ist sinnvoll für ein KMU?

Faustregel: mindestens 1-2 x Jahresumsatz, mindestens aber das, was die internen Risiko-Szenarien als Worst-Case-Schaden ergeben. Wer 20 Mio. € Umsatz hat und 50 % BU-Risiko in 30 Tagen, sollte zumindest die BU-Deckung in dieser Größenordnung haben.

Was passiert bei einer Falsch-Angabe im Versicherungs-Fragebogen?

Wer im Fragebogen vor Vertragsabschluss bewusst falsch antwortet (z. B. "Ja, MFA überall aktiviert", obwohl es nur teilweise stimmt), riskiert nicht nur Leistungs-Freiheit, sondern auch eine rückwirkende Vertragsauflösung durch den Versicherer. Sorgfältige Wahrheits-Angaben sind essenziell — auch wenn das den Preis erhöht.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 26. Juni 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.