Cyber-Versicherung 2026: wann greift sie wirklich?
Was eine Cyber-Versicherung in DACH 2026 wirklich abdeckt: Versicherungs-Tatbestände, häufige Ausschlüsse, Anforderungen der Versicherer. Stand: 2026-05-16.
ComplyCheck-Redaktion · Stand: 2026-06-26
Cyber-Versicherung 2026: wann greift sie wirklich?
Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.
Was eine Cyber-Versicherung wirklich abdeckt
Die typische Cyber-Versicherung (Markt-Standard nach den GDV-Musterbedingungen und den AVB der jeweiligen Versicherer) gliedert sich in drei Bausteine:
Baustein 1: Eigenschäden
- Forensik und Schadensermittlung durch externe IT-Forensiker
- Wiederherstellung von Daten und Systemen
- Krisen-Kommunikation (PR-Beratung, Hotline-Aufbau, Pressemitteilungen)
- Erpressungsverhandlungen durch spezialisierte Verhandler
- Lösegeld-Zahlungen (in einigen Verträgen; gesetzlich grenzfähig je nach Sanktionsrecht)
- Betriebsunterbrechung (BU) — Deckung des Umsatzausfalls für definierte Dauer
- Vertragsstrafen an Kunden bei Vertrags-SLA-Verletzungen (sofern versichert)
- Rufschadens-Management
Baustein 2: Drittschadens-Haftung
- Schadensersatz-Forderungen Dritter durch Datenleck
- DSGVO-Schadensersatz-Ansprüche von Betroffenen (Art. 82 DSGVO)
- Schäden bei Kunden durch unterbrochene Services
- Anwalts- und Gerichts-Kosten der Verteidigung
- Vergleichszahlungen mit Geschädigten
Baustein 3: Regulatorische und Strafrechtliche Folgen
- Verteidigungs-Kosten in Bußgeld-Verfahren (das Verfahren, nicht das Bußgeld selbst)
- Verteidigungs-Kosten in strafrechtlichen Verfahren gegen Mitarbeitende oder Geschäftsführung
- Notifikations-Kosten bei DSGVO-Datenpannen-Meldungen an Aufsichten und Betroffene
- Kosten für Kreditkartenüberwachung der Betroffenen
Die drei Bausteine — was wirklich enthalten ist
Cyber-Verträge sind nach GDV-Musterbedingungen meist dreischichtig aufgebaut: Eigenschäden (Forensik, Wiederherstellung, BU-Schaden), Drittschadens-Haftung (DSGVO-Art. 82-Ansprüche, Kunden-Vertragsstrafen) und regulatorische Folgen (Verteidigungs-Kosten, Notifikations-Kosten). Wer nur das Wort „Cyber" auf der Police liest, übersieht oft, dass die teuerste Komponente — das Bußgeld selbst — in keinem dieser Bausteine enthalten ist.
Was eine Cyber-Versicherung typischerweise NICHT abdeckt
Bußgelder selbst
Wie im Bußgeld-Atlas ausgeführt: Die deutsche herrschende Meinung sieht Behörden-Bußgelder als nicht versicherbar. Die Versicherer leisten in der Regel nicht für das Bußgeld selbst — wohl aber für die Verteidigungs-Kosten und für Schadensersatz-Forderungen Dritter, die das Bußgeld nach sich ziehen kann.
Social-Engineering-Schäden ("Fake-CEO", "Business Email Compromise")
Schäden, bei denen Mitarbeitende durch Manipulation selbst Überweisungen oder Daten herausgeben, sind häufig nur mit Zusatzbaustein versichert und mit reduzierten Deckungssummen. Die typische Auslegung: Wenn keine technische Sicherheitslücke ausgenutzt wurde, sondern menschliche Täuschung, ist es kein klassischer "Cyber-Schaden".
Krieg und Kriegsähnliche Ereignisse
Seit den Cyber-Angriffen rund um geopolitische Konflikte schärfen Versicherer die Kriegs-Klauseln. Cyber-Angriffe, die staatlichen Akteuren zuzuschreiben sind, können ausgeschlossen sein. Die exakte Auslegung ist Gegenstand mehrerer laufender Gerichtsverfahren (z. B. NotPetya-Folgeverfahren).
Bekannte, ungepatchte Schwachstellen
Wenn das Unternehmen eine bekannte CVE-Schwachstelle über die im Versicherungsvertrag definierte Frist hinaus offen lässt und genau diese Schwachstelle ausgenutzt wird, kann der Versicherer Leistungs-Freiheit geltend machen.
Vorsatz und grobe Fahrlässigkeit
Wenn der Vorstand bewusst gegen Sicherheitsstandards verstößt oder schwerwiegende Verletzungen der Sorgfaltspflicht vorliegen, kann die Versicherung leistungsfrei sein.
Lieferketten-Schäden (oft eingeschränkt)
Wenn ein Cloud-Anbieter oder Lieferant gehackt wird und das Unternehmen mittelbar betroffen ist, wird oft nur ein Teil der mittelbaren Schäden ersetzt — viele Verträge haben Sublimits für Drittanbieter-bedingte Ausfälle.
Falsch-Angaben im Fragebogen kosten den gesamten Schutz
Wer im Versicherungs-Fragebogen bewusst „Ja, MFA überall aktiviert" angibt, obwohl es nur teilweise stimmt, riskiert nicht nur Leistungs-Freiheit im Schadensfall, sondern auch eine rückwirkende Vertragsauflösung durch den Versicherer. Plus: bei einer bekannten ungepatchten CVE-Schwachstelle über die im Vertrag definierte Frist hinaus kann der Versicherer komplett leistungsfrei sein — auch wenn die Prämien jahrelang bezahlt wurden.
Was Versicherer 2026 prüfen
Die GDV-Markt-Daten zeigen: Die Schaden-Aufwand-Quote im Cyber-Markt ist stark gestiegen. Konsequenz: Versicherer prüfen Risiken zunehmend hart vor Vertragsabschluss.
Pflicht-Mindeststandards (Beispiele aus Versicherer-Fragebögen)
- Multi-Faktor-Authentifizierung für alle externen Zugänge (VPN, Cloud-Admin-Accounts, Email)
- Endpoint-Detection-and-Response (EDR) auf allen Endgeräten
- Funktionierende Backups mit Offline-Komponente und mindestens einer Wiederherstellungs-Übung pro Jahr
- Patch-Management mit definierten Patch-Fristen (kritische CVEs: 7-14 Tage)
- Awareness-Schulungen mindestens jährlich für alle Mitarbeitenden
- Email-Filter mit Phishing-Erkennung
- Privileged Access Management für administrative Accounts
- Vulnerability-Scans mindestens quartalsweise
- Incident-Response-Plan mit dokumentierten Eskalationswegen
Ohne diese Mindeststandards: kein Vertrag oder erhebliche Preisaufschläge.
Optionale Plus-Anforderungen
- ISO 27001 Zertifizierung
- TLPT- / Pen-Test-Reports
- ZAC (Zentrale Ansprechstelle Cybercrime) registriert
- Notfall-Übungen mit dokumentiertem Ablauf
Häufige Schadens-Szenarien — was greift wann?
Ransomware
- Forensik und Wiederherstellung: greift, sofern Mindeststandards erfüllt
- BU-Schaden: greift, oft mit Karenz-Zeiten (24-72 h) und Deckungs-Obergrenze
- Lösegeld: nur in einigen Verträgen, oft mit Subvolumina und mit Sanktions-Klauseln (kein Lösegeld an gelistete Akteure)
- DSGVO-Schadensersatz Dritter: greift im Rahmen der Drittschadens-Haftung
- Bußgeld der Aufsicht: greift NICHT
CEO-Fraud / Business Email Compromise
- Verlust der überwiesenen Summe: nur mit Zusatz-Baustein "Social Engineering Fraud", oft Sublimits unter €100.000
- Forensik: greift, sofern Sicherheits-Vorfall als solcher anerkannt
- Rückforderung: oft erst nach Einschaltung der Strafverfolgung
Datenleck durch Sicherheitslücke
- Notifikations-Kosten: greift (Brief, Hotline, Kreditkartenüberwachung)
- Forensik: greift
- DSGVO-Schadensersatz: greift im Drittschaden
- Reputations-PR: greift im Krisen-Management-Baustein
- DSGVO-Bußgeld: greift NICHT
Cloud-Anbieter-Ausfall (BU ohne eigenen Vorfall)
- Oft nur mit Sublimit versichert (z. B. €250.000 oder ein Bruchteil der Hauptdeckung)
- Karenz-Zeit von 12-24 Stunden ist üblich
- Cyber-Versicherung greift hier oft schwächer als BU-Versicherung mit IT-Erweiterung
Prämien 2026 — Realistische Bandbreiten
Für KMU mit DACH-Sitz, 50-250 Mitarbeitende, branchenüblich (kein Finanzdienstleister, keine Gesundheits-Branche):
| Umsatz | Deckungs-Summe | Jahres-Prämie |
|---|---|---|
| < 5 Mio. € | 500 Tsd. - 1 Mio. € | €2.500-€6.000 |
| 5-25 Mio. € | 1-3 Mio. € | €5.000-€15.000 |
| 25-50 Mio. € | 3-5 Mio. € | €12.000-€30.000 |
| 50-100 Mio. € | 5-10 Mio. € | €25.000-€60.000 |
Aufschläge:
- Gesundheits-/Bildungs-Branche (sensible Daten): +30-100 %
- E-Commerce mit > 500k Kundendaten: +20-60 %
- Fertigung mit OT/SCADA: +30-80 %
- Frühere Vorfälle: kann zu Ablehnung oder hohen Mindest-Selbstbehalten führen
Selbstbehalte typischerweise:
- KMU < 25 Mio. € Umsatz: €5.000-€25.000
- Mittelstand 25-100 Mio. €: €25.000-€100.000
- Wenn Mindeststandards nicht erfüllt: deutlich höhere Selbstbehalte oder Ablehnung
Was vor Vertragsabschluss zu tun ist
Sicherheits-Mindeststandards vor dem Angebot
Bevor der erste Versicherer kontaktiert wird, sollten diese Punkte umgesetzt und dokumentiert sein: (1) MFA auf allen externen Zugängen (VPN, Cloud-Admin, Email) — keine Ausnahmen, (2) EDR auf allen Endgeräten + funktionierende Offline-Backups mit jährlicher Wiederherstellungs-Übung, (3) Patch-Fristen schriftlich fixiert (kritische CVEs: 7-14 Tage) + jährliches Awareness-Training mit Teilnehmerliste. Damit fallen Aufschläge um 30-100 % weg und der Versicherer leistet im Ernstfall ohne Streit.
- Risiko-Analyse durchführen: was sind die wahrscheinlichsten und teuersten Szenarien?
- Mindeststandards abprüfen: was erwartet der Markt? Lücken schließen, bevor man Angebote einholt
- Marktvergleich: mindestens 3 Angebote von verschiedenen Versicherern und/oder Maklern
- Bedingungswerk im Detail lesen: Ausschlüsse, Sublimits, Karenz-Zeiten, Mitwirkungs-Pflichten
- Lieferanten-Versicherungen prüfen: sind kritische Drittanbieter selbst versichert? Gibt es Anschluss-Versicherungen?
- Schaden-Hotline klären: 24/7-Erreichbarkeit ist üblich, prüfen welcher Provider die Forensik leistet
FAQ
Ersetzt eine Cyber-Versicherung gutes IT-Sicherheits-Management?
Nein. Sie ergänzt es. Versicherer verlangen heute funktionierende Sicherheits-Standards als Voraussetzung für den Vertrag. Wer in einem Audit nicht nachweisen kann, dass die geforderten Maßnahmen umgesetzt sind, riskiert Leistungs-Freiheit im Schadens-Fall. Die Cyber-Versicherung deckt das Restrisiko — nicht das Grundrisiko durch fehlende Basis-Hygiene.
Greift die Versicherung auch bei Schäden durch eigene Mitarbeitende?
Bei versehentlichen Mitarbeitenden-Fehlern (z. B. versehentliches Klicken auf Phishing-Link): meistens ja. Bei vorsätzlichen Mitarbeitenden-Taten (Sabotage, Insider-Datendiebstahl): in der Regel ausgeschlossen, kann aber durch separate Vertrauensschadens-Versicherung abgedeckt werden.
Was sind realistische Karenz-Zeiten bei BU-Schäden?
12-72 Stunden sind marktüblich. Die Karenz-Zeit beginnt mit der Erkennung des Vorfalls, nicht mit dem Beginn des Schadens. Wer eine 24-h-Karenz hat und 18 Stunden Downtime erlebt, bekommt nichts für den BU-Anteil. Wer 30 Stunden Downtime erlebt, bekommt die 6 Stunden ab Karenz-Ende.
Welche Mindestdeckung ist sinnvoll für ein KMU?
Faustregel: mindestens 1-2 x Jahresumsatz, mindestens aber das, was die internen Risiko-Szenarien als Worst-Case-Schaden ergeben. Wer 20 Mio. € Umsatz hat und 50 % BU-Risiko in 30 Tagen, sollte zumindest die BU-Deckung in dieser Größenordnung haben.
Was passiert bei einer Falsch-Angabe im Versicherungs-Fragebogen?
Wer im Fragebogen vor Vertragsabschluss bewusst falsch antwortet (z. B. "Ja, MFA überall aktiviert", obwohl es nur teilweise stimmt), riskiert nicht nur Leistungs-Freiheit, sondern auch eine rückwirkende Vertragsauflösung durch den Versicherer. Sorgfältige Wahrheits-Angaben sind essenziell — auch wenn das den Preis erhöht.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 26. Juni 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
HinSchG für KMU: was ist praktisch zu tun?
Hinweisgeberschutzgesetz für KMU: ab wann Pflicht, welche Meldekanäle, welche Fristen, was passiert bei Verstoß. Mit Quellen und Praxis-FAQ.
ISO-27001-Zertifizierung: was kostet das wirklich?
Personal, Beratung, Audit, Tooling — die ehrlichen Kosten einer ISO-27001-Zertifizierung für KMU mit 50-250 MA. Stand: 2026-05-16.
Was kostet NIS2-Compliance realistisch für einen 50-MA-Mittelständler?
Realistische Kostenrahmen für NIS2-Compliance im Mittelstand: Personal, externe Beratung, Tools, Zertifizierung. Mit Beispiel-Rechnung — Stand 2026-05-16.