Wer in einem kleinen oder mittleren Unternehmen Verantwortung trägt, kennt die Frage mittlerweile aus Versicherungsgesprächen, von Steuerberatern oder aus dem letzten Branchen-Newsletter: Brauchen wir eine Cyberversicherung? Die Antwort darauf ist nicht mit Ja oder Nein erledigt – sie hängt davon ab, was eine solche Police tatsächlich leistet, was sie voraussetzt und wo ihre Grenzen liegen.
Was eine Cyberversicherung abdeckt
Eine Cyberversicherung greift dann, wenn ein Angriff oder ein IT-Sicherheitsvorfall trotz aller Vorsicht eingetreten ist. Sie ist keine Schutzmaßnahme im technischen Sinne, sondern eine finanzielle Absicherung für den Schadensfall.
Die meisten Policen unterscheiden dabei zwischen zwei Schadenstypen: Erstschäden, die das eigene Unternehmen betreffen, und Drittschäden, die bei Kunden, Lieferanten oder Partnern entstehen. Zu den Erstschäden zählen typischerweise die Kosten für IT-Forensik, Datenwiederherstellung, Betriebsunterbrechung und Krisenkommunikation. Drittschäden entstehen etwa dann, wenn durch einen Datenverlust personenbezogene Daten Dritter abgeflossen sind und DSGVO-Haftungsansprüche ausgelöst werden. Nicht jede Police deckt beides ab – das ist beim Vergleich von Angeboten ein wichtiger Punkt, der leicht übersehen wird.
Ein weiterer Baustein vieler Verträge: der Zugang zu einem Krisenteam des Versicherers, das im Ernstfall sofort eingeschaltet werden kann. Für KMU ohne eigene IT-Sicherheitsabteilung ist das oft der praktisch wertvollste Teil der gesamten Police – nicht die finanzielle Deckung, sondern die Fähigkeit, schnell und strukturiert zu reagieren, wenn die eigenen Kapazitäten nicht ausreichen.
Was Versicherer voraussetzen
Der Abschluss einer Cyberversicherung ist heute deutlich anspruchsvoller als noch vor wenigen Jahren. Nach einer Phase explodierender Schadenszahlen haben die Versicherer ihre Anforderungen erheblich verschärft. Wer eine Police beantragen möchte, muss inzwischen nachweisbar bestimmte IT-Sicherheitsmaßnahmen umgesetzt haben – und zwar nicht nur zum Zeitpunkt des Vertragsabschlusses, sondern dauerhaft.
Zu den Mindestanforderungen, die sich in der Praxis durchgesetzt haben, gehören: Multi-Faktor-Authentifizierung für externe Zugänge und privilegierte Konten, ein dokumentiertes Patch-Management, regelmäßige und getrennt gespeicherte Backups, ein Konzept für Zugriffsrechte sowie Mitarbeiterschulungen zu Sicherheitsrisiken. Bei kleineren Unternehmen reicht häufig ein ausgefüllter Fragebogen; ab einer bestimmten Unternehmensgröße oder in risikoreichen Branchen verlangen Versicherer externe Sicherheitsaudits.
Entscheidend ist dabei nicht nur, ob die Maßnahmen umgesetzt sind – sondern ob sie dokumentiert sind. Wer im Schadensfall nicht nachweisen kann, dass Systeme gepatcht waren, MFA aktiv war und Backups funktioniert haben, riskiert eine Leistungskürzung oder sogar die vollständige Ablehnung der Schadensregulierung. Die Beweislast liegt beim Versicherungsnehmer.
Wo die Grenzen liegen
Auch eine gut ausgestattete Police hat Deckungsgrenzen, die in der Praxis erhebliche Auswirkungen haben können. Drei davon sind besonders relevant für KMU:
Sublimits: Die Gesamtdeckungssumme klingt beruhigend, aber viele Policen begrenzen einzelne Leistungsbereiche auf deutlich niedrigere Teilsummen. Eine IT-Forensik mit einem Sublimit von 5.000 Euro ist faktisch wertlos, wenn eine professionelle Forensik im konkreten Fall 20.000 bis 40.000 Euro kostet. Diese versteckten Deckungsgrenzen sollten bei jedem Angebotsvergleich explizit geprüft werden.
Ausschluss staatlich gesponserter Angriffe: Seit 2023 verlangen alle großen Versicherer den Ausschluss von Schäden durch staatlich attribuierte Cyberangriffe. Das klingt nach einem Randthema – ist es aber nicht. Das Problem in der Praxis: Die Grenze zwischen professionellen Cyberkriminellen und staatlich unterstützten Akteuren ist technisch kaum zu ziehen. Und die Beweislast, dass kein staatlicher Akteur beteiligt war, liegt beim Unternehmen.
Obliegenheitsverletzungen: Das ist der häufigste Ablehnungsgrund überhaupt. Wenn zum Zeitpunkt des Angriffs eine Sicherheitsmaßnahme nicht mehr aktiv war – ein ungepatchtes System, eine deaktivierte MFA, ein nicht getestetes Backup – kann der Versicherer die Leistung kürzen oder vollständig verweigern. Firmen, die zum Vertragsabschluss alle Anforderungen erfüllten, dann aber im Betriebsalltag nachlässig wurden, stehen im Ernstfall ohne Schutz da.
Was das für KMU konkret bedeutet
Eine Cyberversicherung ist kein Ersatz für IT-Sicherheit. Dieser Satz klingt nach Pflichtformel, hat aber eine sehr konkrete Konsequenz: Wer nicht zuerst in ein funktionierendes Sicherheitsniveau investiert, kann gar keine seriöse Cyberversicherung abschließen – oder bekommt im Schadensfall nichts ausgezahlt, weil er die Obliegenheiten verletzt hat. Die Versicherung setzt ein gewisses Sicherheitsniveau voraus, das sie gleichzeitig zur Bedingung für ihre Leistung macht.
Das bedeutet auch: Der Weg zur Cyberversicherung zwingt viele KMU dazu, ihren IT-Sicherheitsstatus erstmals strukturiert zu erfassen und zu dokumentieren. Das ist kein Nachteil – dieser Prozess ist unabhängig von der Versicherungsfrage sinnvoll und oft überfällig.
Für Unternehmen, die bereits ein solides Sicherheitsniveau haben und dieses auch dokumentieren können, ist eine Cyberversicherung eine sinnvolle Ergänzung. Sie schützt nicht vor dem Angriff, aber sie federt die finanziellen Folgen ab, wenn ein Vorfall trotz aller Vorsicht eintritt – und sie stellt im Krisenfall Ressourcen bereit, die intern nicht vorhanden sind. Für Betriebe, bei denen die Sicherheitsgrundlagen fehlen, ist die Versicherung weder die erste noch die wichtigste Priorität.