Wie sinnvoll sind Cyberversicherung für Unternehmen?

Das Wichtigste auf einen Blick

• Cyberversicherungen ersetzen kein IT-Sicherheitsmanagement, sondern ergänzen es, indem sie das Restrisiko decken. Häufig sind die Versicherungen an Mindest-Security-Standards geknüpft.
• Cyberversicherungen sind keine Pflichtversicherungen – für Unternehmen mit hohem Digitalisierungsgrad werden sie dennoch dringend empfohlen.
• Cyberversicherungen sind mit zahlreichen vertraglichen Verpflichtungen verbunden. Verstöße oder Falschangaben können zu Leistungskürzungen oder Ausschlüssen führen - daher sollten vor Abschluss der Versicherung alle Vertragsklauseln genau geprüft werden.

Artikel als PDF

Lesezeit ca. 7 Minuten

Die Digitalisierung bedeutet neue Möglichkeiten für den Mittelstand – und neue Risiken: Cyberangriffe werden immer zahlreicher und immer ausgefeilter, sei es durch Malware, Phishing-Mails oder CEO Fraud. Um die Schäden solcher Cyberangriffe abzumildern, gibt es seit einigen Jahren spezielle Cyberversicherungen. Wir geben Ihnen in diesem Beitrag einen Überblick, was Cyberversicherungen abdecken, für wen eine solche Police sinnvoll ist und worauf Sie beim Abschluss achten sollten.

Was sind Cyberversicherungen?

Cyberversicherungen sind Zusatzversicherungen, die Unternehmen gegen die finanziellen Folgen von Cyberattacken absichern. Je nach Produkt umfassen die Versicherungsleistungen Eigenschaden, etwa durch Betriebsunterbrechungen und Reputationsschäden sowie für Datenwiederherstellung, aber auch Schadenersatzansprüche, z. B. bei Datenlecks und DSGVO-Ansprüchen.

Cyberversicherungen sind kein Ersatz für ein umfassendes IT-Sicherheitsmanagement. Sie decken lediglich das Restrisiko und sind häufig an Mindest-Security-Standards geknüpft. Eine aktive Reduzierung des Risikos, etwa durch ein Informationssicherheitsmanagementsystem (ISMS), kann die Versicherungsprämie reduzieren.

Welche Risiken versichert eine Cyberversicherungen?

Cyberversicherungen schützen Unternehmen vor Schäden, die als Folge von Cyberangriffen entstehen, hauptsächlich durch

• Phishing
• Social Engineering
• Malware-Angriffe
• Erpressungsversuchen mit Ransomware

Welche Schäden bzw. Folgekosten deckt eine Cyberversicherung ab?

Der Leistungsumfang variiert je nach Versicherung – daher ist es wichtig, dass Sie die versicherten Schäden genau prüfen und die Leistungen ggf. für Ihr Unternehmen anpassen. Häufig versichert werden z. B.  

• Incident Response und Forensik: Beweissicherung, Analyse der Schadensursache
• Wiederherstellung von Systemen und Daten sowie Notfall-IT
• bei Betriebsunterbrechungen: Ertragsausfall und Mehrkosten
• bei Cyber-Erpressung: Krisenberatung und Verhandlungsunterstützung, ggf. Zahlungen, soweit rechtlich zulässig und versichert
• Datenschutz und Compliance: Rechtsberatungen, Meldungen, Benachrichtigungen, ggf. Kosten für Call-Center
• Haftpflicht gegenüber Dritten,B. bei DSGVO-Ansprüchen, Vertraulichkeit/IP, Übermittlung von Schadcode inkl. Abwehrkosten
• Krisenkommunikation und externe Beratungskosten, etwa PR- und Rechtsberatung

Wann leistet eine Cyberversicherung nicht?

• Vorsätzliche Handlungen sowie Verstöße gegen Obliegenheiten oder Mindest-Security-Standards: hier drohen Kürzungen oder Leistungsausschluss
• Staatliche oder kriegsähnliche Handlungen
• Vertragsstrafen und aufsichtsrechtliche Geldbußen – diese Fälle sind aufgrund gesetzlicher Vorgaben in Deutschland i. d. R. nicht versicherbar
• Kosten für Erfüllung und Gewährleistung, h. die Nachbesserung eigener Leistung, sowie Haftung aus zusätzlichen Vertragszusagen
• „Betterment“, IT-Upgrades über den Ursprungszustand hinaus
• Reine Reputationsverluste ohne nachweisbaren finanziellen Schaden

87 % der deutschen Unternehmen waren laut Bitkom im Jahr 2025 direkt von Datendiebstahl, Spionage oder Sabotage betroffen – 6 Prozent mehr als noch 2024. Gleichzeitig warnt der Gesamtverband der Deutschen Versicherungswirtschaft (GDV), dass viele Unternehmen ihre IT-Sicherheitslage deutlich besser einschätzen, als sie tatsächlich ist: Laut einer vom GDV in Auftrag gegebenen Forsa-Umfrage erfüllen mehr als zwei Drittel der befragten Unternehmen nicht einmal die Basiskriterien für IT-Sicherheit wie starke Passwörter oder regelmäßige Updates.

Lohnt sich eine Cyberversicherung für mittelständische Unternehmen?

Cyberpolicen sind mit gewissen Kosten verbunden – die Prämien richten sich nach Unternehmensgröße, Branche und Leistungsumfang. Unternehmen sollten aber bedenken: Schon ein einziger Cybervorfall verursacht meistens Folgekosten, die die Jahresprämie bei weitem übersteigen. Insbesondere für Unternehmen, deren Geschäftsbetrieb von der uneingeschränkten Datenverfügbarkeit oder Online-Präsenz abhängt, kann eine Cyberversicherung sinnvoll sein. Das sind etwa der Finanz- und Bankensektor, das Gesundheitswesen, die IT-Branche, aber auch Unternehmen, die mit Warenwirtschaftssystemen oder Versandsystemen arbeiten.

Viele Unternehmen argumentieren, dass auch ihre Unternehmenshaftpflicht oder die Rechtschutzversicherung Cyberrisiken versichert. Die Kernschäden, etwa für Forensik, Wiederherstellung der IT und Rekonstruktion der Daten, Betriebsunterbrechung, PR-Krisenkommunikation und eventuelle Lösegeldverhandlungen sind in klassischen Haftpflicht- oder Rechtsschutzpolicen aber fast nie adäquat abgesichert. Viele neuere Policen enthalten zudem explizite Cyber-/IT-Ausschlüsse oder nur sehr kleine Limits für Daten-Schäden oder IT-Schäden.

Die Zahl der Schadprogramme, die in Deutschland im Umlauf sind, steigt beständig: Von Mitte 2023 bis Mitte 2024 sind täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt geworden – 26 Prozent mehr als im Vorjahreszeitraum (250.000). Das geht aus dem aktuellen Sicherheitsbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor.

Beispiel-Case: Der Streitfall um die Schadsoftware NotPetya

Am 27. Juni 2017 verbreitete sich die Schadsoftware NotPetya innerhalb von nur zwei Stunden weltweit und infizierte über 2.000 Unternehmen. Hauptursache war ein manipuliertes Update der in der Ukraine verpflichtenden Buchhaltungssoftware „M.E.Doc“.

Mit Schäden von über 10 Milliarden US-Dollar wurde NotPetya zur bis dahin verheerendsten Cyberattacke überhaupt. Allein der US-Pharmakonzern Merck & Co. machte Schäden von rund 1,4 Milliarden US-Dollar geltend und stritt jahrelang mit seinen „All-Risk“-Sachversicherern (u. a. Ace American) darüber, ob diese Verluste gedeckt sind oder wegen einer Kriegsausschlussklausel vom Versicherungsschutz ausgeschlossen werden können.

Eine Cyberversicherung ersetzt kein IT-Sicherheitsmanagement – sie schützt Unternehmen gezielt vor den finanziellen Folgen, wenn ein Schaden bereits eingetreten ist.

Ingo Köhne, Geschäftsführer IT-Consulting

Kein Schadensausgleich durch die Versicherung aufgrund „kriegsähnlicher Umstände“?

Die beteiligten Sachversicherer verweigerten die Zahlung und beriefen sich auf den Kriegsausschluss („hostile or warlike action“) in den Policen, weil der Angriff Russland zugerechnet wurde. Solche Handlungen sind in vielen Sach- und Cyberversicherungen über sogenannte Kriegsausschlüsse vom Versicherungsschutz ausgenommen.

Ein Gericht in New Jersey stellte jedoch 2022 fest – und ein Berufungsgericht bestätigte dies 2023 –, dass die traditionell formulierten Kriegsausschlüsse nur klassische militärische Auseinandersetzungen erfassen und nicht ohne Weiteres auf einen globalen Cyberangriff wie NotPetya übertragen werden können. Anfang 2024 erzielten Merck und mehrere beteiligte Versicherer, darunter Ace American, eine außergerichtliche Einigung; die genauen Konditionen wurden nicht veröffentlicht.

Der Fall zeigt, wie umstritten die Auslegung von Kriegsausschlüssen in Sach- und Cyberpolicen ist und dass Unternehmen sich nicht allein auf scheinbar „standardisierte“ Klauseln verlassen sollten, sondern den Wortlaut ihrer Policen kritisch prüfen lassen sollten.

Gesetzlicher Rahmen: Wann ist eine Cyberversicherung verpflichtend?

Cyberpolicen werden Unternehmen mit hohem Digitalisierungsgrad im Rahmen der betrieblichen Risikovorsorge empfohlen. Derzeit besteht in Deutschland und der EU aber keine gesetzliche Pflicht für Unternehmen, eine Cyberversicherung abzuschließen. Regulierungen wie NIS-2 und DORA konzentrieren sich in erster Linie auf umfangreiche Maßnahmen zum Risikomanagement, Meldepflichten und Governance, d. h. zu präventiven Maßnahmen und zu einem standardisierten Incident Management.

Allerdings können Unternehmen aufgrund von Verträgen zum Abschluss einer Cyberversicherung verpflichtet sein, etwa im Rahmen von Lieferverträgen, Outsourcing- oder Cloud-Verträgen.

Ist eine Cyberversicherung an bestimmte Bedingungen gebunden?

Üblicherweise verlangen die Versicherer Nachweise über einen definierten Mindeststandard an IT-Sicherheit als Voraussetzung für den Versicherungsschutz. Dazu zählen i. d. R.

• Zugangskontrollen
• Passwortmanagement
• regelmäßige Datensicherung
• definierte Rollenmodelle zur Zugriffsbeschränkung (Berechtigungsmanagement).

Je nach Branche können die Anbieter auch bestimmte branchentypische Grundschutzmaßnahmen oder anerkannte IT-Sicherheitsstandards als Bedingung für den Abschluss einer Cyberversicherung verlangen.

Wie finden Unternehmen die passende Cyberversicherung?

1. Bedarf ermitteln: Identifizieren Sie mit einer umfassenden Risikoanalyse potenzielle Schwachstellen und Bedrohungen Ihrer IT-Struktur
2. Deckungsumfang prüfen: Legen Sie fest, welche Schäden mindestens abgedeckt sein sollten, sowohl Eigenschäden wie Betriebsunterbrechung, Datenwiederherstellung und Krisenkommunikation als auch Drittschäden und spezifische Risiken wie Compliance-Verstöße.
3. Geltungsbereich klären: In welchen Ländern oder Rechtsordnungen muss der Versicherungsschutz gelten? Sollen auch Auslandsniederlassungen und Lieferanten oder Dienstleister berücksichtigt werden?
4. Deckungssumme und Selbstbehalt prüfen: Wie hoch sollte die Versicherungssumme mindestens sein?  Eine Deckung ab ca. 250.000 € bzw. 10–20 % des Jahresumsatzes ist ein guter Anhaltspunkt. Grundsätzlich empfiehlt es sich, zunächst den potenziellen Schaden für Ihr Unternehmen realistisch zu ermitteln.
5. Ausschlüsse prüfen: Gibt es Sublimits für bestimmte Schadenfälle? Sind Urheberrechtsverletzungen gedeckt?
6. Zusatzleistungen: Viele Versicherer bieten zusätzliche Services wie IT-Sicherheitsschulungen oder Unterstützung im Schadenfall, etwa durch Forensik-Experten oder Experten für Wiederherstellung
7. Vertragliche Anforderungen prüfen: Welche Sicherheitsanforderungen velangt der Versicherer für den Vertragsabschluss? Welche Nachweise müssen Sie erbringen?

Fazit: Cyberversicherungen vervollständigen Ihre Informationssicherheitsstrategie

Eine Cyberversicherung greift in der Regel dann, wenn ein Schaden schon entstanden ist. Daher kann die Police kein Informationssicherheitsmanagementsystem (ISMS) ersetzen. Für ein funktionierendes IT-Sicherheitskonzept ist ein Mix aus präventiven Maßnahmen, standardisierten Prozessen für das Incident Management und einer Absicherung gegen finanzielle Schäden erforderlich. Cyberversicherungen decken nur den dritten Teil ab – vorausgesetzt, dass es funktionierende Risikomanagement-Prozesse im Unternehmen gibt, dass der Versicherungsbedarf klar definiert und die Police auf diese Anforderungen zugeschnitten ist. Ist dies erfüllt, bietet die Cyberversicherung für viel mittelständische Unternehmen mit digitaler Wertschöpfung einen gezielten Risikotransfer für hohe Einmalbelastungen durch Forensik, Wiederherstellung, Betriebsunterbrechung, Haftung und Reputationsschäden.

Warum Möhrle Happ Luther der richtige Partner für alle Fragen zur IT-Sicherheit ist

In der Zusammenarbeit mit Unternehmen der unterschiedlichsten Branchen konzentrieren wir uns auf praktische Lösungen, die unseren Kundinnen und Kunden wirklich weiterbringen. Dafür steigen wir tief in Ihr Unternehmen ein. Mit der vereinten Fachexpertise unserer multidisziplinären Teams und langjähriger Erfahrung erarbeiten wir gemeinsam erfolgreiche Strategien für Ihr IT-Risikomanagement.