Cyberversicherungen: Wie Unternehmen Restrisiken finanziell absichern

Trotz ausgefeilter Sicherheitskonzepte bleibt ein finanzielles Restrisiko. Cyberversicherungen springen ein, wenn Schutzmaßnahmen versagen, doch Versicherer prüfen die IT-Sicherheitskonzepte heute akribisch und lehnen schwache Kandidaten konsequent ab.

Cyberangriffe kosten die deutsche Wirtschaft Rekordsummen: 266,6 Milliarden Euro Gesamtschaden entstanden im Jahr 2024, davon 178,6 Milliarden Euro durch digitale Attacken – so eine aktuelle Bitkom-Studie. Bei erfolgreichen Angriffen helfen Cyberpolicen nicht nur finanziell, sondern stellen auch IT-Forensiker, Rechtsberatung und professionelles Krisenmanagement bereit.

Versicherungsmarkt: Cyberpolicen erleben Nachfrageboom

Der Cyberversicherungsmarkt expandiert: Munich Re beziffert das weltweite Prämienvolumen 2024 auf 15,3 Milliarden Dollar. Bis 2030 rechnet der Rückversicherer mit einer Verdoppelung – trotz Wachstumsdelle in den Jahren 2023 und 2024.

Hierzulande haben laut GDV inzwischen 261.000 Firmen eine Cyberpolice abgeschlossen, 16 Prozent mehr als im Jahr 2023. Die Schadensfälle steigen jedoch noch schneller: plus 18,7 Prozent. 2023 zahlten Versicherer rund 180 Millionen Euro für Cyberschäden – ein Sprung von 50 Prozent gegenüber dem Vorjahr. Pro Fall flossen durchschnittlich 45.370 Euro.

In der Schweiz verfügen laut SVV nur 8,7 Prozent der Unternehmen über eine Cyberpolice. Für Österreich fehlen aktuelle Versicherungszahlen, aber eine KPMG-Studie zeigt: Jeder siebte Cyberangriff ist erfolgreich, und bei jedem dritten Unternehmen (32 Prozent) wirken sich Angriffe auf Lieferanten direkt aufs eigene Geschäft aus.

Deckungsumfang: Cyberpolicen mindern Krisenschäden

Cyberversicherungen unterscheiden zwei Schadensarten: Eigenschäden treffen das eigene Unternehmen direkt, Drittschäden betreffen Kunden oder Geschäftspartner. Die konkreten Leistungen variieren erheblich – je nach Anbieter.

Bei Eigenschäden übernehmen Versicherer typischerweise:

  • Ausfallkosten bei Betriebsunterbrechungen
  • Wiederherstellungskosten für verlorene Daten
  • Honorare für IT-Forensiker zur Aufklärung des Angriffs
  • Rechtsberatung bei Datenschutzvorfällen
  • Kosten für Krisenkommunikation und Kundenservice

Bei Drittschäden decken die Policen meist ab:

  • Schadensersatzforderungen von Kunden oder Partnern
  • Juristische Abwehr unberechtigter Ansprüche
  • Rechtskosten bei Auseinandersetzungen mit Geschädigten

Doch nicht jeder Schaden löst Zahlungen aus, wie ein aktuelles Urteil zeigt: Das Landgericht Hagen wies die Klage eines Unternehmens ab, das durch gefälschte E-Mails 85.000 Euro an Betrüger überwiesen hatte. Der Grund: Die Angreifer hatten nicht die IT-Systeme des Versicherungsnehmers geknackt, sondern die eines Lieferanten.

Das Gericht urteilte, dass für den Versicherungsschutz eine Beeinträchtigung der eigenen Systeme des Versicherungsnehmers vorliegen muss, nicht nur mittelbare Auswirkungen von Angriffen auf Dritte. Eine wichtige Lektion für alle, die ihre digitalen Lieferketten  absichern wollen.

IT-Sicherheit: Versicherer prüfen Kunden akribisch

Versicherer filtern potenzielle Kunden heute deutlich strenger als früher. Die Musterbedingungen des GDV (AVB Cyber) nennen mehrere Maßnahmen als Basis für ein angemessenes IT-Sicherheitsniveau. Dazu zählen:

  • Automatisch aktualisierter Schadsoftwareschutz auf allen Systemen
  • Firewalls und Multi-Faktor-Authentifizierung für Hochrisikobereiche
  • Personalisierte Zugänge mit abgestuften Berechtigungsebenen
  • Passwörter nach aktuellen technischen Sicherheitsstandards
  • Systematisches Verfahren zur zeitnahen Installation von Updates
  • Regelmäßige Datensicherungen mit nachgewiesener Wiederherstellbarkeit

Die Prüfung verläuft meist mehrstufig: Erst müssen Firmen detaillierte Fragebögen ausfüllen, dann folgen Gespräche mit den Sicherheitsexperten des Versicherers. Bei größeren Unternehmen verlangen manche Anbieter sogar Penetrationstests, um die Widerstandsfähigkeit praktisch zu prüfen.

Die Hürden für Cyberpolicen steigen steil an. Der „Cyber-Monitor 2025“ von MRTK belegt: Versicherer lehnen mittlerweile 31 Prozent aller Anträge ab – deutlich mehr als noch im Vorjahr. Die Gründe liegen auf der Hand: geschärftes Risikobewusstsein der Anbieter, strengere Richtlinien und mangelnde IT-Sicherheit bei den Antragstellern. Die Botschaft kommt unmissverständlich an: Ohne solide digitale Schutzmaßnahmen gibt es keine Police!

Wer eine Cyberversicherung abschließen will, sollte zuerst die eigene IT-Sicherheit auf Vordermann bringen. Diese Investition zahlt sich doppelt aus: weniger Angriffsfläche für Hacker und bessere Chancen auf günstige Versicherungskonditionen.

Cybersicherheitsexperten überwachen in einem hochmodernen Kontrollzentrum Netzwerke auf verdächtige Aktivitäten und potenzielle Bedrohungen.
Versicherer untersuchen die Kundensysteme auf Schwachstellen und Sicherheitsrisiken.
Die Prüfung erfolgt zunehmend nach strengen Kriterien. (Bild: Google Gemini/stk)

Digitale Souveränität: Zero-Trust-Prinzip verbessert Konditionen

Digitale Souveränität – die eigenständige Kontrolle über IT-Infrastruktur und Datenflüsse – entwickelt sich zum entscheidenden Faktor bei der Risikobewertung durch Versicherer. Unternehmen mit nachweisbarer IT-Kontrolle sichern sich deutlich bessere Konditionen.

Zero-Trust-Konzepte spielen dabei eine zentrale Rolle. ESET beschreibt ein vierstufiges Reifegradmodell vom Basisschutz bis zum ganzheitlichen Sicherheitslagebild. Ein höherer Reifegrad verbessert die Verhandlungsposition bei Versicherern erheblich.

Fortschrittliche Versicherer wie Baobab bevorzugen automatisierte Schwachstellenscans gegenüber zeitaufwendigen Fragebögen. Wer in souveräne IT-Strukturen investiert, profitiert dreifach: bessere Datenkontrolle, geringeres Angriffsrisiko und günstigere Versicherungstarife.

Kosten-Nutzen-Rechnung: Branchenfaktoren bestimmen Versicherungsbedarf

Die Kosten einer Cyberpolice variieren erheblich. Entscheidend ist vor allem die Deckungssumme, die meist zwischen 50.000 Euro und zehn Millionen Euro liegt. Auch der Selbstbehalt hat erheblichen Einfluss auf die Prämie – meist liegt er zwischen 1.000 und 5.000 Euro oder entspricht einer Ausfallzeit von vier bis 24 Stunden.

Im Branchenreport von ZEW taucht eine überraschende Zahl auf: Fast jede zweite IKT-Firma (47 Prozent) besitzt inzwischen eine Cyberversicherung. Zudem hängt die Versicherungsquote in der Informationswirtschaft direkt von der Firmengröße ab. Kleinbetriebe mit 5 bis 19 Mitarbeitern liegen bei 46 Prozent, mittlere Unternehmen (20 bis 99 Mitarbeiter) erreichen 59 Prozent.

Zwischen den Branchen klaffen erhebliche Lücken, die Chemie- und Pharmaindustrie sichert sich mit 58 Prozent am häufigsten ab. Als Gründe dafür führt die Studie den erhöhten Schutzbedarf und die potenziell verheerenden finanziellen Auswirkungen von IT-Ausfällen an.

Wie teuer ein Verzicht auf Versicherungsschutz werden kann, zeigt der Fall Change Healthcare: Nach einem massiven Cyberangriff Anfang 2024 summierten sich die Kosten auf über 1,3 Milliarden Dollar. Der Mutterkonzern UnitedHealth hatte keine Cyberpolice abgeschlossen – ein Fehler mit verheerenden finanziellen Folgen und Reputationsschäden.

Ransomware: Erpressungstrojaner richten extreme Schäden an

Ransomware treibt Versicherern den Schweiß auf die Stirn. Die „NetDiligence Cyber Claims Study“ zeigt: Erpressungstrojaner verursachten zwischen 2018 und 2022 satte 85 Prozent aller Schadensmeldungen. KMUs zahlen pro Vorfall durchschnittlich 850.000 US-Dollar – zuzüglich eines möglichen Lösegelds von rund 555.000 US-Dollar.

Das BSI rät dringend von Lösegeldzahlungen ab, da sie das Geschäftsmodell der Kriminellen befeuern. Trotzdem decken manche Versicherer solche Zahlungen – kalkulierend, dass dies günstiger sein könnte als lange Betriebsausfälle. Doch angesichts der Ransomware-Flut kappen immer mehr Anbieter diese Deckung oder streichen sie ganz.

Versicherer setzen zunehmend auf spezielle Ransomware-Readiness-Prüfungen und professionelle Verhandler. Die Insurer Coalition berichtet von beachtlichen Erfolgen: Ihre Spezialisten konnten die Lösegeldzahlungen um durchschnittlich 64 Prozent drücken.

Der Fall Change Healthcare zeigt eine bittere Wahrheit: Trotz 22 Millionen US-Dollar Lösegeld blieb die Lage unverändert. Das Fazit: Lösegeldzahlungen führen oft nur zu weiteren Erpressungsversuchen, ohne die eigentlichen Probleme zu lösen.

Praxisempfehlungen: Eine klare Strategie führt zur besten Police

Für einen erfolgreichen Versicherungsabschluss empfehlen sich vier konkrete Schritte, die Unternehmen systematisch durch den Prozess führen. Eine durchdachte Vorbereitung verbessert nicht nur die Chancen auf Annahme des Versicherungsantrags, sondern sichert auch bessere Konditionen.

  1. IT-Bestandsaufnahme durchführen: Dokumentieren Sie Ihre Sicherheitsmaßnahmen und identifizieren Sie Schwachstellen. Eine ehrliche Selbstanalyse verhindert Ablehnungen.
  2. Versicherer vergleichen: Holen Sie mehrere Angebote ein und prüfen Sie die Branchenerfahrung der Anbieter. Spezialisten bieten oft passendere Lösungen.
  3. Verhandlungsposition ausbauen: Verbessern Sie Ihre IT-Sicherheit für bessere Konditionen. Laut Handelsblatt sanken die Prämien zuletzt dank verstärkten Wettbewerbs deutlich.
  4. Sicherheitsstrategie integrieren: Betrachten Sie die Cyberversicherung als Ergänzung Ihrer Schutzmaßnahmen und nicht als Ersatz.

Lesen Sie die Versicherungsbedingungen gründlich, besonders die Ausschlussklauseln. Klären Sie vorab, wie der Versicherer mit Schadensfällen umgeht, bei denen staatliche Akteure als Verursacher vermutet werden.

Achten Sie auf Überschneidungen mit bestehenden Versicherungen. Manche Anbieter nutzen Subsidiaritätsklauseln, die ihre Leistungspflicht einschränken. Solche Klauseln sollten Sie vermeiden, um nicht zwischen verschiedenen Versicherern hin- und hergeschoben zu werden, wenn es zum Schadensfall kommt.

Zukunftsperspektiven: EU-Regularien prägen den Markt

Der Cyberversicherungsmarkt entwickelt sich dynamisch: Versicherer minimieren ihre Risiken durch verschärfte Prüfungen, regelmäßige Prämienanpassungen und höhere Transparenzanforderungen. Neue EU-Verordnungen wie die DSGVO, NIS 2 und DORA zwingen zur Anpassung der Policen. Parallel sorgt KI für ein Wettrüsten zwischen Versicherern und Hackern.

Der Internationale Währungsfonds berichtet: Die schwersten Cyberschäden (definiert als die oberen zehn Prozent der Verluste) haben seit 2017 um 400 Prozent zugelegt. Cyberversicherungen gewinnen zunehmend an Bedeutung im Risikomanagement – vor allem bei Großunternehmen. Im Mittelstand besteht hingegen noch eine erhebliche Versicherungslücke.

Fazit: Cyberpolicen stärken die digitale Resilienz

Cyberversicherungen haben sich vom Nischenprodukt zum Standardbaustein der Unternehmenssicherheit entwickelt. Sie federn finanzielle Folgen von Angriffen ab und bieten im Ernstfall Expertenunterstützung. Die hohen Anforderungen der Versicherer fördern gleichzeitig souveräne IT-Infrastrukturen, von denen Unternehmen doppelt profitieren: durch bessere Versicherungskonditionen und eine höhere digitale Widerstandsfähigkeit.

Für die Zukunft zeichnet sich eine noch engere Verzahnung von Cybersicherheit und Versicherungsschutz ab. Angesichts steigender Bedrohungen avancieren Cyberpolicen zum strategischen Element im Risikomanagement. Wer heute in IT-Sicherheit und passenden Versicherungsschutz investiert, stärkt seine Position im digitalen Wettbewerb.

Autor: Stefan Kuhn