Cyberversicherung 2026:
was Versicherer verlangen, bevor sie zahlen
Der Antrag auf eine Cyber-Police beginnt heute mit einem Fragebogen zur eigenen IT. Wer ihn leichtfertig ausfüllt, bezahlt Beiträge für einen Schutz, der im Ernstfall angreifbar ist.
„Sichern Sie administrative Zugänge über eine Mehr-Faktor-Anmeldung ab?" – „Werden Datensicherungen getrennt vom Netzwerk aufbewahrt und regelmäßig auf Wiederherstellbarkeit geprüft?" Fragen dieser Art stehen inzwischen am Anfang fast jedes Antrags auf eine Cyberversicherung. Die Antworten entscheiden über Annahme, Beitrag und Selbstbehalt – und sie binden rechtlich.
Die Kurzfassung vorweg: Versicherer machen 2026 eine nachweisbare digitale Grundhygiene zur Bedingung für den Vertrag. Wer Mehr-Faktor-Anmeldung, geprüfte Datensicherungen, geregelte Updates, Zugriffsverwaltung, Mitarbeiter-Sensibilisierung und einen Notfallplan vorweisen kann, bekommt Schutz zu tragbaren Konditionen. Wer die Fragen schönt, riskiert, dass der Versicherer im Schadensfall kürzt oder vom Vertrag zurücktritt. Dieser Beitrag zeigt, welche Anforderungen üblich sind, welche Rechtsfolgen an den Antworten hängen und in welcher Reihenfolge sich offene Punkte schließen lassen.
Vom Antrag zur Leistung im Schadensfall
Vier Stationen, an denen die eigene IT-Sicherheit über die Police entscheidet
Geprüft wird an Station 4 – entschieden wird an den Stationen 1 bis 3
Was eine Cyberversicherung abdeckt
Eine Cyberversicherung ist eine Unternehmensversicherung, die finanzielle Folgen von IT-Sicherheitsvorfällen trägt – etwa nach einem Verschlüsselungsangriff, einem Datenabfluss oder einer Betriebsunterbrechung durch ausgefallene Systeme. Typische Policen bündeln drei Leistungsblöcke.
- Eigenschäden: Kosten für Wiederherstellung von Daten und Systemen, Ertragsausfall während der Betriebsunterbrechung, Mehrkosten für Übergangslösungen
- Drittschäden: Haftpflichtansprüche von Kunden und Partnern, deren Daten oder Systeme durch den Vorfall betroffen sind, einschließlich Abwehr unberechtigter Ansprüche
- Assistance-Leistungen: IT-Forensik, rechtliche Erstberatung, Unterstützung bei Meldepflichten und Krisenkommunikation – oft über eine Hotline rund um die Uhr
Gerade der dritte Block wird unterschätzt: Für einen mittelständischen Betrieb ohne eigene Sicherheitsabteilung ist der sofortige Zugriff auf erfahrene Forensiker und Fachanwälte im Ernstfall häufig wertvoller als die reine Geldleistung. Ob und in welchem Umfang diese Bausteine enthalten sind, unterscheidet sich je nach Tarif erheblich – ein Blick in die Bedingungen lohnt vor jedem Abschluss.
Auf rund 267 Milliarden Euro pro Jahr beziffert der Digitalverband Bitkom den Schaden, der der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage entsteht – ein wesentlicher Teil davon entfällt auf Angriffe über digitale Kanäle.
Quelle: Bitkom, Studie „Wirtschaftsschutz 2024"Warum Versicherer genauer hinschauen
In den Anfangsjahren der Sparte wurden Cyber-Policen teils mit wenigen Formularfragen abgeschlossen. Diese Phase ist vorbei. Hohe Schäden durch Verschlüsselungsangriffe haben die Kalkulation vieler Anbieter unter Druck gesetzt – die Reaktion darauf ist eine risikobasierte Zeichnungspraxis: Der Zustand der IT eines Antragstellers bestimmt, ob er überhaupt ein Angebot erhält, zu welchem Beitrag, mit welchem Selbstbehalt und mit welchen Ausschlüssen.
Für Betriebe hat das zwei praktische Konsequenzen. Erstens: Bestimmte Maßnahmen sind faktisch Eintrittskarte geworden – ohne Mehr-Faktor-Anmeldung für Fernzugänge oder ohne getrennte Datensicherung lehnen viele Anbieter den Antrag ab oder schließen genau die relevanten Schadensszenarien aus. Zweitens: Auch bestehende Verträge werden bei der Verlängerung neu bewertet. Ein Fragebogen, der vor drei Jahren noch locker ausfiel, kommt zur Erneuerung in deutlich detaillierterer Form zurück.
Diese Entwicklung hat eine erfreuliche Nebenwirkung: Die Anforderungslisten der Versicherer sind eine brauchbare, extern validierte Checkliste dafür, was an digitaler Grundhygiene heute als Minimum gilt – unabhängig davon, ob am Ende eine Police unterschrieben wird.
Der Risikofragebogen: Antworten mit Vertragswirkung
Der Risikofragebogen ist die strukturierte Selbstauskunft über den Zustand der eigenen IT, die der Versicherer vor Vertragsschluss einholt. Er fragt typischerweise nach Anmelde-Sicherheit, Datensicherung, Update-Praxis, Zugriffsrechten, Schulungen und Notfallvorsorge – bei größeren Deckungssummen zusätzlich im Gespräch mit einem technischen Prüfer.
Rechtlich sind diese Antworten weit mehr als eine Formalie. Für die Fragen des Versicherers gilt die vorvertragliche Anzeigepflicht nach § 19 VVG: Wer sie falsch oder unvollständig beantwortet, gibt dem Versicherer je nach Verschulden das Recht, vom Vertrag zurückzutreten, ihn zu kündigen oder die Bedingungen rückwirkend anzupassen. Der teuerste Zeitpunkt, an dem das auffällt, ist der Schadensfall – denn genau dann prüft der Versicherer die damaligen Angaben gegen den vorgefundenen Zustand.
Nach Vertragsschluss setzt sich die Bindung fort: Zugesagte Maßnahmen werden in der Police regelmäßig als Obliegenheiten vereinbart. Obliegenheiten sind Verhaltenspflichten des Versicherungsnehmers, deren Verletzung den Anspruch nach § 28 VVG mindern oder entfallen lassen kann. Läuft die zugesagte Datensicherung über Monate ins Leere oder wird die Mehr-Faktor-Anmeldung „vorübergehend" deaktiviert, steht im Ernstfall die Leistung zur Diskussion.
Der Fragebogen wird von der Geschäftsführung nach bestem Wissen ausgefüllt – ohne Rücksprache mit der Person, die die IT tatsächlich betreut. So entstehen gutgläubige Falschangaben: Das Backup läuft „bestimmt", die Updates kommen „automatisch". Füllen Sie den Bogen gemeinsam mit dem internen oder externen IT-Verantwortlichen aus und legen Sie die Antworten als Kopie zur IT-Dokumentation.
Die sieben Anforderungen, die fast jeder Anbieter stellt
Die Fragebögen unterscheiden sich im Detail, der Kern ist branchenweit erstaunlich einheitlich. Sieben Bereiche tauchen praktisch überall auf – und jeder davon ist auch ohne Versicherungskontext eine sinnvolle Investition.
1. Mehr-Faktor-Anmeldung für kritische Zugänge
Verlangt wird ein zweiter Faktor mindestens für Fernzugänge, administrative Konten und den E-Mail-Zugriff von außen. Der Grund: Gestohlene oder erratene Passwörter sind einer der häufigsten Einstiegswege in Firmennetze, und ein zweiter Faktor entwertet sie weitgehend. Wer diesen Schritt geht, kann ihn direkt mit einer Modernisierung der Anmeldeverfahren verbinden – wie passwortlose Verfahren mit Passkeys funktionieren, haben wir in einem eigenen Beitrag beschrieben.
2. Getrennte, geprüfte Datensicherungen
Gefragt wird nach dreierlei: Existiert eine Sicherungskopie, die vom laufenden Netzwerk getrennt ist und von einem Angreifer im Netz nicht mitverschlüsselt werden kann? In welchem Rhythmus wird gesichert? Und – der Punkt, an dem viele Anträge ehrlicherweise stocken – wann wurde zuletzt eine Wiederherstellung tatsächlich geprobt? Die Kriterien decken sich mit dem, was wir zur 3-2-1-Regel der Datensicherung erläutert haben.
3. Geregelter Umgang mit Updates
Erwartet wird ein Prozess: Wer prüft in welchem Turnus, ob Betriebssysteme, Anwendungen und netzwerknahe Geräte aktuell sind, und wie schnell werden Korrekturen für bekannte Sicherheitslücken eingespielt? Manche Bedingungswerke schließen Schäden aus, die über eine seit Längerem öffentlich bekannte und ungepatchte Schwachstelle entstanden sind – ein Ausschluss mit erheblicher praktischer Reichweite.
4. Schutz von Endgeräten und Servern
Ein aktueller Schutz gegen Schadsoftware auf allen Arbeitsplätzen und Servern gilt als Selbstverständlichkeit; zunehmend gefragt sind darüber hinaus Lösungen, die verdächtiges Verhalten erkennen und melden, sowie eine zentrale Übersicht, welche Geräte überhaupt im Einsatz sind. Ein vergessenes Altsystem im Keller ist aus Versicherersicht ein offenes Fenster.
5. Zugriffsrechte und sauberes Offboarding
Gefragt wird, ob Mitarbeiter nur auf die Daten zugreifen können, die ihre Aufgabe erfordert, ob administrative Rechte auf wenige benannte Personen beschränkt sind – und ob Zugänge beim Ausscheiden zuverlässig deaktiviert werden. Wie ein solches Zugangs-Audit beim Mitarbeiter-Austritt in der Praxis abläuft, zeigt unser Beitrag dazu Schicht für Schicht.
6. Sensibilisierte Mitarbeiter
Viele Angriffe beginnen mit einer täuschend echten E-Mail. Versicherer fragen deshalb nach regelmäßigen, dokumentierten Schulungen zu Phishing, Betrugsmaschen und dem Umgang mit Zahlungsanweisungen. „Dokumentiert" ist hier das entscheidende Wort: Eine Unterschriftenliste oder ein Schulungsprotokoll macht aus der Behauptung einen Nachweis.
7. Ein Notfallplan mit Zuständigkeiten
Erwartet wird ein schriftlicher Plan, der festhält, wer im Ernstfall entscheidet, wie Systeme isoliert werden, welche Meldepflichten laufen und wie der Betrieb übergangsweise weiterarbeitet – samt Erreichbarkeiten, die auch ohne die betroffenen Systeme verfügbar sind. Welche Bausteine ein solches Vorsorge-Setup für den Web-Bereich umfasst, behandelt unser Beitrag zu Website-Notfällen und belastbaren Setups.
Vom Haken im Formular zum belastbaren Nachweis
Zwischen „machen wir" und „können wir belegen" liegt im Versicherungskontext der entscheidende Unterschied. Ein Haken im Fragebogen ist eine Tatsachenbehauptung; tragfähig wird sie erst durch Unterlagen, die den Zustand zum jeweiligen Zeitpunkt zeigen.
- Sicherungs-Protokolle: automatische Berichte der Backup-Lösung plus datierte Notizen zu Wiederherstellungs-Tests
- Update-Nachweise: Wartungsprotokolle oder Berichte aus der zentralen Verwaltung, aus denen Stand und Datum hervorgehen
- Rechte-Übersicht: eine gepflegte Liste, wer worauf Zugriff hat, mit Datum der letzten Durchsicht
- Schulungs-Dokumentation: Termine, Inhalte, Teilnehmer – formlos genügt, solange es datiert ist
- Notfallplan mit Stand-Datum: inklusive Verteiler, damit belegbar ist, dass er die richtigen Personen erreicht hat
Diese Unterlagen erfüllen einen doppelten Zweck. Gegenüber dem Versicherer belegen sie im Schadensfall, dass die Angaben aus dem Antrag zutrafen und die Obliegenheiten eingehalten wurden. Intern zwingen sie zu einem ehrlichen Blick: Was sich nicht dokumentieren lässt, findet vermutlich nicht verlässlich statt.
Legen Sie einen Jahrestermin „Versicherungs-Selbstauskunft" an: einmal jährlich den letzten Risikofragebogen hervorholen und jede Antwort gegen den tatsächlichen Stand prüfen. Abweichungen entweder beheben oder dem Versicherer melden. Der Termin kostet eine Stunde und verhindert die schleichende Entwertung der Police durch veraltete Angaben.
In welcher Reihenfolge Sie Lücken schließen
Wer den Fragebogen durchgeht und mehrere Punkte offen findet, muss priorisieren. Bewährt hat sich eine Reihenfolge nach Wirkung pro Aufwand – sie deckt sich weitgehend damit, welche Punkte Versicherer als Ausschlusskriterien behandeln.
- Mehr-Faktor-Anmeldung aktivieren: für E-Mail, Fernzugänge und Admin-Konten. In den meisten Umgebungen in Tagen umsetzbar und der größte einzelne Risiko-Hebel.
- Datensicherung härten und testen: eine getrennte Kopie einrichten, dann eine echte Wiederherstellung durchspielen und das Ergebnis datiert festhalten.
- Alt-Zugänge und Rechte aufräumen: ausgeschiedene Mitarbeiter, vergessene Dienstleister-Zugänge, überzählige Admin-Rechte – eine einmalige Inventur, danach ein fester Prozess.
- Update-Verantwortung festlegen: eine benannte Person, ein fester Turnus, ein kurzes Protokoll. Der Prozess zählt mehr als das Werkzeug.
- Team sensibilisieren: eine erste dokumentierte Schulung zu Phishing und Zahlungsbetrug ansetzen, danach im festen Rhythmus wiederholen.
- Notfallplan schreiben und verteilen: zwei Seiten mit Zuständigkeiten, Erreichbarkeiten und ersten Schritten genügen als Anfang – ein perfekter Plan, der nie fertig wird, hilft niemandem.
Jede Antwort muss von der Person bestätigt sein, die den Zustand kennt
Was dem Versicherer zugesagt wurde, gehört in die interne Betriebsführung
Ungepatchte bekannte Schwachstellen, Zahlungsbetrug, Innentäter – vor Abschluss klären
Angaben gegen den Ist-Zustand prüfen, Abweichungen beheben oder melden
Was die Police nicht auffängt
Eine Cyberversicherung ersetzt Geld. Vieles von dem, was ein schwerer Vorfall kostet, lässt sich damit nur teilweise ausgleichen: die Wochen, in denen das Team mit Wiederherstellung statt mit Aufträgen beschäftigt ist; Kunden, die während des Stillstands beim Wettbewerber bestellt haben und dort bleiben; das Vertrauen von Partnern, deren Daten betroffen waren. Auch Vertragsstrafen aus Lieferverzug und der Verlust von Know-how sind je nach Bedingungswerk nur begrenzt oder gar nicht gedeckt.
Dazu kommen die vertraglichen Grenzen: Selbstbehalte, Entschädigungsobergrenzen je Schadensart, Wartezeiten bei Betriebsunterbrechung und Ausschlüsse – etwa für Schäden durch lange bekannte, ungepatchte Schwachstellen oder für vorsätzliches Handeln im eigenen Haus. Wer die Police als Ersatz für Sicherheitsarbeit versteht, hat ihre Konstruktion missverstanden: Sie ist als Auffangnetz für das Restrisiko gebaut, das nach ordentlicher Vorsorge übrig bleibt.
Daraus folgt die nüchterne Einordnung: Der größte Wert des gesamten Prozesses liegt häufig in den Maßnahmen selbst. Ein Betrieb, der für den Antrag seine Anmeldeverfahren härtet, seine Sicherungen testet und seine Zugänge aufräumt, hat sein tatsächliches Risiko gesenkt – die Police macht anschließend den verbleibenden finanziellen Schaden planbar.
Lohnt sich der Abschluss für Ihren Betrieb?
Eine pauschale Antwort gibt es nicht, aber drei Fragen führen zu einer belastbaren Einschätzung. Erstens: Wie lange kann der Betrieb ohne seine zentralen Systeme arbeiten – Stunden, Tage oder Wochen? Je kürzer die Antwort, desto größer der Wert einer Betriebsunterbrechungs-Deckung. Zweitens: Welche Datenbestände Dritter liegen im Haus – Kundendaten, Konstruktionsdaten, Gesundheitsdaten? Je sensibler, desto relevanter der Haftpflicht-Baustein. Drittens: Gibt es im Ernstfall sofort verfügbare Fachleute für Forensik, Recht und Kommunikation? Falls nein, wiegt der Assistance-Baustein schwer.
Zunehmend entscheidet außerdem das Umfeld mit: Auftraggeber verlangen in Ausschreibungen und Rahmenverträgen immer öfter den Nachweis einer Cyber-Deckung oder definierter Sicherheitsmaßnahmen. Dann ist die Police Teil der Lieferfähigkeit – ähnlich wie eine Betriebshaftpflicht.
Für die Verhandlung gilt: Wer seine Grundhygiene nachweisen kann, verhandelt aus einer anderen Position. Vollständig beantwortete Fragebögen, dokumentierte Maßnahmen und ein geordneter Notfallplan wirken sich auf Annahme, Beitrag und Selbstbehalt aus – und sie verkürzen den Antragsprozess erheblich.
Häufig gestellte Fragen
Die meisten Anbieter prüfen sieben Bereiche: Mehr-Faktor-Anmeldung für wichtige Zugänge, getrennte und auf Wiederherstellbarkeit geprüfte Datensicherungen, einen geregelten Update-Prozess, Schutz von Endgeräten und Servern, sauber vergebene Zugriffsrechte samt Offboarding, dokumentierte Mitarbeiter-Sensibilisierung und einen Notfallplan mit klaren Zuständigkeiten. Je nach Betriebsgröße und Branche kommen weitere Punkte hinzu, etwa Netzwerk-Segmentierung oder Anforderungen an externe IT-Dienstleister.
Falsche Angaben im Risikofragebogen verletzen die vorvertragliche Anzeigepflicht nach § 19 VVG. Der Versicherer kann dann je nach Verschulden vom Vertrag zurücktreten, ihn kündigen oder die Bedingungen rückwirkend anpassen – im ungünstigsten Fall entfällt der Schutz genau dann, wenn er gebraucht wird. Wer beim Ausfüllen unsicher war oder sich die Lage seither geändert hat, sollte die Angaben aktiv gegenüber dem Versicherer korrigieren, bevor ein Schaden eintritt.
Ja. Zugesagte Sicherheitsmaßnahmen werden in der Police häufig als Obliegenheiten vereinbart. Wird eine davon verletzt – etwa weil die zugesagte Datensicherung monatelang nicht lief –, darf der Versicherer die Leistung nach § 28 VVG entsprechend der Schwere des Verschuldens kürzen, bei Vorsatz kann sie ganz entfallen. Ob die Verletzung für den konkreten Schaden ursächlich war, spielt dabei eine Rolle. Verlässlich schützt nur, was im Betrieb tatsächlich gelebt und dokumentiert wird.
Nein. Die Police überträgt einen Teil des finanziellen Restrisikos auf den Versicherer – Betriebsstillstand, verlorenes Kundenvertrauen und der Aufwand der Wiederherstellung bleiben trotzdem im Unternehmen. Hinzu kommt: Ohne nachweisbare Grundmaßnahmen kommt heute vielfach gar kein Vertrag mehr zustande oder die Konditionen verschlechtern sich deutlich. Sinnvoll ist die Reihenfolge Grundschutz zuerst, Police als Ergänzung für das, was sich technisch nicht ausschließen lässt.
Wesentliche Änderungen, die das versicherte Risiko erhöhen, sind anzeigepflichtig – das regeln die §§ 23 ff. VVG zur Gefahrerhöhung und die Bedingungen der jeweiligen Police. Beispiele: Ein zugesagtes Schutzsystem wird abgeschaltet, ein neuer Standort kommt hinzu, kritische Prozesse wandern zu einem externen Dienstleister. Empfehlenswert ist, Policen-Zusagen in die interne IT-Dokumentation aufzunehmen, damit bei jeder Änderung geprüft wird, ob sie den Vertrag berührt.
In der Regel ja – fahrlässiges Verhalten einzelner Mitarbeiter gehört zum Kernbereich dessen, was eine Cyberversicherung abdecken soll. Entscheidend sind die konkreten Bedingungen: Manche Tarife enthalten Klauseln zu grober Fahrlässigkeit, zu vorsätzlichem Handeln von Innentätern oder zu Zahlungsbetrug per manipulierter Überweisung, der teils nur als Zusatzbaustein versichert ist. Genau diese Konstellationen sollten vor Abschluss durchgespielt werden, weil sie in der Praxis die häufigsten Schadenwege sind.
Versicherbar ist, wer vorbereitet ist
Die Anforderungen der Versicherer beschreiben 2026 ziemlich genau das, was ein Betrieb ohnehin an digitaler Grundausstattung braucht: abgesicherte Zugänge, geprüfte Sicherungen, geregelte Updates, aufgeräumte Rechte, geschulte Mitarbeiter und einen Plan für den Ernstfall. Wer diese Punkte schließt, gewinnt doppelt – ein real gesenktes Risiko und eine Police, die im Ernstfall trägt, statt an den eigenen Angaben zu scheitern.
Der sinnvolle Startpunkt ist eine ehrliche Bestandsaufnahme entlang des Fragebogens, gemeinsam mit der Person, die die IT betreut. Was dabei offen bleibt, ist keine Blamage – es ist die Arbeitsliste für die nächsten Wochen, in der Reihenfolge, die oben beschrieben ist.
Wir prüfen in 1 Werktag, welche Versicherer-Anforderungen Ihr Betrieb erfüllt – und wo Lücken offen sind.
KI-Entwicklungen fundiert eingeordnet.
Wöchentlich ein vollständiger Beitrag, der erklärt statt nur zu berichten. Werbefrei, jederzeit abbestellbar.
Zu den KI-News