Strategie

Cyberversicherung 2026:
was Versicherer verlangen, bevor sie zahlen

Der Antrag auf eine Cyber-Police beginnt heute mit einem Fragebogen zur eigenen IT. Wer ihn leichtfertig ausfüllt, bezahlt Beiträge für einen Schutz, der im Ernstfall angreifbar ist.

13 Min. Lesezeit10. Juli 2026

„Sichern Sie administrative Zugänge über eine Mehr-Faktor-Anmeldung ab?" – „Werden Datensicherungen getrennt vom Netzwerk aufbewahrt und regelmäßig auf Wiederherstellbarkeit geprüft?" Fragen dieser Art stehen inzwischen am Anfang fast jedes Antrags auf eine Cyberversicherung. Die Antworten entscheiden über Annahme, Beitrag und Selbstbehalt – und sie binden rechtlich.

Die Kurzfassung vorweg: Versicherer machen 2026 eine nachweisbare digitale Grundhygiene zur Bedingung für den Vertrag. Wer Mehr-Faktor-Anmeldung, geprüfte Datensicherungen, geregelte Updates, Zugriffsverwaltung, Mitarbeiter-Sensibilisierung und einen Notfallplan vorweisen kann, bekommt Schutz zu tragbaren Konditionen. Wer die Fragen schönt, riskiert, dass der Versicherer im Schadensfall kürzt oder vom Vertrag zurücktritt. Dieser Beitrag zeigt, welche Anforderungen üblich sind, welche Rechtsfolgen an den Antworten hängen und in welcher Reihenfolge sich offene Punkte schließen lassen.

Vom Antrag zur Leistung im Schadensfall

Vier Stationen, an denen die eigene IT-Sicherheit über die Police entscheidet

1. Risikofragebogen
Fragen zur ITWahrheitspflicht§ 19 VVG
Antrag
2. Grundschutz
MFA & BackupsUpdates & RechteSchulung & Plan
Voraussetzung
3. Police
ObliegenheitenÄnderungen meldenDokumentation
Laufender Vertrag
4. Schadensfall
Forensik & HilfePrüfung der AngabenLeistung
Ernstfall

Geprüft wird an Station 4 – entschieden wird an den Stationen 1 bis 3

Was eine Cyberversicherung abdeckt

Eine Cyberversicherung ist eine Unternehmensversicherung, die finanzielle Folgen von IT-Sicherheitsvorfällen trägt – etwa nach einem Verschlüsselungsangriff, einem Datenabfluss oder einer Betriebsunterbrechung durch ausgefallene Systeme. Typische Policen bündeln drei Leistungsblöcke.

  • Eigenschäden: Kosten für Wiederherstellung von Daten und Systemen, Ertragsausfall während der Betriebsunterbrechung, Mehrkosten für Übergangslösungen
  • Drittschäden: Haftpflichtansprüche von Kunden und Partnern, deren Daten oder Systeme durch den Vorfall betroffen sind, einschließlich Abwehr unberechtigter Ansprüche
  • Assistance-Leistungen: IT-Forensik, rechtliche Erstberatung, Unterstützung bei Meldepflichten und Krisenkommunikation – oft über eine Hotline rund um die Uhr

Gerade der dritte Block wird unterschätzt: Für einen mittelständischen Betrieb ohne eigene Sicherheitsabteilung ist der sofortige Zugriff auf erfahrene Forensiker und Fachanwälte im Ernstfall häufig wertvoller als die reine Geldleistung. Ob und in welchem Umfang diese Bausteine enthalten sind, unterscheidet sich je nach Tarif erheblich – ein Blick in die Bedingungen lohnt vor jedem Abschluss.

267 Mrd. €

Auf rund 267 Milliarden Euro pro Jahr beziffert der Digitalverband Bitkom den Schaden, der der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage entsteht – ein wesentlicher Teil davon entfällt auf Angriffe über digitale Kanäle.

Quelle: Bitkom, Studie „Wirtschaftsschutz 2024"

Warum Versicherer genauer hinschauen

In den Anfangsjahren der Sparte wurden Cyber-Policen teils mit wenigen Formularfragen abgeschlossen. Diese Phase ist vorbei. Hohe Schäden durch Verschlüsselungsangriffe haben die Kalkulation vieler Anbieter unter Druck gesetzt – die Reaktion darauf ist eine risikobasierte Zeichnungspraxis: Der Zustand der IT eines Antragstellers bestimmt, ob er überhaupt ein Angebot erhält, zu welchem Beitrag, mit welchem Selbstbehalt und mit welchen Ausschlüssen.

Für Betriebe hat das zwei praktische Konsequenzen. Erstens: Bestimmte Maßnahmen sind faktisch Eintrittskarte geworden – ohne Mehr-Faktor-Anmeldung für Fernzugänge oder ohne getrennte Datensicherung lehnen viele Anbieter den Antrag ab oder schließen genau die relevanten Schadensszenarien aus. Zweitens: Auch bestehende Verträge werden bei der Verlängerung neu bewertet. Ein Fragebogen, der vor drei Jahren noch locker ausfiel, kommt zur Erneuerung in deutlich detaillierterer Form zurück.

Diese Entwicklung hat eine erfreuliche Nebenwirkung: Die Anforderungslisten der Versicherer sind eine brauchbare, extern validierte Checkliste dafür, was an digitaler Grundhygiene heute als Minimum gilt – unabhängig davon, ob am Ende eine Police unterschrieben wird.

Der Risikofragebogen: Antworten mit Vertragswirkung

Der Risikofragebogen ist die strukturierte Selbstauskunft über den Zustand der eigenen IT, die der Versicherer vor Vertragsschluss einholt. Er fragt typischerweise nach Anmelde-Sicherheit, Datensicherung, Update-Praxis, Zugriffsrechten, Schulungen und Notfallvorsorge – bei größeren Deckungssummen zusätzlich im Gespräch mit einem technischen Prüfer.

Rechtlich sind diese Antworten weit mehr als eine Formalie. Für die Fragen des Versicherers gilt die vorvertragliche Anzeigepflicht nach § 19 VVG: Wer sie falsch oder unvollständig beantwortet, gibt dem Versicherer je nach Verschulden das Recht, vom Vertrag zurückzutreten, ihn zu kündigen oder die Bedingungen rückwirkend anzupassen. Der teuerste Zeitpunkt, an dem das auffällt, ist der Schadensfall – denn genau dann prüft der Versicherer die damaligen Angaben gegen den vorgefundenen Zustand.

Nach Vertragsschluss setzt sich die Bindung fort: Zugesagte Maßnahmen werden in der Police regelmäßig als Obliegenheiten vereinbart. Obliegenheiten sind Verhaltenspflichten des Versicherungsnehmers, deren Verletzung den Anspruch nach § 28 VVG mindern oder entfallen lassen kann. Läuft die zugesagte Datensicherung über Monate ins Leere oder wird die Mehr-Faktor-Anmeldung „vorübergehend" deaktiviert, steht im Ernstfall die Leistung zur Diskussion.

Häufiger Fehler:

Der Fragebogen wird von der Geschäftsführung nach bestem Wissen ausgefüllt – ohne Rücksprache mit der Person, die die IT tatsächlich betreut. So entstehen gutgläubige Falschangaben: Das Backup läuft „bestimmt", die Updates kommen „automatisch". Füllen Sie den Bogen gemeinsam mit dem internen oder externen IT-Verantwortlichen aus und legen Sie die Antworten als Kopie zur IT-Dokumentation.

Die sieben Anforderungen, die fast jeder Anbieter stellt

Die Fragebögen unterscheiden sich im Detail, der Kern ist branchenweit erstaunlich einheitlich. Sieben Bereiche tauchen praktisch überall auf – und jeder davon ist auch ohne Versicherungskontext eine sinnvolle Investition.

1. Mehr-Faktor-Anmeldung für kritische Zugänge

Verlangt wird ein zweiter Faktor mindestens für Fernzugänge, administrative Konten und den E-Mail-Zugriff von außen. Der Grund: Gestohlene oder erratene Passwörter sind einer der häufigsten Einstiegswege in Firmennetze, und ein zweiter Faktor entwertet sie weitgehend. Wer diesen Schritt geht, kann ihn direkt mit einer Modernisierung der Anmeldeverfahren verbinden – wie passwortlose Verfahren mit Passkeys funktionieren, haben wir in einem eigenen Beitrag beschrieben.

2. Getrennte, geprüfte Datensicherungen

Gefragt wird nach dreierlei: Existiert eine Sicherungskopie, die vom laufenden Netzwerk getrennt ist und von einem Angreifer im Netz nicht mitverschlüsselt werden kann? In welchem Rhythmus wird gesichert? Und – der Punkt, an dem viele Anträge ehrlicherweise stocken – wann wurde zuletzt eine Wiederherstellung tatsächlich geprobt? Die Kriterien decken sich mit dem, was wir zur 3-2-1-Regel der Datensicherung erläutert haben.

3. Geregelter Umgang mit Updates

Erwartet wird ein Prozess: Wer prüft in welchem Turnus, ob Betriebssysteme, Anwendungen und netzwerknahe Geräte aktuell sind, und wie schnell werden Korrekturen für bekannte Sicherheitslücken eingespielt? Manche Bedingungswerke schließen Schäden aus, die über eine seit Längerem öffentlich bekannte und ungepatchte Schwachstelle entstanden sind – ein Ausschluss mit erheblicher praktischer Reichweite.

4. Schutz von Endgeräten und Servern

Ein aktueller Schutz gegen Schadsoftware auf allen Arbeitsplätzen und Servern gilt als Selbstverständlichkeit; zunehmend gefragt sind darüber hinaus Lösungen, die verdächtiges Verhalten erkennen und melden, sowie eine zentrale Übersicht, welche Geräte überhaupt im Einsatz sind. Ein vergessenes Altsystem im Keller ist aus Versicherersicht ein offenes Fenster.

5. Zugriffsrechte und sauberes Offboarding

Gefragt wird, ob Mitarbeiter nur auf die Daten zugreifen können, die ihre Aufgabe erfordert, ob administrative Rechte auf wenige benannte Personen beschränkt sind – und ob Zugänge beim Ausscheiden zuverlässig deaktiviert werden. Wie ein solches Zugangs-Audit beim Mitarbeiter-Austritt in der Praxis abläuft, zeigt unser Beitrag dazu Schicht für Schicht.

6. Sensibilisierte Mitarbeiter

Viele Angriffe beginnen mit einer täuschend echten E-Mail. Versicherer fragen deshalb nach regelmäßigen, dokumentierten Schulungen zu Phishing, Betrugsmaschen und dem Umgang mit Zahlungsanweisungen. „Dokumentiert" ist hier das entscheidende Wort: Eine Unterschriftenliste oder ein Schulungsprotokoll macht aus der Behauptung einen Nachweis.

7. Ein Notfallplan mit Zuständigkeiten

Erwartet wird ein schriftlicher Plan, der festhält, wer im Ernstfall entscheidet, wie Systeme isoliert werden, welche Meldepflichten laufen und wie der Betrieb übergangsweise weiterarbeitet – samt Erreichbarkeiten, die auch ohne die betroffenen Systeme verfügbar sind. Welche Bausteine ein solches Vorsorge-Setup für den Web-Bereich umfasst, behandelt unser Beitrag zu Website-Notfällen und belastbaren Setups.

Vom Haken im Formular zum belastbaren Nachweis

Zwischen „machen wir" und „können wir belegen" liegt im Versicherungskontext der entscheidende Unterschied. Ein Haken im Fragebogen ist eine Tatsachenbehauptung; tragfähig wird sie erst durch Unterlagen, die den Zustand zum jeweiligen Zeitpunkt zeigen.

  • Sicherungs-Protokolle: automatische Berichte der Backup-Lösung plus datierte Notizen zu Wiederherstellungs-Tests
  • Update-Nachweise: Wartungsprotokolle oder Berichte aus der zentralen Verwaltung, aus denen Stand und Datum hervorgehen
  • Rechte-Übersicht: eine gepflegte Liste, wer worauf Zugriff hat, mit Datum der letzten Durchsicht
  • Schulungs-Dokumentation: Termine, Inhalte, Teilnehmer – formlos genügt, solange es datiert ist
  • Notfallplan mit Stand-Datum: inklusive Verteiler, damit belegbar ist, dass er die richtigen Personen erreicht hat

Diese Unterlagen erfüllen einen doppelten Zweck. Gegenüber dem Versicherer belegen sie im Schadensfall, dass die Angaben aus dem Antrag zutrafen und die Obliegenheiten eingehalten wurden. Intern zwingen sie zu einem ehrlichen Blick: Was sich nicht dokumentieren lässt, findet vermutlich nicht verlässlich statt.

Praxis-Tipp:

Legen Sie einen Jahrestermin „Versicherungs-Selbstauskunft" an: einmal jährlich den letzten Risikofragebogen hervorholen und jede Antwort gegen den tatsächlichen Stand prüfen. Abweichungen entweder beheben oder dem Versicherer melden. Der Termin kostet eine Stunde und verhindert die schleichende Entwertung der Police durch veraltete Angaben.

In welcher Reihenfolge Sie Lücken schließen

Wer den Fragebogen durchgeht und mehrere Punkte offen findet, muss priorisieren. Bewährt hat sich eine Reihenfolge nach Wirkung pro Aufwand – sie deckt sich weitgehend damit, welche Punkte Versicherer als Ausschlusskriterien behandeln.

  1. Mehr-Faktor-Anmeldung aktivieren: für E-Mail, Fernzugänge und Admin-Konten. In den meisten Umgebungen in Tagen umsetzbar und der größte einzelne Risiko-Hebel.
  2. Datensicherung härten und testen: eine getrennte Kopie einrichten, dann eine echte Wiederherstellung durchspielen und das Ergebnis datiert festhalten.
  3. Alt-Zugänge und Rechte aufräumen: ausgeschiedene Mitarbeiter, vergessene Dienstleister-Zugänge, überzählige Admin-Rechte – eine einmalige Inventur, danach ein fester Prozess.
  4. Update-Verantwortung festlegen: eine benannte Person, ein fester Turnus, ein kurzes Protokoll. Der Prozess zählt mehr als das Werkzeug.
  5. Team sensibilisieren: eine erste dokumentierte Schulung zu Phishing und Zahlungsbetrug ansetzen, danach im festen Rhythmus wiederholen.
  6. Notfallplan schreiben und verteilen: zwei Seiten mit Zuständigkeiten, Erreichbarkeiten und ersten Schritten genügen als Anfang – ein perfekter Plan, der nie fertig wird, hilft niemandem.
Vor dem Antrag: Fragebogen mit IT-Verantwortlichem durchgehen

Jede Antwort muss von der Person bestätigt sein, die den Zustand kennt

Zusagen in die IT-Dokumentation übernehmen

Was dem Versicherer zugesagt wurde, gehört in die interne Betriebsführung

Bedingungen auf Ausschlüsse prüfen

Ungepatchte bekannte Schwachstellen, Zahlungsbetrug, Innentäter – vor Abschluss klären

Jährliche Selbstauskunft terminieren

Angaben gegen den Ist-Zustand prüfen, Abweichungen beheben oder melden

Was die Police nicht auffängt

Eine Cyberversicherung ersetzt Geld. Vieles von dem, was ein schwerer Vorfall kostet, lässt sich damit nur teilweise ausgleichen: die Wochen, in denen das Team mit Wiederherstellung statt mit Aufträgen beschäftigt ist; Kunden, die während des Stillstands beim Wettbewerber bestellt haben und dort bleiben; das Vertrauen von Partnern, deren Daten betroffen waren. Auch Vertragsstrafen aus Lieferverzug und der Verlust von Know-how sind je nach Bedingungswerk nur begrenzt oder gar nicht gedeckt.

Dazu kommen die vertraglichen Grenzen: Selbstbehalte, Entschädigungsobergrenzen je Schadensart, Wartezeiten bei Betriebsunterbrechung und Ausschlüsse – etwa für Schäden durch lange bekannte, ungepatchte Schwachstellen oder für vorsätzliches Handeln im eigenen Haus. Wer die Police als Ersatz für Sicherheitsarbeit versteht, hat ihre Konstruktion missverstanden: Sie ist als Auffangnetz für das Restrisiko gebaut, das nach ordentlicher Vorsorge übrig bleibt.

Daraus folgt die nüchterne Einordnung: Der größte Wert des gesamten Prozesses liegt häufig in den Maßnahmen selbst. Ein Betrieb, der für den Antrag seine Anmeldeverfahren härtet, seine Sicherungen testet und seine Zugänge aufräumt, hat sein tatsächliches Risiko gesenkt – die Police macht anschließend den verbleibenden finanziellen Schaden planbar.

Lohnt sich der Abschluss für Ihren Betrieb?

Eine pauschale Antwort gibt es nicht, aber drei Fragen führen zu einer belastbaren Einschätzung. Erstens: Wie lange kann der Betrieb ohne seine zentralen Systeme arbeiten – Stunden, Tage oder Wochen? Je kürzer die Antwort, desto größer der Wert einer Betriebsunterbrechungs-Deckung. Zweitens: Welche Datenbestände Dritter liegen im Haus – Kundendaten, Konstruktionsdaten, Gesundheitsdaten? Je sensibler, desto relevanter der Haftpflicht-Baustein. Drittens: Gibt es im Ernstfall sofort verfügbare Fachleute für Forensik, Recht und Kommunikation? Falls nein, wiegt der Assistance-Baustein schwer.

Zunehmend entscheidet außerdem das Umfeld mit: Auftraggeber verlangen in Ausschreibungen und Rahmenverträgen immer öfter den Nachweis einer Cyber-Deckung oder definierter Sicherheitsmaßnahmen. Dann ist die Police Teil der Lieferfähigkeit – ähnlich wie eine Betriebshaftpflicht.

Für die Verhandlung gilt: Wer seine Grundhygiene nachweisen kann, verhandelt aus einer anderen Position. Vollständig beantwortete Fragebögen, dokumentierte Maßnahmen und ein geordneter Notfallplan wirken sich auf Annahme, Beitrag und Selbstbehalt aus – und sie verkürzen den Antragsprozess erheblich.

Häufig gestellte Fragen

Versicherbar ist, wer vorbereitet ist

Die Anforderungen der Versicherer beschreiben 2026 ziemlich genau das, was ein Betrieb ohnehin an digitaler Grundausstattung braucht: abgesicherte Zugänge, geprüfte Sicherungen, geregelte Updates, aufgeräumte Rechte, geschulte Mitarbeiter und einen Plan für den Ernstfall. Wer diese Punkte schließt, gewinnt doppelt – ein real gesenktes Risiko und eine Police, die im Ernstfall trägt, statt an den eigenen Angaben zu scheitern.

Der sinnvolle Startpunkt ist eine ehrliche Bestandsaufnahme entlang des Fragebogens, gemeinsam mit der Person, die die IT betreut. Was dabei offen bleibt, ist keine Blamage – es ist die Arbeitsliste für die nächsten Wochen, in der Reihenfolge, die oben beschrieben ist.

ÜBER DIE AUTORIN
Dagmar Seebo, CEO von ProXWorks®Dagmar Seebo

Dagmar Seebo, B.A., ist seit 1999 im E-Commerce tätig. Als CEO von ProXWorks® verbindet sie über 27 Jahre Marketing-Erfahrung mit digitalem Know-how.

Die Inhalte entstehen unter redaktioneller Verantwortung und fachlicher Prüfung unter Einsatz moderner KI-gestützter Systeme.

Antwort in 1 Werktag

Wir prüfen in 1 Werktag, welche Versicherer-Anforderungen Ihr Betrieb erfüllt – und wo Lücken offen sind.

Grundschutz-Check anfordern
ProXWorks® KI-News

KI-Entwicklungen fundiert eingeordnet.

Wöchentlich ein vollständiger Beitrag, der erklärt statt nur zu berichten. Werbefrei, jederzeit abbestellbar.

Zu den KI-News