Cyber-Versicherung für Unternehmen: Wann sinnvoll, was sie abdeckt

Ein einziger Klick auf eine Phishing-Mail — und dein Unternehmen steht still. Kundendaten verschlüsselt, Server gesperrt, Erpresserforderung auf dem Bildschirm. Was nach Hollywood klingt, ist 2026 Alltag für deutsche Unternehmen. Laut BSI-Lagebericht wurden allein im vergangenen Jahr über 70 % der kleinen und mittleren Unternehmen mindestens einmal Opfer eines Cyberangriffs. Die durchschnittlichen Cyberangriff-Kosten für ein KMU liegen bei 95.000 bis 200.000 Euro — je nach Branche und Ausfallzeit. Und trotzdem haben weniger als 30 % der deutschen Mittelständler eine Cyber Versicherung Unternehmen.

Als Financial Consultant sehe ich das Thema Cyber Risk in fast jedem Gespräch mit Unternehmern. Die IT-Bedrohungslage hat sich in den letzten drei Jahren so rasant verändert, dass klassische Haftpflichtpolicen längst nicht mehr ausreichen. In diesem Artikel zeige ich dir, was eine Cyberversicherung konkret abdeckt, was sie kostet, welche Obliegenheiten du erfüllen musst — und für wen sie sich wirklich lohnt.

Cyberangriffe auf KMU: Warum gerade kleine Unternehmen betroffen sind

Viele Unternehmer denken: "Uns trifft das nicht, wir sind zu klein." Genau das Gegenteil ist der Fall. Cyberkriminelle greifen bewusst KMU an, weil sie wissen, dass dort die IT-Sicherheit oft schwächer ist als bei Konzernen. Ein Handwerksbetrieb mit 15 Mitarbeitern hat in der Regel keinen eigenen IT-Sicherheitsbeauftragten, keine segmentierten Netzwerke und kein professionelles Patch-Management.

Die häufigsten Angriffsszenarien im Mittelstand 2026:

Ransomware: Schadsoftware verschlüsselt deine gesamten Unternehmensdaten. Die Angreifer fordern Lösegeld — oft zwischen 10.000 und 500.000 Euro, je nach Unternehmensgröße. Selbst wenn du zahlst, ist nicht garantiert, dass du deine Daten zurückbekommst. Die forensische Analyse nach einem Ransomware-Angriff kostet allein schon 15.000 bis 40.000 Euro.

Datenleck und Datendiebstahl: Kundendaten, Mitarbeiterdaten, Geschäftsgeheimnisse — alles, was digital gespeichert ist, kann gestohlen werden. Bei einem Datenleck greift die DSGVO: Du musst innerhalb von 72 Stunden die Datenschutzbehörde informieren und alle Betroffenen benachrichtigen. Ein DSGVO Bußgeld kann bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen.

Business-Email-Compromise (BEC): Angreifer übernehmen oder fälschen die E-Mail-Adresse deines Geschäftsführers und weisen die Buchhaltung an, eine Überweisung auf ein fremdes Konto durchzuführen. Durchschnittlicher Schaden: 45.000 Euro.

Betriebsausfall durch IT-Ausfall: Dein Warenwirtschaftssystem fällt aus, dein Onlineshop ist offline, deine Produktion steht. Jeder Tag Ausfall kostet dich Umsatz — und die Fixkosten laufen weiter. Das Thema Betriebsausfall durch Cyberangriffe verbindet die Cyberversicherung direkt mit der Betriebsunterbrechungsversicherung.

Die Frage ist nicht, ob dein Unternehmen angegriffen wird — sondern wann. Und ob du dann vorbereitet bist.

Was eine Cyber-Versicherung abdeckt

Eine Cyberversicherung ist keine einzelne Police, sondern ein Bündel aus verschiedenen Leistungen. Die meisten Tarife am Markt unterscheiden zwischen Eigenschäden, Drittschäden (Haftpflicht) und Assistance-Leistungen. Hier die wichtigsten Deckungsbausteine im Überblick:

Eigenschäden

Betriebsunterbrechung: Die Versicherung ersetzt deinen entgangenen Gewinn und die weiterlaufenden Fixkosten, wenn dein Betrieb wegen eines Cyberangriffs ausfällt. Typische Haftzeit: 60 bis 180 Tage. Die Deckungssumme liegt je nach Tarif bei 100.000 bis 5 Millionen Euro.

Datenwiederherstellung: Kosten für die Rekonstruktion zerstörter oder verschlüsselter Daten. Dazu gehört auch die forensische Analyse — also die Untersuchung, wie der Angriff ablief, welche Systeme betroffen sind und ob der Angreifer noch im Netzwerk ist.

Erpressung und Lösegeld: Einige Tarife übernehmen das gezahlte Lösegeld bei Ransomware-Angriffen — andere nicht. Hier lohnt sich ein genauer Vergleich der Cyberversicherung Leistungen. Wichtig: Die Zahlung von Lösegeld ist in Deutschland nicht illegal, aber viele Versicherer koppeln die Erstattung an die vorherige Abstimmung mit spezialisierten Verhandlern.

Krisenmanagement und PR: Nach einem Datenleck musst du deine Kunden informieren und das Vertrauen wiederherstellen. Die Versicherung übernimmt die Kosten für Krisenkommunikation, PR-Berater und Callcenter-Dienstleistungen.

Drittschäden (Haftpflicht)

Datenschutzverletzungen: Wenn du Kundendaten verlierst und Betroffene Schadensersatz fordern, springt die Cyber-Haftpflicht ein. Das umfasst auch die Kosten für Rechtsanwälte und Gerichtsverfahren.

DSGVO-Bußgelder: Einige Versicherer decken behördliche Bußgelder ab — allerdings nur dort, wo dies rechtlich zulässig ist. In Deutschland ist die Versicherbarkeit von Bußgeldern juristisch umstritten, aber die Verteidigungskosten gegenüber der Behörde sind in der Regel gedeckt.

Weiterleitung von Schadsoftware: Wenn über deine IT-Infrastruktur Malware an Kunden oder Geschäftspartner weitergeleitet wird, haftest du. Die Haftpflicht-Komponente übernimmt die Schadenersatzforderungen Dritter. Das ergänzt deine bestehende D&O-Versicherung, die vor allem Organmitglieder schützt.

Assistance-Leistungen: Die unterschätzte Komponente

Die Assistance ist für viele Unternehmer der wertvollste Teil der Cyberversicherung — und wird am häufigsten unterschätzt. Gute Tarife bieten:

24/7-Notfall-Hotline: Rund um die Uhr erreichbare IT-Forensiker und Krisenberater, die dich sofort nach einem Angriff durch die ersten Stunden führen.

IT-Forensik: Spezialisierte Teams untersuchen den Angriff, identifizieren die Schwachstelle und sichern Beweise für Strafverfolgung und Versicherungsansprüche.

Rechtsberatung: DSGVO-Spezialisten beraten dich zu Meldepflichten, Betroffenenbenachrichtigung und Behördenkommunikation.

Verhandlung mit Erpressern: Erfahrene Verhandler übernehmen die Kommunikation mit Ransomware-Angreifern. Das kann den geforderten Betrag oft um 50 bis 80 % senken.

Eine Cyber-Versicherung ist nicht nur eine Geldleistung. Die Assistance — forensische Analyse, Krisenmanagement, Rechtsberatung — ist oft wichtiger als die reine Deckungssumme.

Kosten einer Cyber-Versicherung 2026

Die Cyberversicherungskosten hängen von mehreren Faktoren ab: Unternehmensgröße, Branche, Umsatz, IT-Sicherheitsniveau und gewünschte Deckungssumme. Hier eine realistische Einordnung:

Kostenrahmen nach Unternehmensgröße

Solo-Selbstständige und Kleinstunternehmen (bis 250.000 Euro Umsatz): ab 300 bis 800 Euro pro Jahr bei einer Deckungssumme von 100.000 bis 250.000 Euro. Selbstbehalt typischerweise 500 bis 1.000 Euro.

Kleine Unternehmen (250.000 bis 2 Mio. Euro Umsatz): 800 bis 2.500 Euro pro Jahr bei einer Deckungssumme von 250.000 bis 1 Million Euro. Selbstbehalt 1.000 bis 2.500 Euro.

Mittelstand (2 bis 25 Mio. Euro Umsatz): 2.500 bis 15.000 Euro pro Jahr bei Deckungssummen von 1 bis 5 Millionen Euro. Selbstbehalt 2.500 bis 10.000 Euro.

Was den Preis beeinflusst

Branche: Gesundheitswesen, E-Commerce und IT-Dienstleister zahlen mehr, weil sie besonders sensible Daten verarbeiten oder ein erhöhtes Cyber-Risiko haben. Handwerk und produzierendes Gewerbe liegen oft günstiger.

IT-Sicherheitsniveau: Unternehmen mit nachweisbarer IT-Sicherheit — Firewall, Backup-Konzept, Mitarbeiterschulungen, Zwei-Faktor-Authentifizierung — bekommen deutlich bessere Konditionen. Manche Versicherer gewähren bis zu 30 % Rabatt bei nachgewiesenen Sicherheitsmaßnahmen.

Schadenhistorie: Hattest du in den letzten drei Jahren einen Cybervorfall, steigt die Prämie oder der Versicherer lehnt den Antrag ab.

Selbstbehalt: Je höher der Selbstbehalt, desto niedriger die Prämie. Ein Selbstbehalt von 2.500 statt 500 Euro kann die Jahresprämie um 15 bis 25 % senken.

Beim Cyberversicherungsvergleich lohnt es sich, nicht nur auf den Preis zu schauen. Die Unterschiede bei Assistance-Leistungen, Ausschlüssen und Obliegenheiten sind teilweise gravierend — und im Schadenfall entscheidend.

Obliegenheiten: IT-Sicherheit nachweisen

Hier kommt der Punkt, an dem viele Unternehmer überrascht werden: Eine Cyber-Versicherung zahlt nur dann, wenn du bestimmte Obliegenheiten erfüllst — also Mindeststandards der IT-Sicherheit einhältst. Verletzt du diese Pflichten, kann der Versicherer die Leistung kürzen oder komplett verweigern.

Typische Obliegenheiten im Überblick

Regelmäßige Datensicherung: Die meisten Versicherer verlangen ein dokumentiertes Backup-Konzept mit mindestens täglicher Sicherung und einer Offline- oder Cloud-Kopie, die vom Netzwerk getrennt ist. Ohne funktionierendes Backup wird ein Ransomware-Schaden in der Regel nicht reguliert.

Patch-Management: Sicherheitsupdates für Betriebssysteme und Software müssen zeitnah eingespielt werden — typischerweise innerhalb von 14 bis 30 Tagen nach Veröffentlichung. Ein ungepatchter Exchange-Server, über den der Angriff erfolgt, ist ein klassischer Leistungsausschluss.

Zugangsschutz und Passwortrichtlinien: Individuelle Benutzerkonten, starke Passwörter (oder besser: Zwei-Faktor-Authentifizierung) und eingeschränkte Administratorrechte. Das pauschale Admin-Konto für alle Mitarbeiter ist ein No-Go.

Mitarbeitersensibilisierung: Regelmäßige Schulungen zu Phishing, Social Engineering und sicherer IT-Nutzung. Manche Versicherer stellen eigene E-Learning-Plattformen bereit.

Firewall und Virenschutz: Aktuelle Firewall-Konfiguration und Antivirensoftware auf allen Endgeräten. Klingt selbstverständlich, wird aber erstaunlich oft nicht durchgängig umgesetzt.

Was bei Verstoß passiert

Wenn der Versicherer im Schadenfall feststellt, dass du eine Obliegenheit verletzt hast, greift eine Quotelungsregelung: Die Leistung wird anteilig gekürzt, proportional zum Verschulden. Bei grober Fahrlässigkeit — etwa wenn seit Monaten kein einziges Update eingespielt wurde — kann die Kürzung 100 % betragen. Bei leichter Fahrlässigkeit sind es typischerweise 25 bis 50 %.

Mein Rat: Betrachte die Obliegenheiten nicht als lästige Pflicht, sondern als Mindeststandard, den du ohnehin einhalten solltest. Die IT-Sicherheitsmaßnahmen, die der Versicherer verlangt, sind genau die, die einen Angriff am wahrscheinlichsten verhindern oder zumindest den Schaden begrenzen.

Ausschlüsse, die du kennen musst

Neben den Obliegenheiten gibt es pauschale Ausschlüsse, die in fast allen Cyberversicherungen stehen:

Krieg und staatliche Cyberangriffe: Angriffe, die einem Staat zugeordnet werden, sind in der Regel ausgeschlossen. Nach den Angriffen auf kritische Infrastruktur in den letzten Jahren ist dieser Punkt aktueller denn je.

Vorsatz: Wenn ein Mitarbeiter absichtlich Daten stiehlt oder Systeme sabotiert, greift die Cyberversicherung nicht.

Bekannte Schwachstellen: Wenn du eine dokumentierte Sicherheitslücke bewusst nicht schließt, kann der Versicherer den Schaden ablehnen.

Altschäden: Angriffe, die vor Versicherungsbeginn stattfanden, aber erst danach entdeckt werden, sind bei vielen Tarifen ausgeschlossen. Einige Premium-Tarife bieten eine Rückwärtsversicherung von 6 bis 12 Monaten.

Checkliste: Brauchst du eine Cyber-Versicherung?

Nicht jedes Unternehmen braucht eine Cyberversicherung — aber die meisten tun es. Hier eine ehrliche Einordnung:

Eine Cyber-Versicherung ist Pflicht, wenn du...

...personenbezogene Daten verarbeitest: Kundendatenbanken, Patientendaten, Mitarbeiterdaten. Ein DSGVO Bußgeld allein kann existenzbedrohend sein. Lies dazu auch meinen Artikel zum Thema Datenschutz und DSGVO für Unternehmen.

...einen Onlineshop oder digitale Plattform betreibst: Jede Stunde Downtime kostet dich direkt Umsatz.

...im Gesundheitswesen tätig bist: Arztpraxen, Apotheken, Pflegedienste — hier ist das Cyber Risk besonders hoch und die regulatorischen Anforderungen besonders streng.

...auf digitale Prozesse angewiesen bist: Warenwirtschaftssystem, CRM, Cloud-basierte Buchhaltung — wenn ohne IT nichts geht, brauchst du eine Absicherung gegen IT-Ausfall.

...Aufträge von Konzernen oder der öffentlichen Hand bearbeitest: Immer mehr Großunternehmen verlangen von ihren Zulieferern den Nachweis einer Cyberversicherung als Voraussetzung für die Zusammenarbeit.

Du kannst (noch) abwarten, wenn du...

...ausschließlich analog arbeitest: Kein Computer, keine digitalen Kundendaten, keine E-Mail-Kommunikation. Das betrifft in der Praxis kaum noch ein Unternehmen.

...ein extrem kleines Risikoprofil hast: Keine sensiblen Daten, keine Onlinepräsenz, keine digitale Wertschöpfung. Aber auch dann: Prüfe, ob dein E-Mail-Verkehr allein schon ein relevantes Risiko darstellt.

Was du VOR Abschluss prüfen solltest

1. Bestandsaufnahme deiner IT-Landschaft: Welche Systeme nutzt du? Wo liegen deine Daten? Wer hat Zugriff? Ohne diese Analyse kannst du keine sinnvolle Deckungssumme ermitteln.

2. Bestehende Versicherungen prüfen: Manche Betriebshaftpflichtpolicen decken bereits einzelne Cyber-Risiken ab — allerdings in der Regel nur rudimentär. Eine eigenständige Cyberversicherung bietet deutlich umfangreicheren Schutz.

3. IT-Sicherheit auf Obliegenheitsniveau bringen: Erfülle die typischen Anforderungen, bevor du abschließt. So vermeidest du Deckungslücken und bekommst bessere Konditionen.

4. Deckungssumme realistisch kalkulieren: Rechne mit deinem Jahresumsatz, den Kosten eines 4-wöchigen Betriebsausfalls und möglichen Schadenersatzforderungen Dritter. Für ein KMU mit 1 Million Euro Umsatz ist eine Deckungssumme von 500.000 bis 1 Million Euro ein sinnvoller Ausgangspunkt.

5. Mehrere Angebote vergleichen: Der Cyberversicherungsmarkt ist dynamisch. Tarife, Leistungen und Prämien unterscheiden sich stark. Ein unabhängiger Vergleich lohnt sich immer.

Eine Cyber-Versicherung ab 300 Euro Jahresprämie kann deine Cyberversicherung dein Unternehmen vor einem sechsstelligen Schaden bewahren. Die Frage ist nicht, ob du sie dir leisten kannst — sondern ob du es dir leisten kannst, sie nicht zu haben.

Cyberangriffe sind kein abstraktes Risiko mehr — sie gehören zur Realität jedes Unternehmens, das digital arbeitet. Und das sind 2026 praktisch alle. Die Kombination aus einer soliden IT-Sicherheitsstrategie und einer passenden Cyber Versicherung Unternehmen ist der beste Schutz, den du dir und deinem Unternehmen geben kannst.

Wenn du unsicher bist, ob eine Cyberversicherung für dein Unternehmen sinnvoll ist, welche Deckungssumme du brauchst oder welche Tarife in deiner Branche die beste Leistung bieten — melde dich bei mir. Gemeinsam analysieren wir dein Cyber Risk und finden die passende Absicherung.