Digital Business & Future 29.03.2026

Cyber-Versicherung: Schutz für KMU vor digitalen Risiken

8 Min. Lesezeit

178,6 Milliarden Euro Schaden durch Cybercrime in Deutschland 2024. Gleichzeitig haben nur 36 Prozent der kleinen und mittleren Unternehmen eine Cyber-Versicherung. Die Lücke erklärt sich nicht durch Desinteresse, sondern durch Unsicherheit: Was deckt eine Police wirklich ab? Wo greifen die Ausschlüsse? Und lohnt sich die Investition, wenn die Prämien jedes Jahr steigen? Dieser Praxischeck zeigt, was eine Cyber-Police für KMU tatsächlich leistet – und was nicht.

Das Wichtigste in Kürze

178,6 Milliarden Euro Cybercrime-Schaden 2024: Die Bedrohungslage trifft KMU überproportional, weil sie seltener Incident-Response-Kapazitäten haben (Bitkom, 2024).
Nur 36 Prozent der KMU versichert: Große Unternehmen sind zu über 70 Prozent abgesichert, der Mittelstand bleibt eine Schutzlücke (GDV, 2024).
Prämien stabilisieren sich: Nach Anstiegen von bis zu 50 Prozent (2021-2022) sinken die Raten seit 2024 um durchschnittlich 5 Prozent. Gute Sicherheitsstandards werden belohnt (Marsh, 2024).
Staatliche Angriffe ausgeschlossen: Seit 2023 verlangen die meisten Versicherer den Ausschluss von Nation-State-Attacken. Das betrifft auch Friedenszeiten (Lloyd’s of London).
MFA, EDR, IR-Plan als Pflicht: Ohne Multi-Faktor-Authentifizierung, Endpoint Detection und getesteten Notfallplan gibt es 2026 kaum noch Policen (Coalition Claims Report, 2024).

36 %

der deutschen KMU haben eine Cyber-Versicherung

Quelle: Gesamtverband der Deutschen Versicherungswirtschaft (GDV), 2024

Was eine Cyber-Police tatsächlich abdeckt

Eine Cyber-Versicherung ist kein Rundum-Schutz. Sie ist ein Finanzinstrument, das definierte Schadenszenarien abfedert. Für KMU-Geschäftsführer ist entscheidend zu verstehen, welche Bausteine eine Police typischerweise enthält:

Eigenschäden (First-Party): Kosten für IT-Forensik nach einem Angriff, Datenwiederherstellung, Betriebsunterbrechungsschäden durch Systemausfälle und Krisenmanagement inklusive PR-Beratung. Bei Ransomware decken manche Policen auch Lösegeldzahlungen ab – allerdings mit steigenden Einschränkungen und oft nur nach Genehmigung durch den Versicherer.

Drittschäden (Third-Party): Haftungsansprüche von Kunden oder Geschäftspartnern, deren Daten betroffen sind. DSGVO-Bußgelder sind in vielen Policen mitversichert, allerdings nur in Ländern, in denen die Versicherbarkeit von Bußgeldern rechtlich zulässig ist. In Deutschland ist das umstritten.

Service-Leistungen: Viele Versicherer bieten eine 24/7-Hotline, Zugang zu spezialisierten Incident-Response-Teams und rechtliche Erstberatung. Für KMU ohne eigene Security-Abteilung ist das oft der wertvollste Bestandteil der Police.

In der Praxis unterscheiden Versicherer zwischen Erst- und Drittschäden. Erstschäden betreffen das Unternehmen selbst: Betriebsunterbrechung, Datenwiederherstellung, Erpressungszahlungen. Drittschäden entstehen, wenn Kunden oder Partner durch den Vorfall geschädigt werden, etwa wenn personenbezogene Daten abfließen und DSGVO-Ansprüche ausgelöst werden. Nicht jede Police deckt beides ab. Geschäftsführer sollten explizit prüfen, ob Drittschäden eingeschlossen sind, denn die DSGVO-Haftung kann die internen Schäden übersteigen.

Wo der Schutz endet: Die kritischen Ausschlüsse

Die Ausschlussklauseln einer Cyber-Police zu kennen ist mindestens so wichtig wie den Deckungsumfang zu verstehen. Drei Ausschlüsse betreffen KMU besonders:

Nation-State-Angriffe: Seit März 2023 verlangen alle großen Versicherer auf Initiative von Lloyd’s of London den Ausschluss staatlich gesponserter Cyber-Angriffe. Das klingt abstrakt, betrifft aber zunehmend den Mittelstand: Die Grenzen zwischen krimineller und staatlicher Cyber-Aktivität verschwimmen. Wenn ein Ransomware-Angriff einer Gruppe zugeordnet wird, die im Auftrag eines Staates handelt, kann der Versicherer die Leistung verweigern.

Systemische Ereignisse: Ein koordinierter Angriff auf einen großen Cloud-Provider, der Tausende Unternehmen gleichzeitig trifft, kann unter die Katastrophen-Ausschlussklausel fallen. Versicherer begrenzen ihre Gesamtexposition durch Aggregate Limits. Im Ernstfall zahlt die Police dann nur anteilig.

Sorgfaltspflicht-Verstöße: Wer im Antragsprozess zusichert, MFA einzusetzen, und es dann nicht tut, riskiert die vollständige Ablehnung im Schadensfall. Laut Coalition wurden 2024 bei 82 Prozent der abgelehnten Claims fehlende Sicherheitsmaßnahmen als Mitursache identifiziert.

„Claims-Schweregrad um über 50 Prozent gesunken, große Schäden über eine Million Euro um rund 30 Prozent rückläufig – Ergebnis massiver Investments großer Unternehmen in Cybersicherheit.“
Sinngemäß nach Allianz Commercial, Cyber Risk Trends 2025

Was der Antragsprozess vom Geschäftsführer verlangt

Der Antragsprozess für eine Cyber-Police gleicht 2026 einer IT-Sicherheitsprüfung. Versicherer bewerten nicht mehr nur Umsatz und Branche, sondern die tatsächliche Sicherheitsarchitektur. Drei Maßnahmen sind zur Eintrittskarte geworden:

Multi-Faktor-Authentifizierung: 95 Prozent der Versicherer fordern MFA auf E-Mail, VPN, Remote-Zugängen und Admin-Konten. Nicht „verfügbar“, sondern „erzwungen und dokumentiert“. Phishing-resistente Methoden wie FIDO2 werden zunehmend erwartet.

Endpoint Detection and Response: 89 Prozent der Versicherer verlangen EDR auf allen Endgeräten. Installation allein reicht nicht – Versicherer fragen: Wer monitort? Wie schnell wird reagiert? Ist der Prozess dokumentiert?

Getesteter Incident-Response-Plan: Ein schriftlicher Notfallplan mit definierten Rollen und Kontaktlisten. Versicherer prüfen, wann der Plan zuletzt getestet wurde. Ein Plan in der Schublade, der nie geübt wurde, zählt nicht.

Für KMU ohne eigene IT-Security-Abteilung bedeutet das: Managed Security Services werden zur Voraussetzung für Versicherbarkeit. Ein externer SOC-Dienst (Security Operations Center) kostet zwischen 500 und 2.000 Euro monatlich, macht aber den Unterschied zwischen Versicherbarkeit und Ablehnung.

82 %

der abgelehnten Claims hatten zugesicherte Sicherheitsmaßnahmen nicht umgesetzt

Quelle: Coalition, Cyber Claims Report 2024

Was eine Cyber-Police für KMU kostet

Die Prämien hängen von Branche, Umsatz, Mitarbeiterzahl und Sicherheitsniveau ab. Eine realistische Einordnung für den Mittelstand:

Kleines Unternehmen (10-50 Mitarbeiter, bis 5 Mio. Euro Umsatz): 1.500 bis 5.000 Euro Jahresprämie bei einer Deckungssumme von 500.000 bis 1 Million Euro.

Mittelständler (50-250 Mitarbeiter, 5-50 Mio. Euro Umsatz): 5.000 bis 25.000 Euro Jahresprämie bei Deckungssummen von 1 bis 5 Millionen Euro.

Größerer Mittelstand (250+ Mitarbeiter, 50+ Mio. Euro Umsatz): 25.000 bis 100.000 Euro Jahresprämie, individuelle Deckungskonzepte.

Die gute Nachricht: Nach drastischen Preiserhöhungen zwischen 2020 und 2022 hat sich der Markt entspannt. Der Wettbewerb unter den Versicherern nimmt zu, die Konditionen werden besser. Unternehmen mit nachweisbaren Sicherheitsmaßnahmen zahlen deutlich weniger als solche ohne.

Ein Vergleich über Plattformen wie CyberDirekt oder Finanzchef24 zeigt: Für ein Handelsunternehmen mit 5 Millionen Euro Umsatz und 30 Mitarbeitern liegen die Jahresprämien zwischen 1.500 und 4.000 Euro, abhängig von der gewählten Deckungssumme und dem Selbstbehalt. Der Selbstbehalt liegt typischerweise bei 2.500 bis 10.000 Euro pro Schadenfall. Ein niedrigerer Selbstbehalt erhöht die Prämie um 20 bis 40 Prozent, reduziert aber das finanzielle Risiko im Schadenfall erheblich.

Die Rechnung: Lohnt sich die Police?

Ein durchschnittlicher Ransomware-Vorfall kostet ein mittelständisches Unternehmen zwischen 250.000 und 2 Millionen Euro. Die Posten: IT-Forensik (30.000-80.000 Euro), Betriebsunterbrechung (abhängig von Branche und Dauer), Rechtsberatung (15.000-40.000 Euro), Krisenkommunikation (10.000-30.000 Euro) und mögliche DSGVO-Bußgelder.

Selbst bei einer konservativen Eintrittswahrscheinlichkeit von 5 Prozent pro Jahr liegt der erwartete Schaden für einen Mittelständler bei 12.500 bis 100.000 Euro jährlich. Bei Prämien von 5.000 bis 25.000 Euro ist die Versicherung in den meisten Szenarien wirtschaftlich sinnvoll.

Dazu kommt der Service-Wert: Ein Incident-Response-Team innerhalb von zwei Stunden am Telefon zu haben, kann den Unterschied zwischen einem kontrollierten Vorfall und einer Unternehmenskrise machen. Für KMU ohne eigenes Security-Team ist das unbezahlbar.

Laut dem GDV (Gesamtverband der Deutschen Versicherungswirtschaft) melden 28 Prozent der kleinen und mittleren Unternehmen mindestens einen Cyberschaden innerhalb von drei Jahren. Bei einer durchschnittlichen Schadenhöhe von 95.000 Euro und einer Jahresprämie von 2.500 Euro ist die Police nach einem einzigen Vorfall für 38 Jahre amortisiert. Die Frage ist also weniger ob, sondern wann ein Vorfall eintritt. Wer darauf wettet, verschont zu bleiben, geht ein Risiko ein, das bei 28 Prozent Eintrittswahrscheinlichkeit nicht mehr als kalkuliertes Risiko durchgeht.

Checkliste: In fünf Schritten zur KMU-Cyber-Police

1. IT-Sicherheitsniveau dokumentieren. MFA aktiv? EDR installiert? Backup-Strategie? Patch-Management? Je besser die Dokumentation, desto besser die Konditionen. Versicherer bewerten, was nachweisbar ist.

2. Deckungsbedarf kalkulieren. Betriebsunterbrechungskosten pro Tag berechnen. Anzahl personenbezogener Datensätze ermitteln (bestimmt das DSGVO-Risiko). Maximalen Schaden realistisch schätzen.

3. Ausschlüsse verstehen. Nation-State, systemische Ereignisse und Sorgfaltspflicht-Klauseln lesen. Was nicht gedeckt ist, muss das Unternehmen selbst tragen.

4. Spezialmakler einschalten. Der Cyber-Versicherungsmarkt ist komplex. Makler wie Finlex, CyberDirekt oder Marsh kennen die Anforderungsprofile der Versicherer und verhandeln bessere Konditionen als der Direktkauf.

5. Antrag wahrheitsgemäß ausfüllen. Jede Falschaussage im Antrag kann im Schadensfall zur Leistungsverweigerung führen. Lieber ehrlich „nein“ ankreuzen und die Maßnahme nachrüsten als falsche Zusicherungen machen.

Fazit

Eine Cyber-Versicherung ersetzt keine IT-Sicherheit, aber sie ergänzt sie um eine finanzielle Schutzschicht, die für KMU existenzentscheidend sein kann. Die Prämien sind nach den Spitzenjahren 2021-2022 wieder erreichbar, die Anforderungen an die Sicherheitsarchitektur steigen aber. Für Geschäftsführer lautet die Frage nicht mehr ob, sondern wie: Welche Deckung passt zum Risikoprofil? Welche Ausschlüsse sind tragbar? Und welche Sicherheitsmaßnahmen machen das Unternehmen überhaupt versicherbar?

Der wichtigste Schritt ist nicht der Vertragsabschluss, sondern die Vorbereitung: IT-Sicherheit dokumentieren, Compliance-Anforderungen verstehen und die Police als Ergänzung, nicht als Ersatz für technische Schutzmaßnahmen begreifen. Wer beides hat, schläft besser.

Häufige Fragen

Deckt eine Cyber-Versicherung auch Lösegeldzahlungen bei Ransomware?

Manche Policen ja, aber mit wachsenden Einschränkungen. Viele Versicherer verlangen eine vorherige Genehmigung, begrenzen die Höhe oder schließen Lösegeldzahlungen in bestimmten Jurisdiktionen ganz aus. In Frankreich ist die Erstattung seit 2023 an eine Strafanzeige innerhalb von 72 Stunden gebunden.

Sind DSGVO-Bußgelder versicherbar?

In Deutschland ist die Versicherbarkeit von Bußgeldern rechtlich umstritten. Viele Policen decken DSGVO-Bußgelder nominell ab, aber mit dem Zusatz „soweit rechtlich zulässig“. Die Verteidigungskosten und Schadenersatzansprüche Betroffener sind dagegen klar versicherbar.

Was passiert, wenn ich im Antrag falsche Angaben mache?

Der Versicherer kann im Schadensfall die Leistung kürzen oder vollständig verweigern. Besonders kritisch: Zusicherungen über implementierte Sicherheitsmaßnahmen wie MFA oder EDR. Wenn diese bei einem Vorfall als nicht vorhanden festgestellt werden, greift die Obliegenheitsverletzung.

Brauche ich als Kleinunternehmen mit unter 20 Mitarbeitern eine Cyber-Versicherung?

Gerade kleine Unternehmen sind besonders gefährdet, weil sie selten eigene IT-Security-Kapazitäten haben. Die Prämien liegen bei 1.500 bis 5.000 Euro jährlich. Allein die 24/7-Notfall-Hotline und der Zugang zu Incident-Response-Teams können im Ernstfall existenzsichernd sein.

Wie finde ich den richtigen Versicherer?

Über einen spezialisierten Makler. Anbieter wie CyberDirekt, Finlex oder Marsh vergleichen Policen verschiedener Versicherer, kennen die Anforderungsprofile und verhandeln bessere Konditionen. Der Direktkauf beim erstbesten Versicherer führt oft zu teuren Policen mit ungünstigen Ausschlüssen.

Lesetipps der Redaktion

Cyber-Versicherung 2026: Was Unternehmen wissen müssen, bevor sie eine Police abschließen
Ransomware 2026: Incident Response in den ersten 60 Minuten
Daten-Governance im Mittelstand: Praxischeck zum neuen DGG
87 Prozent sehen KI-Schwachstellen als größtes Risiko

Mehr aus dem MBF Media Netzwerk

MyBusinessFuture– Digitalisierung, KI, Business
cloudmagazin– Cloud, SaaS, IT-Infrastruktur
SecurityToday– Cybersecurity, IT-Sicherheit
Digital Chiefs– C-Level Thought Leadership

Quelle Titelbild: Pexels / Sora Shimazaki

Auch verfügbar in

Français Español English

MyBusinessFuture / Evernine Media GmbH

Benedikt Langer befasst sich als Redakteur für MyBusinessFuture vor allem mit zukunftsweisenden Business- und Tech-Themen – von Künstlicher Intelligenz über Cybersecurity bis hin zu Mobilität, Energie- und Verkehrsinfrastruktur sowie resilienten Industrie-Ökosystemen.

Davos: Nachhaltigkeit durch Digitalisierung

Das 50. Jubiläum des Weltwirtschaftsforum in Davos Ende Januar 2020 soll ganz im Zeichen von Nachhaltigkeit ... »

Engineering & Industry 23.09.2020

PwC: E-Auto-Kosten für Hersteller vs. Verbrenner-Vergleich

E-Autos sind neu, voller Technik und zukunftsweisend, jedoch immer noch sehr teuer. Das liegt unter ... »

Unsere Experten & Partner