Warum Cyber-Versicherungen 2024 strenger werden — und was Unternehmen tun müssen

1 Min. Lesezeit

Der Markt für Cyber-Versicherungen hat sich radikal verändert: Prämien sind gestiegen, Ausschlussklauseln gewachsen und die Anforderungen an Versicherungsnehmer strenger geworden. Wer 2024 eine bezahlbare Police will, muss nachweisen, dass Basissicherheit steht – MFA, Backup, Incident Response. Ohne Security kein Versicherungsschutz.

Das Wichtigste in Kürze

Cyber-Versicherungsprämien 2023: +11 Prozent im Schnitt (Marsh)
MFA ist zur Pflicht-Voraussetzung für 95 Prozent der Versicherer geworden
Ausschlüsse: Staatlich unterstützte Angriffe, Infrastrukturausfälle, Krieg
Selbstbehalte: Durchschnittlich 50.000-250.000 EUR im Mittelstand

Warum Versicherer die Schrauben anziehen

Die Ransomware-Welle 2020-2022 hat den Cyber-Versicherungsmarkt erschüttert. Schaden-Kosten-Quoten über 100 Prozent zwangen Versicherer zu Korrekturen: höhere Prämien, strengere Zeichnungskriterien und klarere Ausschlüsse. Der Markt professionalisiert sich – zum Vorteil gut aufgestellter Unternehmen.

Die gute Nachricht: Seit 2023 stabilisieren sich die Prämien. Unternehmen mit nachweisbar guter Security-Hygiene erhalten günstigere Konditionen. Security-Investitionen haben damit einen direkten, messbaren ROI über reduzierte Versicherungskosten.

Die neuen Mindestanforderungen

Nahezu jeder Versicherer fordert heute vor Vertragsabschluss: MFA für alle Remote-Zugänge und privilegierten Accounts, regelmäßige und getestete Backups (idealerweise offline/immutable), Endpoint Detection & Response (EDR) auf allen Endpunkten, Patch-Management mit definierten SLAs und Security-Awareness-Schulungen für Mitarbeiter.

Wer diese Basics nicht nachweisen kann, bekommt entweder keine Police oder zahlt erhebliche Risikoaufschläge. Die Fragebögen der Versicherer sind detaillierter geworden – pauschale Zusicherungen reichen nicht mehr.

Ausschlussklauseln: Was nicht versichert ist

Die wichtigsten Ausschlüsse 2024: Staatlich unterstützte Cyberangriffe („War Exclusion“), systemische Ereignisse (Ausfall eines großen Cloud-Providers), bekannte, ungepatcht Schwachstellen und vorsätzliche Pflichtverletzungen. Der Lloyd’s Market hat 2023 War-Exclusion-Klauseln verschärft – ein Trend, dem andere Versicherer folgen.

Besonders relevant: Wenn ein Unternehmen im Fragebogen falsche Angaben macht (z.B. MFA behauptet, aber nicht implementiert), kann der Versicherer die Leistung verweigern. Transparenz ist Pflicht.

Cyber-Versicherung als Security-Katalysator

Paradoxerweise treiben Cyber-Versicherer die Security-Reife im Mittelstand stärker voran als Regulierung. Während NIS2-Bußgelder abstrakt bleiben, ist die Versicherungsprämie eine konkrete, jährliche Kostenposition. CISOs nutzen die Versicherungsanforderungen erfolgreich als Argument für Security-Investitionen beim Vorstand.

Der strategische Ansatz: Security-Maßnahmen, die gleichzeitig Versicherungsanforderungen erfüllen, NIS2-Compliance unterstützen und das reale Risiko senken, haben den dreifachen ROI. MFA, EDR und Backup sind die offensichtlichen Kandidaten.

Key Facts

Prämienentwicklung: +11 Prozent in 2023, Stabilisierung 2024 (Marsh Global Insurance Market Index)

MFA-Pflicht: 95 Prozent der Versicherer fordern MFA als Voraussetzung

Ablehnungsquote: 28 Prozent der KMU-Anträge werden abgelehnt (Coalition 2024)

Häufige Fragen

Brauche ich als KMU eine Cyber-Versicherung?

Empfohlen, wenn Ihr Geschäftsbetrieb von IT abhängt – also praktisch immer. Die Frage ist nicht ob, sondern in welcher Höhe. Decken Sie mindestens Betriebsunterbrechung, Forensik-Kosten und Benachrichtigungspflichten (DSGVO) ab.

Wie senke ich meine Prämie?

MFA konsequent einführen, EDR deployen, Backups regelmäßig testen, Incident-Response-Plan dokumentieren und Security-Awareness-Schulungen nachweisen. Jede dieser Maßnahmen reduziert die Prämie messbar – typisch 10-25 Prozent in Summe.

Deckt die Versicherung auch DSGVO-Bußgelder?

Meist nein. DSGVO-Bußgelder sind in den meisten Jurisdiktionen nicht versicherbar, da sie als persönliche Sanktion gelten. Die Kosten für Benachrichtigung, Rechtsberatung und Krisenkommunikation nach einem Datenschutzvorfall sind jedoch typischerweise gedeckt.