Warum Ihre Cyber-Versicherung im Ernstfall nicht zahlt — Die toxischen Ausschlussklauseln der Branche

2 Min. Lesezeit

Cyber-Versicherungen boomen – der Markt wächst jährlich um 25 Prozent. Doch die Ernüchterung kommt im Schadensfall: Immer mehr Unternehmen erleben, dass ihre Police nicht zahlt. Kriegsausschlüsse, Compliance-Anforderungen und rückwirkende Klauseln machen viele Policen im Ernstfall wertlos. Was Unternehmen vor Abschluss wissen müssen.

Das Wichtigste in Kürze

• Cyber-Versicherer lehnen zunehmend Schadensmeldungen ab – die Ablehnungsquote stieg laut Marsh auf über 30 Prozent
• Kriegsausschlussklauseln erfassen inzwischen auch staatsnahe Hackergruppen – und damit den Großteil der APT-Angriffe
• Viele Policen setzen MFA, EDR und regelmäßige Patches als Voraussetzung voraus – fehlt eine Komponente, erlischt der Schutz
• Die Regulierung hinkt: Kunden verstehen die Ausschlüsse oft erst nach dem Schadensfall

Das Geschäftsmodell der Angst

Cyber-Versicherungen verkaufen Sicherheit. Was sie tatsächlich liefern, ist ein Vertragswerk voller Bedingungen, die im Schadensfall systematisch gegen den Versicherten wirken. Das ist kein Betrug – es ist ein Geschäftsmodell, das auf asymmetrischer Information beruht. Vertiefend dazu: Cyber-Versicherung. Mehr dazu im Beitrag zu Cyber Versicherung.

Ein mittelständisches Fertigungsunternehmen zahlt 40.000 Euro Jahresprämie für eine Cyber-Police mit 5 Millionen Euro Deckungssumme. Klingt solide. Dann kommt der Ransomware-Angriff. Die Versicherung prüft – und stellt fest: Auf drei von 200 Servern lief noch Windows Server 2012 ohne Extended Security Updates. Klausel 4.7: „Der Versicherungsschutz entfällt, wenn bekannte Sicherheitslücken nicht innerhalb von 30 Tagen gepatcht werden.“ Keine Zahlung.

Die drei gefährlichsten Klauseln

1. Kriegsausschluss (War Exclusion): Nach dem NotPetya-Angriff 2017 weigerten sich Versicherer, Mondelez 100 Millionen Dollar zu zahlen – Begründung: Der Angriff sei ein Akt russischer Kriegsführung gewesen. Lloyd’s of London hat 2023 die Kriegsausschlüsse erweitert: Alle „staatsunterstützten“ Angriffe können ausgeschlossen werden. Das Problem: Über 60 Prozent aller APT-Angriffe werden staatsnahen Akteuren zugeordnet.

2. Compliance-Voraussetzungen: Moderne Policen listen technische Mindestanforderungen auf: MFA auf allen Remote-Zugängen, EDR auf allen Endpunkten, regelmäßige Vulnerability Scans, getestete Offline-Backups. Fehlt ein Element, argumentieren Versicherer mit „Obliegenheitsverletzung“. Die Beweislast liegt beim Versicherten.

3. Sublimits und Wartezeiten: Die Deckungssumme von 5 Millionen Euro klingt beruhigend – bis man die Sublimits liest. Betriebsunterbrechung: maximal 500.000 Euro. Lösegeldzahlung: ausgeschlossen. Forensik: gedeckelt auf 100.000 Euro. Wartezeit vor Beginn der Betriebsunterbrechungsdeckung: 12 Stunden. Bei einem Ransomware-Angriff, der die Produktion eine Woche stilllegt, reicht die tatsächliche Deckung selten für den realen Schaden.

Warum Versicherer verschärfen

Die Versicherungsbranche hat ihre Gründe: Die Combined Ratio – das Verhältnis von Schäden zu Prämien – lag bei Cyber-Policen jahrelang über 100 Prozent. Das Geschäft war defizitär. Die Verschärfung der Klauseln ist die Reaktion. Ob sie fair ist, steht auf einem anderen Blatt.

Versicherer argumentieren, dass strenge Voraussetzungen die Versicherten zu besserer Sicherheit zwingen. Das stimmt teilweise – Unternehmen mit Cyber-Police haben nachweislich bessere Baseline-Security. Aber die Diskrepanz zwischen Marketing-Versprechen und vertraglicher Realität bleibt problematisch.

Was Unternehmen tun sollten

Vor dem Abschluss: Lassen Sie die Police von einem unabhängigen Broker UND einem spezialisierten Anwalt prüfen. Achten Sie besonders auf Kriegsausschlüsse, technische Voraussetzungen und Sublimits. Fragen Sie explizit: „Unter welchen Umständen zahlen Sie NICHT?“

Während der Laufzeit: Dokumentieren Sie Ihre Security-Maßnahmen lückenlos. Jeder Patch, jeder Scan, jedes Awareness-Training. Im Schadensfall ist die Beweislast bei Ihnen. Behandeln Sie Ihre Security-Dokumentation wie eine Steuererklärung – sie muss einer Prüfung standhalten.

Alternative Strategie: Prüfen Sie, ob die 40.000 Euro Jahresprämie besser in einen eigenen Incident-Response-Retainer, bessere Backups und einen Krisenstab investiert wären. Für viele Mittelständler ist Selbstversicherung mit gezielter Prävention wirtschaftlich sinnvoller als eine Police voller Ausschlüsse.

Fazit: Versicherung ist kein Ersatz für Security

Cyber-Versicherungen haben ihre Berechtigung – als letzte Verteidigungslinie, nicht als erste. Wer eine Police kauft, um Security zu ersetzen, wird im Ernstfall doppelt bestraft: durch den Schaden und durch die Ablehnung. Die Branche muss transparenter werden. Und Unternehmen müssen aufhören, Versicherungsprämien als Security-Budget zu verbuchen.

Key Facts

Ablehnungsquote: Über 30 Prozent der Cyber-Schadensmeldungen werden von Versicherern ganz oder teilweise abgelehnt (Marsh, 2024).

NotPetya-Rechtsstreit: Merck gewann 2023 den Rechtsstreit gegen Ace American Insurance über 1,4 Milliarden Dollar – ein Ausnahmefall, der die Branche erschütterte.

Häufige Fragen

Lohnt sich eine Cyber-Versicherung überhaupt noch?

Für große Unternehmen mit dedizierten Security-Teams und sauberer Dokumentation: Ja, als Risikotransfer für katastrophale Schäden. Für KMU mit lückenhafter Sicherheit: Die Prämie ist oft besser in direkte Schutzmaßnahmen investiert.

Wie erkenne ich problematische Klauseln?

Drei rote Flaggen: Erstens, wenn „staatsunterstützte Angriffe“ vollständig ausgeschlossen sind. Zweitens, wenn technische Voraussetzungen ohne Toleranzregelung formuliert sind. Drittens, wenn Sublimits die Gesamtdeckungssumme de facto auf einen Bruchteil reduzieren.

Wird die Regulierung die Situation verbessern?

Die EU arbeitet an Standards für Cyber-Versicherungsverträge. Bis diese greifen, liegt die Verantwortung beim Versicherten: Policen gründlich prüfen, Voraussetzungen erfüllen und dokumentieren, im Zweifelsfall Rechtsberatung einholen.

Verwandte Artikel

• Die DSGVO schützt niemanden – Sieben Jahre Bürokratie ohne messbare Wirkung
• Cybersecurity-Trends 2026: Die 7 Entwicklungen, die Security-Entscheider kennen müssen
• Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung

Mehr aus dem MBF Media Netzwerk

• Risikomanagement für Entscheider auf mybusinessfuture.com
• Strategische IT-Entscheidungen auf digital-chiefs.de

Quelle Titelbild: Pexels

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer