Cyber-Versicherung 2026: Was Unternehmen wissen müssen, bevor sie eine Police abschließen

7 Min. Lesezeit

Der globale Cyber-Versicherungsmarkt wuchs 2024 auf 15,3 Milliarden US-Dollar. Gleichzeitig haben in Deutschland nur 17 Prozent der kleinen Unternehmen eine Police. NIS2, DORA und steigende Ransomware-Schäden machen Cyber-Versicherungen 2026 zur strategischen Pflicht. Dieser Praxischeck zeigt, was Versicherer fordern, welche Ausschlüsse lauern und wie Unternehmen den Antragsprozess bestehen.

Das Wichtigste in Kürze

🔒 Globaler Cyber-Versicherungsmarkt 2024: 15,3 Milliarden USD, Verdopplung bis 2030 erwartet (Munich Re, 2025).
📊 Nur 17 Prozent der kleinen Unternehmen in Deutschland haben Cyber-Versicherungsschutz (Market Research Future, 2025).
🛡️ MFA, EDR und ein getesteter Incident-Response-Plan sind die drei Pflichtanforderungen der Versicherer.
⚠️ Staatlich gesponserte Angriffe und systemische Ereignisse sind bei den meisten Policen ausgeschlossen (Lloyd’s, seit 2023).
📋 NIS2 ab Oktober 2026 und DORA seit Januar 2025 erhöhen die Mindestanforderungen an Cyber-Hygiene – und damit die Versicherbarkeit.

15,3 Mrd. USD

Globales Prämienvolumen Cyber-Versicherung 2024

Quelle: Munich Re, Global Cyber Risk and Insurance Survey 2025

Warum Cyber-Versicherung 2026 keine Option mehr ist

Die Rechnung ist simpel: Ein durchschnittlicher Ransomware-Vorfall kostet ein mittelständisches Unternehmen zwischen 250.000 und 2 Millionen Euro. Betriebsunterbrechung, forensische Analyse, Krisenkommunikation, Rechtsberatung und mögliche DSGVO-Bußgelder summieren sich schnell. Eine Cyber-Versicherung deckt genau diese Kosten ab. Mehr dazu im Beitrag zu Cyber Versicherung.

Trotzdem bleibt die Absicherung lückenhaft. Während große Konzerne längst Policen mit Deckungssummen im zweistelligen Millionenbereich führen, fehlt der Schutz bei kleinen und mittleren Unternehmen fast vollständig. In Deutschland haben laut einer Analyse von Market Research Future nur 17 Prozent der Kleinunternehmen eine Cyber-Police. Das Prämienvolumen in Deutschland lag 2023 bei rund 500 Millionen USD und soll bis 2035 auf 1,9 Milliarden USD wachsen.

Der regulatorische Druck verstärkt die Dringlichkeit: Mit NIS2 ab Oktober 2026 und DORA seit Januar 2025 steigen die Mindestanforderungen an Cybersicherheit in 18 Sektoren. Unternehmen ohne nachweisbare Sicherheitsmaßnahmen zahlen laut Munich Re deutlich höhere Prämien oder erhalten keinen Versicherungsschutz.

Was Versicherer vor Vertragsschluss prüfen

Der Antragsprozess für eine Cyber-Versicherung gleicht einer IT-Sicherheitsauditierung. Versicherer bewerten nicht mehr nur Umsatz und Branche, sondern die tatsächliche Sicherheitsarchitektur. Drei Maßnahmen sind dabei zur Mindestanforderung geworden:

Multi-Faktor-Authentifizierung (MFA): 95 Prozent der Versicherer fordern MFA auf E-Mail, VPN, Remote-Zugängen, Cloud-Plattformen und Admin-Konten. Laut Coalition wurden 2024 bei 82 Prozent der abgelehnten Schadensansprüche fehlende MFA als Mitursache identifiziert. Phishing-resistente Methoden wie FIDO2 oder Hardware-Keys werden zunehmend verlangt.

Endpoint Detection and Response (EDR): 89 Prozent der Versicherer setzen EDR auf allen Endgeräten voraus. Dabei reicht die Installation allein nicht: Versicherer fragen nach der Reaktionszeit, dem Monitoring-Prozess und der Dokumentation. Laut Branchenerhebungen reduziert EDR den Impact eines Sicherheitsvorfalls um durchschnittlich 65 Prozent.

Incident-Response-Plan: Ein schriftlicher, getesteter Notfallplan mit definierten Rollen und Kontaktlisten ist Pflicht. Versicherer prüfen, wann der Plan zuletzt getestet wurde und ob Abhilfemaßnahmen nachverfolgbar dokumentiert sind.

Darüber hinaus verlangen viele Policen verschlüsselte Offline-Backups, regelmäßige Vulnerability Scans und Mitarbeiterschulungen gegen KI-generiertes Phishing.

82 %

der abgelehnten Claims hatten keine MFA implementiert

Quelle: Coalition, Cyber Claims Report 2024

Die Ausschlüsse, die Unternehmen kennen müssen

Keine Cyber-Versicherung deckt alles ab. Die wichtigsten Ausschlüsse:

Staatlich gesponserte Angriffe: Seit März 2023 verlangt Lloyd’s of London, dass nationale Cyber-Angriffe aus Policen ausgeschlossen werden. Das gilt auch für Attacken in Friedenszeiten, wenn eine Regierung nachweislich beteiligt ist. Begründung: Das systemische Risiko ist für den Versicherungsmarkt nicht tragbar.

Systemische Katastrophenereignisse: Wenn ein koordinierter Angriff auf einen großen Cloud-Provider Tausende Unternehmen gleichzeitig trifft, greifen sogenannte Aggregate Exposure Limits. Die Police zahlt dann nur anteilig oder gar nicht.

Sorgfaltspflicht-Verstöße: Unternehmen, die trotz bekannter Schwachstellen keine Patches einspielen oder Sicherheitsmaßnahmen nachweislich vernachlässigen, riskieren die Ablehnung von Schadensansprüchen.

Die Konsequenz: Eine Police allein schützt nicht. Sie muss in ein dokumentiertes Sicherheitskonzept eingebettet sein, das die Ausschlussgründe systematisch adressiert.

Prämien-Entwicklung: Entspannung nach dem Hard Market

Nach drastischen Preiserhöhungen zwischen 2020 und 2022 hat sich der Markt beruhigt. Der QCC Price Index sank von seinem Höchststand bei 340 Punkten (2022) auf 269 Punkte Ende 2024. In den USA fielen die Prämien im vierten Quartal 2024 um durchschnittlich 5 Prozent. Gleichzeitig erwarten laut Branchenumfragen 48 Prozent der Versicherer für 2025 wieder moderate Preisanstiege.

Die Erklärung: Große Unternehmen haben massiv in Cybersicherheit investiert. Laut Allianz Commercial sank der Claims-Schweregrad um über 50 Prozent, große Schäden über eine Million Euro gingen um rund 30 Prozent zurück. Das bessere Risikoprofil der Versicherten drückt die Prämien.

Für den Mittelstand bedeutet das eine Chance: Wer jetzt die Sicherheitsanforderungen erfüllt, bekommt bessere Konditionen als noch vor zwei Jahren.

NIS2 und DORA: Regulatorischer Rückenwind für die Versicherbarkeit

Die EU-Regulierung verändert die Ausgangslage grundlegend. NIS2 betrifft rund 30.000 Unternehmen in Deutschland und fordert Risikomanagement-Maßnahmen, Meldepflichten und Geschäftsführerhaftung. DORA reguliert den Finanzsektor mit eigenen Anforderungen an das IKT-Risikomanagement und Drittanbieter-Überwachung.

Für den Versicherungsmarkt hat das zwei Effekte: Erstens steigt die Nachfrage, weil Unternehmen ihre Restrisiken nach der Compliance-Umsetzung transferieren wollen. Zweitens sinkt das Gesamtrisiko, weil die regulierten Unternehmen ihre Cyber-Hygiene verbessern müssen.

In der Praxis bedeutet das: Unternehmen, die ihre NIS2-Compliance nachweisen können, werden bei Versicherern bevorzugt behandelt. Die Investition in Compliance zahlt sich doppelt aus – als Schutz vor Bußgeldern und als Hebel für günstigere Prämien.

Fünf Schritte zur passenden Cyber-Police

1. Risikoinventur durchführen: Welche Systeme, Daten und Prozesse sind geschäftskritisch? Welche Schäden drohen bei einem Ausfall? Diese Analyse bildet die Basis für die Deckungssumme.

2. Sicherheitsmaßnahmen dokumentieren: MFA, EDR, Backup-Strategie, Patch-Management und Incident-Response-Plan müssen nicht nur existieren, sondern nachweisbar dokumentiert sein. Versicherer prüfen das im Antragsprozess.

3. Ausschlüsse verstehen: Jede Police hat blinde Flecken. Staatliche Angriffe, systemische Ereignisse und Sorgfaltspflicht-Verstöße sind die drei kritischsten Ausschlussklauseln.

4. Deckungssumme realistisch kalkulieren: Die durchschnittlichen Kosten eines Ransomware-Vorfalls, Betriebsunterbrechungskosten pro Tag und regulatorische Bußgelder sollten in die Kalkulation einfließen.

5. Spezialmakler einschalten: Der Cyber-Versicherungsmarkt ist komplex. Spezialisierte Makler kennen die Anforderungsprofile der Versicherer und können die Konditionen deutlich verbessern.

Fazit

Cyber-Versicherung ist kein Ersatz für Cybersicherheit, sondern deren logische Ergänzung. Unternehmen, die MFA, EDR und einen getesteten Incident-Response-Plan nachweisen können, bekommen bessere Konditionen als je zuvor. Gleichzeitig wachsen die Ausschlüsse: Staatliche Angriffe und systemische Katastrophen bleiben unversicherbar. Wer die regulatorischen Anforderungen aus NIS2 und DORA als Investition in die eigene Versicherbarkeit begreift, gewinnt doppelt – durch Compliance und durch niedrigere Prämien.

Häufige Fragen

Wie viel kostet eine Cyber-Versicherung für ein mittelständisches Unternehmen?

Die Jahresprämie hängt von Branche, Umsatz, Deckungssumme und Sicherheitsniveau ab. Für ein Unternehmen mit 50 bis 250 Mitarbeitenden liegen die Prämien typischerweise zwischen 3.000 und 25.000 Euro pro Jahr. Unternehmen mit nachweisbaren Sicherheitsmaßnahmen zahlen deutlich weniger als solche ohne MFA oder EDR.

Welche Schäden deckt eine Cyber-Versicherung ab?

Typische Deckungsbausteine sind Forensikkosten, Rechtsberatung, Krisenkommunikation, Lösegeldzahlungen bei Ransomware, Betriebsunterbrechungsschäden und DSGVO-Bußgelder. Die genaue Deckung variiert je nach Police.

Können staatlich gesponserte Angriffe versichert werden?

In der Regel nicht. Seit 2023 verlangen die meisten Versicherer auf Initiative von Lloyd’s of London den Ausschluss nationaler Cyber-Angriffe. Das betrifft auch Angriffe in Friedenszeiten, wenn eine Regierung nachweislich beteiligt ist. Für betroffene Unternehmen bedeutet das ein Restrisiko, das sie selbst tragen müssen.

Muss ich NIS2-konform sein, um eine Cyber-Versicherung zu bekommen?

NIS2-Compliance ist keine formale Voraussetzung für eine Police. In der Praxis fordern Versicherer jedoch Maßnahmen, die sich stark mit den NIS2-Anforderungen überschneiden: Risikomanagement, Incident Response, Zugangskontrolle und Lieferkettensicherheit. Wer NIS2 erfüllt, erfüllt auch die meisten Versicherungsanforderungen.

Was passiert, wenn ich einen Schaden melde und der Versicherer ablehnt?

Die häufigsten Ablehnungsgründe sind fehlende Sicherheitsmaßnahmen, die im Antrag zugesichert wurden, oder Ausschlussklauseln wie staatliche Angriffe. Unternehmen sollten ihren Antrag wahrheitsgemäß ausfüllen und die Ausschlüsse vor Vertragsschluss genau prüfen. Bei strittigen Fällen kann ein spezialisierter Versicherungsanwalt helfen.