Cyber-Versicherung 2026: Was der Versicherer wirklich prüft und was CISOs vorbereiten müssen

9 Min. Lesezeit

Über 40 Prozent der Unternehmen, die einen Cyber-Schadenfall melden, erhalten keine Auszahlung. 72 Prozent der kleinen und mittleren Unternehmen sind komplett unversichert. Und die Prämien steigen nach zwei Jahren des Rückgangs wieder um 15 bis 20 Prozent. Gleichzeitig wird das Underwriting technischer als je zuvor: Versicherer prüfen nicht mehr, ob MFA existiert, sondern ob es flächendeckend durchgesetzt wird. Die Unterscheidung zwischen Deckung und Ablehnung entscheidet sich an fünf konkreten Kontrollen.

Das Wichtigste in Kürze

40 Prozent der Claims werden nicht ausgezahlt: Fehlende MFA, schwache Incident-Response-Pläne und unüberwachte Endpunkte sind die häufigsten Ablehnungsgründe.
72 Prozent der KMU unversichert: In Deutschland, Frankreich, Italien und Spanien haben über 70 Prozent der Unternehmen keine Cyber-Versicherung. Nur 22 Prozent in Italien, 39 Prozent in UK.
Prämien steigen 15 bis 20 Prozent: Nach zwei Jahren sinkender Preise drehen die Prämien 2026. Unternehmen mit starken Kontrollen zahlen bis zu 60 Prozent weniger als solche ohne.
16,3 Mrd. US-Dollar globaler Markt 2025 (Munich Re). Bis 2034 wird der Markt auf über 220 Mrd. US-Dollar wachsen. Der DACH-Markt allein soll 2 Mrd. Euro erreichen.
5 Pflicht-Kontrollen: MFA überall, EDR auf allen Endpunkten, Immutable Backups, getesteter Incident-Response-Plan und dokumentiertes Patch-Management. Ohne diese fünf: keine Deckung.

Vom Fragebogen zur technischen Prüfung: Wie Underwriting 2026 funktioniert

Vor fünf Jahren bestand das Cyber-Underwriting aus einem Fragebogen mit 20 Ja/Nein-Fragen. Heute ist es ein technisches Assessment. Versicherer wie Munich Re, Allianz und Zurich arbeiten mit spezialisierten Dienstleistern, die die tatsächliche Sicherheitslage scannen, nicht nur die behauptete. Mehr dazu im Beitrag zu Cyber Versicherung.

Konkret prüfen Versicherer: Wie viele Konten haben MFA aktiviert (nicht 80 Prozent, sondern 100 Prozent)? Sind alle Endpunkte durch EDR abgedeckt (nicht nur die verwalteten, auch BYOD)? Werden Backups regelmäßig auf Wiederherstellbarkeit getestet (nicht nur erstellt)? Gibt es einen Incident-Response-Plan, der in den letzten 12 Monaten in einer Tabletop-Übung getestet wurde?

Die Konsequenz: Unternehmen, die bei der Antragstellung Kontrollen als vorhanden angeben, die in der Praxis nicht durchgesetzt werden, riskieren im Schadensfall die Leistungsverweigerung. Der Versicherer prüft nach dem Incident, ob die angegebenen Kontrollen zum Zeitpunkt des Angriffs tatsächlich aktiv waren. Waren sie es nicht, ist die Police nichtig.

40 %+

der Cyber-Claims werden nicht ausgezahlt

Quelle: Cyber Insurance Statistics 2025-2026

Die 5 Kontrollen die über Deckung oder Ablehnung entscheiden

1. MFA auf allen Konten und Systemen. Nicht nur für Admins, nicht nur für VPN-Zugang. Für jeden Benutzer, auf jedem Identitätssystem. Die Unterscheidung zwischen „MFA existiert“ und „MFA wird konsistent durchgesetzt“ ist der entscheidende Punkt im Underwriting. Phishing-resistente MFA (FIDO2, Hardware-Token) wird zunehmend bevorzugt gegenüber SMS oder App-basierter MFA.

2. EDR auf allen Endpunkten. Continuous Monitoring über alle Endpoints, mit aktiver Response-Fähigkeit. Nicht nur Detection, sondern Isolation und Remediation. CrowdStrike Falcon, Microsoft Defender for Endpoint oder SentinelOne sind die am häufigsten akzeptierten Lösungen. Antivirus allein wird nicht mehr anerkannt.

3. Immutable Backups mit dokumentiertem Restore-Test. Backups, die nicht durch Ransomware verschlüsselt oder gelöscht werden können. Air-Gapped oder Cloud-isoliert. Und der Nachweis, dass die Wiederherstellung regelmäßig getestet wird. Ein Backup ohne Restore-Test ist kein Backup.

4. Getesteter Incident-Response-Plan. Ein IR-Plan im Aktenordner reicht nicht. Versicherer fordern Nachweis einer Tabletop-Übung in den letzten 12 Monaten. Wer ist zuständig? Wie wird eskaliert? Wann wird der Versicherer informiert? Die meisten Policen verlangen eine Benachrichtigung innerhalb von 24 bis 72 Stunden nach Entdeckung eines Vorfalls.

5. Dokumentiertes Patch-Management. Kritische Patches innerhalb von 14 Tagen. Dokumentierte Ausnahmen mit Risikoakzeptanz. Automatisiertes Vulnerability-Scanning als Nachweis. Versicherer prüfen zunehmend die Mean Time to Patch (MTTP) als KPI.

„Versicherer haben sich von pauschalen versicherungsmathematischen Modellen zu technischem Underwriting entwickelt, das bewertet, wie Kontrollen tatsächlich funktionieren. Die Frage ist nicht mehr ob MFA existiert, sondern ob es konsistent durchgesetzt wird.“
SecureAIT, Cyber Insurance Requirements 2026

DACH-Markt: Unterversichert und im Umbruch

Der europäische Cyber-Versicherungsmarkt wurde 2025 auf 1,51 Mrd. US-Dollar geschätzt und soll bis 2034 auf 5,47 Mrd. US-Dollar wachsen (17 Prozent CAGR). Der deutsche Markt allein wird voraussichtlich 2 Mrd. Euro erreichen, getrieben von NIS2-Compliance-Anforderungen und wachsendem Bewusstsein nach medienwirksamen Angriffen auf deutsche Unternehmen.

Aber die Abdeckungsquote ist erschreckend niedrig. Über 70 Prozent der Unternehmen in Deutschland, Frankreich, Italien und Spanien sind unversichert. Im Mittelstand ist die Quote noch schlechter. Viele Unternehmen scheuen die Prämien oder scheitern am Underwriting: Ohne MFA, EDR und Backups gibt es keine Police.

Der DACH-Markt hat eine Besonderheit: Die Regulierungsdichte (NIS2, DORA, KRITIS-Dachgesetz) treibt die Nachfrage. Unternehmen, die unter NIS2 fallen, brauchen ohnehin die Kontrollen, die Versicherer fordern. Die Cyber-Versicherung wird damit zum Nebenprodukt der NIS2-Compliance: Wer compliant ist, bekommt auch eine Versicherung. Wer nicht compliant ist, bekommt weder noch.

KI-Ausschlüsse und neue Deckungslücken

2026 zeichnen sich neue Ausschlüsse ab, die CISOs kennen müssen. Versicherer führen zunehmend KI-spezifische Klauseln ein: Schäden durch Shadow AI (unautorisierte KI-Tool-Nutzung) können als grobe Fahrlässigkeit gewertet werden, wenn keine KI-Nutzungsrichtlinie existiert. KI-generierte Deepfake-Angriffe werden von einigen Policen explizit ausgeschlossen.

Weitere typische Ausschlüsse 2026: Krieg und staatlich gesponserte Angriffe (die Grenzziehung ist umstritten), systematische Cloud-Ausfälle eines Hyperscalers („systemic risk“), bekannte und nicht gepatchte Schwachstellen (nach Ablauf der Patch-Frist aus dem Versicherungsschutz) und freiwillige Lösegeldzahlungen ohne vorherige Abstimmung mit dem Versicherer.

Für CISOs bedeutet das: Die Police genau lesen. Nicht nur die Deckungssumme, sondern die Ausschlüsse. Ein typischer Fehler: Unternehmen schließen eine Cyber-Police ab und nehmen an, dass Ransomware-Lösegeld gedeckt ist. Bei vielen Policen ist es das nur, wenn der Versicherer vor der Zahlung eingebunden wird und die Zahlung explizit genehmigt.

Prämienoptimierung: Was wirklich den Preis drückt

Die fünf Pflicht-Kontrollen sind nicht nur Voraussetzung für Deckung. Sie bestimmen auch die Prämie. Unternehmen, die alle fünf Maßnahmen nachweisbar umgesetzt haben, zahlen 50 bis 60 Prozent weniger als Unternehmen ohne diese Kontrollen.

Zusätzliche Prämienreduktoren: Netzwerksegmentierung (begrenzt den Blast Radius eines Angriffs), DNS-Layer-Protection (filtert Bedrohungen bevor sie das Netzwerk erreichen), regelmäßige Penetrationstests (mindestens jährlich, dokumentiert) und ein SOC oder Managed Detection and Response (MDR)-Service.

Die günstigste Strategie: NIS2-Compliance als Basis herstellen (die Kontrollen überschneiden sich zu 80 Prozent mit den Versicherungsanforderungen), dann die Police abschließen. Wer erst die Versicherung abschließt und dann die Kontrollen implementiert, zahlt hohe Prämien und riskiert Leistungsverweigerung.

Fazit

Eine Cyber-Versicherung ist kein Ersatz für Security. Sie ist ein Auffangnetz für den Fall, dass Security versagt. Aber dieses Netz hat Löcher: 40 Prozent der Claims werden abgelehnt, und die Anforderungen steigen jährlich. Für DACH-Unternehmen ist die Kombination aus NIS2-Compliance und Cyber-Versicherung der pragmatischste Weg: Dieselben Kontrollen erfüllen beide Anforderungen. Die fünf Pflicht-Maßnahmen (MFA, EDR, Immutable Backups, getesteter IR-Plan und Patch-Management) sind nicht verhandelbar. Ohne sie gibt es 2026 weder Deckung noch Compliance. Mit ihnen sinken die Prämien um bis zu 60 Prozent. Die Rechnung ist einfach.

Häufige Fragen

Was kostet eine Cyber-Versicherung für den Mittelstand?

Für ein Unternehmen mit 50 bis 500 Mitarbeitenden: 3.000 bis 25.000 Euro Jahresprämie bei einer Deckungssumme von 1 bis 5 Mio. Euro. Die genaue Prämie hängt von Branche, Umsatz, IT-Sicherheitsniveau und Schadenshistorie ab. Unternehmen mit nachweisbar starken Kontrollen zahlen am unteren Ende der Spanne.

Kann der Versicherer im Schadensfall nachträglich die Deckung verweigern?

Ja. Wenn im Underwriting angegebene Kontrollen (z.B. MFA flächendeckend implementiert) zum Zeitpunkt des Angriffs nicht aktiv waren, kann der Versicherer die Leistung verweigern. Das gilt auch, wenn bekannte Schwachstellen nicht innerhalb der vereinbarten Frist gepatcht wurden. Die Police ist kein Blankoscheck, sondern an Bedingungen geknüpft.

Ist Ransomware-Lösegeld versichert?

Bei vielen Policen ja, aber nur unter Bedingungen: Der Versicherer muss vor der Zahlung eingebunden und die Zahlung genehmigt werden. Eigenständige Zahlungen ohne Abstimmung können den Versicherungsschutz aufheben. Einige Versicherer schließen Lösegeld komplett aus. Die Klausel muss vor Abschluss geprüft werden.

Welche Branchen zahlen die höchsten Prämien?

Gesundheitswesen, Finanzdienstleistungen und kritische Infrastruktur haben die höchsten Prämien, weil sie die attraktivsten Ziele für Angreifer sind und die strengsten regulatorischen Anforderungen haben. Fertigungsunternehmen und Logistik sind 2026 ebenfalls stärker betroffen, weil OT-Security-Vorfälle zunehmen.

Reicht eine Cyber-Versicherung als Security-Strategie?

Nein. Die Versicherung ist ein finanzieller Risikotransfer, kein technischer Schutz. Sie zahlt Kosten nach einem Vorfall (Forensik, Rechtsberatung, Benachrichtigungen, Betriebsunterbrechung). Sie verhindert den Vorfall nicht. Ohne die technischen Kontrollen (MFA, EDR, Backups) gibt es zudem keine Police. Security ist die Voraussetzung für die Versicherung, nicht umgekehrt.