Cyberversicherung für KMU: Was Versicherer 2026 technisch verlangen
Eine Cyberpolice gibt es 2026 nicht mehr ohne technischen Mindeststandard. Wir zeigen aus der Audit-Praxis, was Versicherer wirklich prüfen, wo Leistungen verweigert werden und warum die Police kein Ersatz für IT-Security ist.
Eine Cyberversicherung war vor wenigen Jahren ein Häkchen im Versicherungsordner: Antrag ausfüllen, Beitrag zahlen, fertig. Das ist vorbei. Wir begleiten in unseren IT-Security-Audits regelmäßig KMU im Berchtesgadener und Traunsteiner Land, die einen Antrag oder eine Verlängerung vor sich haben — und die Fragebögen der Versicherer sind 2026 ein technisches Audit für sich. Wer die Mindestanforderungen nicht erfüllt, bekommt entweder keine Police, einen Beitrag, der wehtut, oder im Schadensfall eine Leistungskürzung. Genau diese Lücke zwischen "wir haben eine Police" und "die Police zahlt auch" sehen wir in der Praxis am häufigsten.
Dieser Beitrag fasst zusammen, was Versicherer technisch voraussetzen, was eine Police abdeckt und was nicht, welche Ausschlüsse regelmäßig zum Streit führen — und wie Sie die Prämie senken, ohne sich etwas vorzumachen.
Warum die Anforderungen so streng geworden sind
Der Grund ist einfach: Die Versicherer haben in den Ransomware-Jahren Geld verloren. Die Folge ist ein Markt, der genau hinschaut, bevor er ein Risiko zeichnet. Hinzu kommt der regulatorische Druck. Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft; betroffene Einrichtungen registrieren sich seit Januar 2026 über das Meldeportal des BSI, besonders wichtige Einrichtungen bis spätestens 6. März 2026. Auch viele KMU, die formal unter den Schwellenwerten liegen, geraten über ihre größeren Auftraggeber in den Sog dieser Anforderungen — und Versicherer richten ihre Fragebögen zunehmend an genau diesem Sicherheitsniveau aus. Mehr dazu in unserem Beitrag zu NIS2 für den Mittelstand in Bayern.
Die fünf technischen Voraussetzungen, die fast jeder Versicherer prüft
Die Fragebögen unterscheiden sich im Detail, aber fünf Punkte tauchen praktisch überall auf. Das sind dieselben Kontrollen, die wir in einem IT-Security-Audit ohnehin prüfen — der Versicherer formuliert nur, was technisch ohnehin sinnvoll ist.
1. Multi-Faktor-Authentifizierung (MFA) — überall. MFA ist 2026 die harte Eintrittsschwelle. Verlangt wird sie für alle externen Zugänge (VPN, Remote-Desktop), für jedes E-Mail-Konto und für alle privilegierten und administrativen Accounts. Für normale Nutzerkonten akzeptieren viele Versicherer noch SMS-basierte Verfahren, für Admin-Zugänge zunehmend nicht mehr — dort wird eine App- oder Hardware-Token-Lösung erwartet. Wichtig: Es zählt der gelebte Zustand. Wer im Antrag "MFA aktiv" ankreuzt, dann aber das Admin-Postfach "aus Bequemlichkeit" ausnimmt und genau dort kompromittiert wird, riskiert die vollständige Leistungsverweigerung.
2. Backups — getrennt, getestet, unveränderbar. Gefordert wird in der Regel die Anlehnung an die 3-2-1-Regel, zunehmend in der Variante 3-2-1-1: drei Kopien, zwei verschiedene Medientypen, eine Kopie ausgelagert und eine in einem unveränderbaren (immutable) oder physisch getrennten (air-gapped) Zustand. Der Punkt, an dem es im Schadensfall scheitert, ist fast nie das Backup selbst, sondern der nie durchgeführte Wiederherstellungstest. Ein Backup, das im Ernstfall nicht zurückspielbar ist, ist kein Backup. Die saubere Trennung der Backup-Infrastruktur vom produktiven Netz ist dabei eine Frage der Netzwerk- und Infrastrukturarchitektur.
3. Patch-Management mit definierten Fristen. Versicherer wollen sehen, dass kritische Sicherheitsupdates nicht "irgendwann" eingespielt werden, sondern innerhalb fester Fristen — kritische Lücken üblicherweise innerhalb weniger Tage. Dazu gehört ein Überblick darüber, welche Systeme überhaupt existieren. Ein veraltetes System, das niemand mehr auf dem Schirm hat, ist im Audit wie im Schadensfall der wunde Punkt.
4. EDR/XDR statt klassischem Virenschutz. Classischer signaturbasierter Virenschutz reicht den Versicherern nicht mehr. Erwartet wird Endpoint Detection and Response (EDR) oder XDR — eine Lösung, die verdächtiges Verhalten erkennt, ein kompromittiertes Gerät isolieren kann und Reaktionsfähigkeit dokumentiert. Idealerweise mit Anbindung an eine 24/7-Überwachung.
5. Notfall- und Wiederanlaufplan. Gefragt ist ein dokumentierter Incident-Response-Plan: Wer entscheidet im Ernstfall, wer wird wann informiert, wie wird gemeldet (NIS2 und DSGVO haben eigene Meldefristen), und wie läuft der Betrieb wieder an. Ergänzend prüfen viele Versicherer ein sauberes Berechtigungskonzept, E-Mail-Sicherheit (SPF, DKIM, DMARC) sowie Mitarbeiterschulungen gegen Phishing.
Was abgedeckt ist — und was regelmäßig nicht
Eine gute Cyberpolice deckt typischerweise drei Bereiche: Eigenschäden (Forensik, Datenwiederherstellung, Betriebsunterbrechung, Krisenkommunikation, in vielen Fällen auch Lösegeldzahlungen), Drittschäden (Haftung gegenüber Kunden und Partnern, deren Daten betroffen sind) und Serviceleistungen im Ernstfall (Zugriff auf Forensiker, Juristen, Krisendienstleister). Gerade der letzte Punkt ist für ein KMU ohne eigene Security-Abteilung oft der wertvollste Teil.
Was dagegen regelmäßig nicht oder nur eingeschränkt greift:
- Obliegenheitsverletzungen. Das ist der häufigste Streitpunkt. Wer im Antrag Sicherheitsmaßnahmen zusichert, die nicht durchgängig gelebt werden, riskiert die Kürzung oder Verweigerung der Leistung. Fehlende MFA an einer einzigen Stelle reicht aus.
- Krieg und staatliche Angriffe. Die Musterbedingungen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) enthalten seit der Überarbeitung von 2024 eine Kriegs- und Staatsangriffsklausel, die ausdrücklich auch digitale Kriegsführung ohne physische Waffen erfasst. Schäden als Folge eines erfolgreichen staatlichen Angriffs auf kritische Infrastruktur sind regelmäßig ausgeschlossen. Diese Klauseln sind in der Branche umstritten und je nach Versicherer unterschiedlich weit gefasst — ein Punkt, den man im Vertrag genau lesen sollte.
- Bekannte, nicht behobene Schwachstellen. Ein Vorfall, der auf eine seit Monaten bekannte und nicht gepatchte Lücke zurückgeht, wird gerne als grobe Fahrlässigkeit eingeordnet.
- Reine Vermögensschäden ohne Sicherheitsvorfall, Bußgelder, Verträge mit Subunternehmern — je nach Bedingungswerk sehr unterschiedlich geregelt.
Ein Hinweis aus der Praxis: Der Cyberversicherungsmarkt ist in Deutschland nach wie vor schlecht standardisiert. Die meisten Anbieter orientieren sich an den GDV-Musterbedingungen, weichen aber im Detail teils erheblich ab. Zwei Policen mit ähnlichem Beitrag können im Schadensfall völlig unterschiedlich zahlen.
Wie Sie die Prämie senken — ehrlich
Die wirksamsten Hebel sind genau die fünf technischen Maßnahmen oben. Jede nachweisbare Verbesserung — flächendeckende MFA, EDR, getestete immutable Backups, ein dokumentierter Notfallplan — verbessert die Risikoeinstufung und damit den Beitrag. Hinzu kommt: Wer das Sicherheitsniveau real anhebt, senkt nicht nur die Prämie, sondern auch die Eintrittswahrscheinlichkeit des Schadens. Das ist der einzige Hebel, der in beide Richtungen wirkt.
Zwei weitere Stellschrauben, die seriös sind: ein angemessener Selbstbehalt (er senkt den Beitrag und diszipliniert intern) und ein unabhängiges Security-Audit als Nachweis. Wenn ein externer Bericht belegt, dass die zugesicherten Maßnahmen tatsächlich umgesetzt sind, hilft das doppelt — bei der Beitragsverhandlung und im Schadensfall, wenn der Versicherer die Obliegenheiten prüft. Was wir Geschäftsführern dagegen abraten: den Antrag "optimistisch" auszufüllen. Jede geschönte Angabe ist eine Sollbruchstelle für den Tag, an dem die Police wirklich zahlen soll.
Warum die Police kein Ersatz für IT-Security ist
Das ist der Kernpunkt, und wir sagen ihn unseren Kunden im Berchtesgadener Land sehr direkt: Eine Cyberversicherung ist eine finanzielle Risikoabsicherung für den Fall, dass trotz aller Maßnahmen etwas passiert. Sie ist kein Schutz. Sie verhindert keinen einzigen Angriff, sie stellt keine Daten wieder her, die nie gesichert wurden, und sie ersetzt keine Mitarbeitenden, die ein Phishing-Mail erkennen. Im Gegenteil: Die Police setzt voraus, dass Sie die Security-Hausaufgaben gemacht haben — und prüft das härter als die meisten Geschäftsführer erwarten.
Die sinnvolle Reihenfolge ist deshalb umgekehrt zu dem, was viele tun. Erst das Sicherheitsniveau auf einen Stand bringen, der den Anforderungen standhält — dann die Police als Restrisikoabsicherung darüberlegen. Wer es andersherum versucht, kauft im Zweifel ein Stück Papier, das im Ernstfall mit Verweis auf die Obliegenheiten verweigert.
Wir gehen das mit Kunden als IT-Security-Audit an: Wir nehmen die fünf Versicherer-Kriterien als Mindestmaßstab, prüfen den realen Stand — MFA, Backup-Wiederherstellung, Patch-Stände, Endpoint-Schutz, Netzwerktrennung, Notfallplan — und priorisieren, was vor dem nächsten Antrag oder der nächsten Verlängerung zu tun ist. Das Ergebnis ist kein Bericht für die Schublade, sondern eine Liste, mit der Sie sowohl den Versicherungsfragebogen sauber beantworten als auch tatsächlich sicherer werden. Wenn Sie eine Police vor sich haben oder verlängern, ist das der bessere Zeitpunkt als der Tag nach dem Vorfall.
Projekt besprechen?
Wir setzen um, was wir hier beschreiben — in Bayern und dem gesamten DACH-Raum.
mailKontakt aufnehmenWeitere Artikel
NIS2 Praxisstand Mitte 2026: Das Gesetz ist da — was Sie jetzt konkret tun müssen
Das NIS2-Umsetzungsgesetz ist in Kraft — ohne Übergangsfrist. Status Mitte 2026, Betroffenheit auch als Zulieferer, und eine umsetzbare Reihenfolge für KMU.
Docker-Sicherheit im Mittelstand: Wie Sie Container produktiv und sicher betreiben
Container landen oft ungeplant in der Produktion - ohne Härtung, ohne Monitoring. Was wir bei KMU-Umgebungen immer wieder sehen und wie Sie nachbessern.
Passkeys (FIDO2) in Microsoft Entra ID: phishing-resistente Anmeldung für KMU
Klassische MFA per SMS oder App-Code lässt sich abfangen. Passkeys nicht. Wie Sie passwortlose, phishing-resistente Anmeldung in Microsoft 365 sauber einführen.