Aufklärung · kein Versicherungsverkauf

Cyberversicherung für KMU –
neutral erklärt, technisch vorbereitet

Diese Seite klärt auf: Was eine Cyberversicherung 2026 abdeckt, was typischerweise ausgeschlossen ist, welche technischen Voraussetzungen Versicherer verlangen und wie sich Direktversicherer, Cyber-Spezialisten und Makler unterscheiden. Das IFCSD ist weder Versicherer noch Makler – wir machen Ihr Unternehmen technisch versicherbar (MFA, Backup, EDR, Dokumentation) und übersetzen Risikofragebögen und Obliegenheiten in verständliche Sprache. Den passenden Tarif schließen Sie über einen zugelassenen Makler oder Versicherer ab.

Versicherbarkeit prüfen (BSI-Check) Was Versicherer verlangen

Unsere Rolle: Versicherer und Makler verkaufen Versicherungen – das IFCSD nicht. Wir bringen Ihr KMU technisch auf das Niveau, das Versicherer voraussetzen, und erklären die Bedingungen verständlich. So gehen Sie vorbereitet in den Risikofragebogen und das Gespräch mit Makler oder Versicherer.

Was eine Cyberversicherung typischerweise abdeckt

Es gibt nicht die eine Cyberversicherung. Policen für KMU sind in Deutschland meist modular aufgebaut. Die unverbindlichen Musterbedingungen des GDV (AVB Cyber, Stand 02.2024) gliedern den Schutz in einen Basisbaustein (Schäden durch Informationssicherheitsverletzung – Verlust von Verfügbarkeit, Integrität oder Vertraulichkeit), einen Drittschaden-/Haftpflichtbaustein, einen Eigenschadenbaustein und ein Assistance-Modul. Welche Bausteine enthalten sind, entscheidet über den realen Schutz – nicht der Preis allein.

Eigenschäden & Assistance

IT-Forensik, Datenwiederherstellung, Wiederherstellung der IT-Systeme, Krisenkommunikation/PR, Rechtsberatung und eine 24/7-Notfall-Hotline mit Incident-Response-Teams. Für KMU ohne eigene Security-Abteilung ist diese Notfallhilfe im Ernstfall oft wertvoller als die nominale Versicherungssumme.

Drittschäden / Haftpflicht

Greift, wenn Kunden, Partner oder Betroffene Schadensersatz fordern – etwa nach Datenschutzverletzungen. Wichtig: DSGVO-Bußgelder gegen das eigene Unternehmen sind je nach Police und Rechtslage nur eingeschränkt oder gar nicht versicherbar – im Angebot prüfen.

Betriebsunterbrechung

Ersetzt entgangenen Gewinn und fortlaufende Kosten bei Systemstillstand. Entscheidend sind Haftzeit, Warte-/Karenzzeit und Bemessungsgrundlage. Prüfen, ob auch Ausfälle bei Ihren Cloud-/IT-Dienstleistern mitgedeckt sind.

Lösegeld & Cyber-Erpressung

Viele Policen decken Lösegeld grundsätzlich, aber unter strengen Auflagen (Abstimmung mit Versicherer, letztes Mittel, teils Sublimits). Ein Verbot, Lösegeld zu versichern, gibt es in Deutschland nicht (IMK Dez. 2024). Die Zahlung selbst kann rechtlich heikel sein (§§ 129/129b StGB, § 18 AWG bei sanktionierten Empfängern); das BSI rät grundsätzlich ab. Besser: Prävention statt Hoffnung auf Erstattung.

Was typischerweise ausgeschlossen ist

Eine ehrliche Seite nennt auch die Grenzen. Häufige Ausschlüsse – maßgeblich bleibt immer das konkrete Bedingungswerk:

  • Krieg & kritische Infrastruktur: Seit der GDV-Neufassung 02.2024 sind ausdrücklich auch mit digitalen Mitteln geführte Kriege sowie Folgen erfolgreicher staatlicher Angriffe auf kritische Infrastrukturen ausgeschlossen. Reichweite je Tarif unterschiedlich.
  • Vorsatz & bekannte Vorfälle: Regelmäßig nicht gedeckt. Positiv: In den GDV-Musterbedingungen ist die Leistungskürzung bei grober Fahrlässigkeit abbedungen – das konkrete Bedingungswerk ist entscheidend.
  • Folgen verletzter Obliegenheiten: Werden zugesagte Sicherheitsmaßnahmen nicht eingehalten und ist das kausal für den Schaden, kann der Versicherer kürzen oder leistungsfrei werden – der häufigste Streitpunkt im Schadenfall.
  • Social Engineering / CEO-Fraud: Betrugszahlungen (Fake-President) sind je nach Tarif unterschiedlich geregelt – teils ausgeschlossen, teils nur als Zusatzbaustein. Gezielt im Angebot prüfen.

Voraussetzungen & Obliegenheiten 2026 – hier setzt das IFCSD an

2026 sind bestimmte Sicherheitsmaßnahmen bei nahezu allen Versicherern faktische Voraussetzung und zugleich vertragliche Obliegenheit. Die genauen Anforderungen legt jeder Versicherer im Risikofragebogen fest – diese gehören zum Marktstandard:

MFA überall

Multi-Faktor-Authentifizierung für E-Mail, VPN/Remote, Cloud und Admin-Konten.

EDR

Endpoint Detection & Response auf allen Endgeräten – klassischer Virenschutz reicht nicht mehr.

Getestete Backups

3-2-1, zunehmend 3-2-1-1-0 mit immutable/offline-Kopie. Restore-Tests dokumentieren.

Patch-Management

Dokumentierte Fristen für kritische Updates (häufig 14–30 Tage).

Least Privilege

Berechtigungskonzept – Mitarbeiter nur mit den Rechten, die sie wirklich brauchen.

Awareness-Schulungen

Nachweisbare, regelmäßige Mitarbeiterschulungen – inkl. Phishing-Sensibilisierung.

Ein Aufwand, zwei Ziele: Diese Maßnahmen decken sich weitgehend mit den Pflichten aus NIS2 (in Deutschland über das BSIG). Wer NIS2 sauber umsetzt, erfüllt meist auch die Versicherungs-Obliegenheiten. Und: Im Schadenfall trägt der Versicherungsnehmer die Beweislast, dass die zugesagten Maßnahmen eingehalten wurden – deshalb ist prüffeste, laufende Dokumentation so wertvoll.

Wie KMU sich auf den Abschluss vorbereiten

Zentrales Instrument ist der Risikofragebogen (GDV-Musterfragebogen): Er erhebt Geschäftsmodell, Umsatz, Branche und vor allem den IT-Sicherheitsstand. Am besten setzen KMU die Maßnahmen vor der Antragstellung um und belegen sie – das verbessert Annahme und Prämie. So begleitet das IFCSD:

1

IST-Analyse

Strukturierte Bestandsaufnahme nach BSI CyberRisikoCheck (DIN SPEC 27076): Was ist vorhanden, was fehlt, was ist falsch konfiguriert?

2

Maßnahmenplan für Versicherbarkeit

Wir priorisieren genau die Maßnahmen, die Versicherer voraussetzen – damit Sie den Risikofragebogen wahrheitsgemäß und vorteilhaft beantworten können.

3

Technische Umsetzung

MFA, Backup-Konzept, EDR, Netzwerksegmentierung – wir setzen direkt um oder begleiten Ihr IT-Team.

4

Dokumentation für den Versicherer

IT-Sicherheitskonzept, Backup-/Restore-Protokolle, Schulungsnachweise, Patch-Protokolle – prüffest für den Schadenfall.

Gut zu wissen: Ein früherer Vorfall ist kein automatischer Ausschlussgrund. Manche Versicherer bieten bis etwa 20 Mio. € Umsatz vereinfachte Verfahren ohne umfangreichen Fragebogen, teils gekoppelt an einen Security-Baustein (Anbieterangabe, Stand 2026; im Bedingungswerk prüfen). Den eigentlichen Vergleich und Abschluss übernimmt ein zugelassener Makler oder der Versicherer – das IFCSD bleibt neutraler technischer Partner, ohne Provisionsinteresse.

Anbietertypen im Überblick – neutral, ohne Tarifempfehlung

Der Markt teilt sich grob in drei Kategorien. Diese Übersicht ist eine Orientierung, keine vollständige Marktübersicht und keine Empfehlung. Konkrete Prämien, Summen und Bedingungen variieren stark, sind verhandelbar und änderungsabhängig – maßgeblich ist das aktuelle Bedingungswerk (Stand 2026). Genannte Namen sind neutrale Beispiele.

Direktversicherer / Komposit
z. B. Allianz, HDI, R+V, VHV, Gothaer, Zurich, Württembergische, Helvetia
Für wen geeignet
KMU mit Standardrisiken; oft gebündelt mit anderen Gewerbepolicen. Tarife meist nach Jahresumsatz zugeschnitten.
Stärke
Etablierte Risikoträger, finanziell stark, bequemer (teils Online-)Abschluss, Bündelung mit bestehenden Verträgen.
Worauf achten
Standardtarif des Hauses; Versicherungssumme und Sublimits können gedeckelt sein; oberhalb der Umsatzschwelle wird es Individualgeschäft. Markt in Bewegung (einzelne Rückzüge aus größeren Gewerberisiken).
Cyber-Spezialversicherer / MGA
z. B. Hiscox, Markel, Coalition, Stoïk, Baobab, Beazley, Chubb
Für wen geeignet
KMU, die neben der Police aktive Cybersicherheit und schnelle Incident-Response wollen; teils volldigitale Antragsstrecke über Makler.
Stärke
Aktive Cybersicherheit: Schwachstellen-Scans, EDR/MDR, Phishing-Simulationen, 24/7-Notfall-/CERT-Teams. Schaden soll verhindert, nicht nur reguliert werden.
Worauf achten
Bei MGAs trägt nicht der Markenname, sondern ein dahinterstehender Risikoträger das Risiko – Finanzstärke prüfen. Strengere technische Mindestanforderungen. Strukturen können sich ändern.
Makler & Vergleichsplattformen
z. B. CyberDirekt, Finanzchef24, Finlex, Thinksurance; Industriemakler Marsh, Aon, Funk, Hoesch & Partner
Für wen geeignet
KMU, die mehrere Bedingungswerke vergleichen, Sonderrisiken abdecken oder Schadenbegleitung wünschen. Plattformen eher Standardrisiken, Industriemakler den gehobenen Mittelstand.
Stärke
Anbieterneutraler Marktvergleich, Bedingungsanalyse, Hilfe beim Risikofragebogen und Interessenvertretung im Schadenfall (der Makler arbeitet für das Unternehmen).
Worauf achten
Anbieterpanel und genannte Zahlen sind teils Eigenangaben (Stand 2026, nicht unabhängig geprüft); Online-Vergleich bildet Komplexität nur begrenzt ab. Reine Plattform ist keine persönliche Beratung.

Wichtig bei Spezialisten: Viele Cyber-Spezialisten sind Assekuradeure bzw. MGAs (Managing General Agents). Sie zeichnen mit Vollmacht, tragen das Risiko aber nicht selbst, sondern über einen dahinterstehenden Risikoträger (z. B. ein Lloyd's-Syndikat oder Komposit-/Industrieversicherer). Sinnvolle Frage vor Abschluss: Wer steht hinter der Police und wie finanzstark ist dieser Risikoträger? Der Markt ist jung und in Bewegung.

Warum ein spezialisierter Makler oft sinnvoll ist – und wo das IFCSD aufhört

Cyberpolicen unterscheiden sich stark bei Sublimits, Ausschlüssen, Warte-/Karenzzeiten und Obliegenheiten. Ein Online-Tarifvergleich bildet das nur begrenzt ab – die entscheidenden Punkte stehen im Bedingungswerk. Ein spezialisierter Makler liest die Bedingungen, markiert kritische Klauseln, hilft beim Risikofragebogen und begleitet im Schadenfall. Die Maklercourtage ist in der Regel im Beitrag einkalkuliert; ein Maklerabschluss ist daher meist nicht teurer als ein Direktabschluss. Für sehr einfache Standardrisiken kann ein Direktabschluss schneller sein.

Hintergrund 2026: Die Annahmerichtlinien werden härter. Laut Branchenberichten wird ein erheblicher Teil der Anträge abgelehnt, weil das IT-Sicherheitsniveau nicht ausreicht – häufig kleine und mittlere Unternehmen. Die technische Vorbereitung ist die eigentliche Hürde, nicht das Formular.

Die Grenze des IFCSD: Wir machen mehrere Abschlussmöglichkeiten neutral namhaft und stellen auf Wunsch Kontakt her – ohne Produktberatung, ohne Empfehlung eines konkreten Tarifs und ohne Mitwirkung im Zeichnungsprozess. Für Tarifvergleich, Beratung und Abschluss ist ein zugelassener Makler oder Berater zuständig.

Häufige Fragen zur Cyberversicherung

Ist eine Cyberversicherung für mein KMU sinnvoll?

Für die meisten KMU ist sie sinnvoll, weil Cyberangriffe zu den häufigsten Schadensursachen zählen und ein Vorfall (Ransomware, Betriebsunterbrechung, Forensik, Haftung) schnell existenzbedrohende Kosten verursachen kann. Ob und in welchem Umfang eine Police passt, hängt von Risikolage, Branche und IT-Abhängigkeit ab. Das IFCSD klärt neutral auf und macht Ihr Unternehmen technisch versicherbar – die Bedarfs- und Tarifentscheidung treffen Sie mit einem zugelassenen Makler/Versicherer.

Was verlangen Versicherer 2026 typischerweise?

Marktüblich sind: MFA für externe und privilegierte Zugänge, regelmäßige und getestete Backups (3-2-1 bzw. 3-2-1-1-0), EDR, dokumentiertes Patch-Management mit Fristen, ein Berechtigungskonzept und nachweisbare Mitarbeiterschulungen. Die genauen Anforderungen legt jeder Versicherer im Risikofragebogen fest. Fehlen diese Maßnahmen, erschwert das den Abschluss erheblich oder führt zu höheren Prämien bzw. Ausschlüssen.

Was deckt eine Cyberversicherung ab – und was nicht?

Typisch gedeckt: Eigenschäden (Forensik, Datenwiederherstellung, IT-Wiederherstellung, Krisenmanagement, 24/7-Notfallhilfe), Betriebsunterbrechung, Drittschäden/Haftpflicht und – unter Auflagen – Cyber-Erpressung/Lösegeld. Häufig ausgeschlossen: Krieg und (seit GDV 02.2024) mit digitalen Mitteln geführte Kriege bzw. Folgen staatlicher Angriffe auf kritische Infrastrukturen, Vorsatz, bekannte Vorfälle sowie Folgen verletzter Obliegenheiten. Social-Engineering-Fälle sind je nach Tarif unterschiedlich geregelt. Maßgeblich ist das konkrete Bedingungswerk.

Was sind Obliegenheiten und was passiert bei Verletzung?

Obliegenheiten sind vertragliche Pflichten, die Sie dauerhaft erfüllen müssen – nicht nur beim Abschluss (MFA aktiv lassen, Patches einspielen, Backups testen, Vorfälle fristgerecht melden). Werden sie verletzt und ist das kausal für den Schaden, kann der Versicherer kürzen oder verweigern. Im Schadenfall trägt der Versicherungsnehmer die Beweislast, dass die Maßnahmen eingehalten wurden. Deshalb ist laufende, prüffeste Dokumentation so wichtig.

Was kostet eine Cyberversicherung für KMU?

Eine pauschale Zahl wäre unseriös: Die Prämie hängt stark von Umsatz, Branche, IT-Reifegrad, Deckungssumme und Selbstbehalt ab und wird individuell kalkuliert. Einstiegsprämien für sehr kleine Betriebe können niedrig sein, steigen aber mit Größe und Risiko deutlich an. Ein nachgewiesen gutes Sicherheitsniveau wirkt sich günstig auf Annahme und Beitrag aus. Verbindliche Zahlen liefert ausschließlich ein konkretes Angebot eines Maklers oder Versicherers.

Vermittelt oder vergleicht das IFCSD Versicherungen?

Nein. Das IFCSD ist weder Versicherer noch Versicherungsmakler oder -berater im Sinne des § 34d GewO. Wir vermitteln keine Verträge, berechnen keine Tarife und sprechen keine Tarifempfehlung aus. Unsere Leistung ist die technische und organisatorische Vorbereitung Ihres Unternehmens auf die Versicherbarkeit (MFA, Backup, EDR, Dokumentation) sowie die verständliche Aufbereitung von Anforderungen und Obliegenheiten. Für Vergleich, Beratung und Abschluss wenden Sie sich an einen zugelassenen Makler oder Versicherer; mehrere Anbieter nennen wir auf Wunsch neutral.

Wir machen Ihr KMU versicherbar

Das IFCSD prüft kostenlos, ob Ihre IT-Sicherheitslage den aktuellen Versicherungsanforderungen entspricht – und setzt um, was fehlt. Den Tarif schließen Sie anschließend selbst über Makler oder Versicherer ab. Telefonisch: +49 391 59756243 (Mo–Fr 9–17 Uhr)

BSI CyberRisikoCheck starten Erstgespräch anfragen