Warum der Versicherungsfragebogen heute über Deckung oder Ablehnung entscheidet
Cyber-Versicherungen sind in den letzten Jahren von einem optionalen Zusatzbaustein zu einem zentralen Element der unternehmerischen Risikovorsorge geworden. Mit der wachsenden Schadenlast — getrieben durch Ransomware, Lieferkettenangriffe und Phishing — haben die Versicherer ihre Annahmekriterien grundlegend verschärft. Was 2019 noch mit einem zweiseitigen Fragebogen erledigt war, ist heute eine technische Tiefenprüfung mit typischerweise 40 bis 80 Einzelfragen — bei größeren oder komplexen Risiken auch deutlich mehr.
In der Praxis sehen wir zwei problematische Muster: Entweder Unternehmen werden gar nicht erst angenommen, weil sie elementare Anforderungen wie Multi-Faktor-Authentifizierung für Remote-Zugänge oder unveränderbare Backups nicht nachweisen können — oder sie unterschreiben den Fragebogen in gutem Glauben, ohne die Lage präzise zu kennen. Beides ist teuer: Im ersten Fall fehlt der Schutz, im zweiten droht im Schadensfall die Leistungsfreiheit des Versicherers wegen vorvertraglicher Anzeigepflichtverletzung.
Der Fragebogen ist juristisch eine Risikoanfrage (§ 19 VVG). Bei fahrlässig unrichtigen Angaben drohen Rücktritt oder Vertragsanpassung (§§ 19, 21 VVG), bei arglistiger Täuschung die Anfechtung (§ 22 VVG) — in beiden Fällen droht der Wegfall des Versicherungsschutzes genau in dem Moment, in dem er gebraucht wird. Die Geschäftsführung haftet persönlich, wenn sie Angaben bestätigt, die intern nicht verifiziert wurden.
Dieser Leitfaden ordnet die typischen Anforderungen der Cyber-Versicherer entlang von sechs technischen und organisatorischen Kontrollfeldern. Für jedes Feld zeigen wir, was Versicherer konkret abfragen, welche Nachweise erwartet werden und welche Maßnahmen in der Vorbereitung Priorität haben.
Erste Standortbestimmung in zehn Minuten: Unser kostenloser Cyber-Versicherungs-Readiness-Check führt durch die typischen Fragen eines Antrags und zeigt unmittelbar, welche der sechs Kontrollfelder bei Ihnen tragfähig sind und wo Lücken bestehen.
Die sechs Kontrollfelder im Überblick
Die großen deutschen und internationalen Cyber-Versicherer haben ihre Fragebögen in den letzten Jahren weitgehend angeglichen. Die folgenden sechs Felder tauchen in nahezu jedem Antrag auf — die Detailtiefe unterscheidet sich, das Grundgerüst nicht.
| # | Kontrollfeld | Typische Mindestanforderung |
|---|---|---|
| 1 | Patch- und Update-Management | Dokumentierter Prozess, kritische Patches innerhalb 14–30 Tagen |
| 2 | Multi-Faktor-Authentifizierung | MFA für Remote-Zugänge, Admin-Konten und Cloud-Dienste |
| 3 | Backup und Wiederherstellung | Offline- oder unveränderbare Sicherungen, regelmäßige Restore-Tests |
| 4 | Netzwerksicherheit und Segmentierung | EDR auf Endpoints, dokumentierte Firewall-Regeln, OT-Trennung |
| 5 | Privilegierte Zugriffe und IAM | Rollenmodell, Trennung Admin/User, Joiner-Mover-Leaver-Prozess |
| 6 | Monitoring, Logging und Incident Response | Zentrales Log-Management, dokumentierter IR-Plan, Eskalationsketten |
Wer diese sechs Felder belastbar nachweisen kann, bekommt in der Regel auch Deckung — und zu Prämien, die sich nicht jährlich verdoppeln. Wer Lücken hat, sollte sie vor dem Antrag schließen — und nicht im Fragebogen verschleiern.
1. Patch- und Update-Management
Versicherer fragen heute nicht mehr nur ab, ob ein Patch-Prozess existiert, sondern wie er funktioniert: Wer ist verantwortlich? Wie schnell werden kritische Schwachstellen geschlossen? Wie wird die Wirksamkeit überprüft? Üblich sind Vorgaben wie „kritische Patches innerhalb von 14 Tagen, hohe innerhalb von 30 Tagen" — je nach Versicherer und Risikoklasse.
Die häufigsten Schwachpunkte in der Praxis sind nicht fehlende Patches auf Workstations, sondern die Randbereiche: Server, die niemand mehr neu startet, Appliances ohne Wartungsvertrag, Legacy-Systeme im Produktionsnetz, Edge-Geräte wie VPN-Konzentratoren oder Firewalls. Genau diese Systeme stehen aber besonders im Fokus von Angreifern, weil sie aus dem Internet erreichbar sind.
Für den Nachweis erwarten Versicherer ein Inventar aller patchpflichtigen Systeme, ein SLA für die Einspielung und ein nachvollziehbares Reporting. Wer das nur in Excel führt, gerät in Erklärungsnot, sobald nach Stichproben gefragt wird.
Wie wir unterstützen: Bei der Bestandsaufnahme des Patch-Stands über die externe und interne Angriffsoberfläche unterstützen wir im Rahmen der IT-Schwachstellenprüfung — als offizieller Tenable-Partner auch mit Tenable Vulnerability Management, Nessus oder Identity Exposure. Für laufende, audit-fertige Reports mit BSI-Mapping kann unser Produkt Auditor eine Rolle spielen.
2. Multi-Faktor-Authentifizierung
MFA ist die Frage Nummer eins in jedem aktuellen Fragebogen — und der mit Abstand häufigste Ablehnungsgrund, wenn sie fehlt. Versicherer fragen MFA in der Regel für vier Bereiche getrennt ab: Remote-Zugänge (VPN, RDP, Citrix), Cloud- und SaaS-Dienste (Microsoft 365, Google Workspace), administrative und privilegierte Konten sowie externer E-Mail-Zugriff (OWA, Webmail).
Wer hier auch nur in einem Feld „nein" oder „teilweise" ankreuzt, bekommt entweder keine Police oder einen Risikozuschlag in der Größenordnung des sonstigen Sicherheitsbudgets. Besonders kritisch: SMS-basierte Verfahren werden zunehmend nicht mehr als ausreichend anerkannt, weil sie sich per SIM-Swapping umgehen lassen. Phishing-resistente Verfahren — FIDO2-Tokens, Authenticator-Apps mit Number-Matching oder Windows Hello for Business — sind der neue De-facto-Standard.
In der Praxis scheitert MFA selten an der Technik — sondern an Ausnahmen: dem Geschäftsführer, der „nicht gestört werden will", dem Service-Account ohne zweiten Faktor, der alten Niederlassung mit eigener Anmeldung. Genau nach diesen Lücken wird gefragt.
Wie wir unterstützen: Die MFA-Einführung auf Active Directory, Entra ID und Anwendungsebene begleiten wir als Teil von Identity & Access Hardening. Für geteilte Geschäftszugänge ist Bitwarden mit integrierter TOTP-Verwaltung eine Option, die wir als Bitwarden-Partner anbieten — Open-Source und DSGVO-konform. Die organisationsweite Erzwingung von Zwei-Faktor-Anmeldung und SSO erfolgt über Enterprise-Policies; im Teams-Plan ist 2FA pro Konto möglich, aber nicht zentral durchsetzbar.
3. Backup und Wiederherstellung
Bei Ransomware-Vorfällen entscheidet das Backup über Schadenshöhe und Existenz. Entsprechend detailliert wird gefragt: Wie oft wird gesichert? Wo liegen die Sicherungen? Sind sie offline oder unveränderbar? Wer kann die Sicherungen löschen? Wann wurde der letzte Restore-Test durchgeführt — und zwar vollständig, nicht nur für einzelne Dateien?
Der Goldstandard ist die 3-2-1-1-0-Regel: drei Kopien, auf zwei verschiedenen Medien, eine außer Haus, eine unveränderbar (immutable) oder offline (air-gapped), null Fehler beim getesteten Restore. Versicherer akzeptieren immer seltener Setups, in denen das Backup-System mit denselben Domain-Admin-Konten verwaltet wird wie die Produktion — denn genau diese Konten kompromittieren Angreifer zuerst.
Auch organisatorisch wird genauer geprüft: Die Restore-Tests müssen dokumentiert sein, mit Datum, Umfang und Ergebnis. Ein „Wir testen regelmäßig" ohne Belege reicht nicht. Im Schadensfall verlangen Versicherer die Vorlage der letzten Testprotokolle, bevor Leistungen freigegeben werden.
Wie wir unterstützen: Beim Absichern der Backup-Infrastruktur gegen kompromittierte Admin-Konten unterstützen wir im Rahmen der Systemhärtung — etwa mit getrennten Tier-0-Konten für die Sicherungsumgebung oder mit Immutability auf Storage-Ebene. Restore-Prozeduren können Teil der Security-Dokumentation sein. Als Veeam-Partner begleiten wir Architektur-Entscheidungen rund um Immutable Repositories, Hardened Linux Repository und Restore-Tests.
4. Netzwerksicherheit und Segmentierung
Versicherer haben gelernt, dass das einzelne Firewall-Regelwerk am Perimeter wenig über das tatsächliche Sicherheitsniveau aussagt. Gefragt wird heute nach der Tiefe der Verteidigung: Gibt es EDR auf allen Endpoints — auch auf Servern? Sind Produktion und Office getrennt? Existiert eine Mikrosegmentierung zwischen kritischen Workloads? Wie oft werden externe und interne Schwachstellenscans durchgeführt?
Besonders bei Industrieunternehmen prüfen Versicherer die Trennung zwischen IT und OT. Eine flache Netzwerkarchitektur, in der die SPS-Steuerung von jedem Büro-PC aus erreichbar ist, ist heute ein Ausschlusskriterium — oder zumindest ein erheblicher Prämientreiber. Auch bei klassischen Mittelstandsnetzen ohne OT wird die Frage nach lateraler Bewegung relevant: Wer von einer kompromittierten Workstation ohne Weiteres an den Domain Controller kommt, hat ein Segmentierungsproblem.
EDR ist inzwischen Pflicht, nicht Kür. Klassische signaturbasierte Antiviren-Lösungen werden bei Audits zunehmend als unzureichend bewertet. Versicherer akzeptieren namhafte EDR/XDR-Lösungen mit zentralem Management und 24/7-Reaktionsfähigkeit — auch über externe SOC-Dienstleister.
Wie wir unterstützen: Bei Zero-Trust-Architektur, Mikrosegmentierung und Firewall-Optimierung können wir als Teil von Netzwerksicherheit helfen. EDR-Rollouts begleiten wir typischerweise zusammen mit Systemhärtung und Identity & Access Hardening; für Cloud-Workloads kann Tenable Cloud Security zur kontinuierlichen Exposure-Bewertung ergänzen.
5. Privilegierte Zugriffe und Identity Management
Active Directory ist nach wie vor der zentrale Angriffsvektor in Windows-Umgebungen — entsprechend tief steigen die Versicherer hier ein. Gefragt wird nach Tiering, nach Anzahl und Verwendung von Domain-Admin-Konten, nach LAPS für lokale Administratorpasswörter, nach getrennten Konten für administrative Tätigkeiten und nach einem dokumentierten Joiner-Mover-Leaver-Prozess.
Die häufigsten Funde aus unserer Praxis: dauerhafte Domain-Admin-Rechte für drei bis zehn Personen, identische lokale Administratorpasswörter auf allen Workstations, Service-Accounts mit Kennwort-Einstellung „läuft nie ab" und Domain-Admin-Mitgliedschaft, ausgeschiedene Mitarbeiter mit aktiven Konten. Jeder dieser Punkte ist ein eigenes Feld im Fragebogen — und jeder kann zu Risikozuschlägen oder Sublimits führen.
Privileged Access Management wird inzwischen explizit abgefragt. Just-in-Time-Zugriff statt dauerhaft zugewiesener Rechte, Vier-Augen-Freigabe für kritische Aktionen, lückenloser Audit-Trail — Versicherer kennen die Begriffe und wollen Belege, nicht Absichtserklärungen.
Wie wir unterstützen: Bei Tiering-Modell, LAPS, GMSA und Protected Users können wir als Teil von Identity & Access Hardening begleiten. Für die zentrale Verwaltung von Bitlocker-Recovery-Keys, LAPS-Passwörtern und privilegierten Zugriffen in einem Tresor mit Audit-Trail kann unser Privilege Access Manager eine Rolle spielen.
6. Monitoring, Logging und Incident Response
Der letzte Block des Fragebogens betrifft das, was im Ernstfall zählt: Erkennen Sie einen Vorfall — und wissen Sie, was zu tun ist? Versicherer fragen nach zentralem Log-Management mit Mindest-Aufbewahrungszeiten (häufig 6–12 Monate), nach aktivem Anomalie-Monitoring durch ein SOC oder einen MDR-Dienstleister, nach einem dokumentierten Incident-Response-Plan mit Eskalationsketten und nach definierten Notfallkontakten innerhalb und außerhalb des Unternehmens.
Der dokumentierte IR-Plan ist mehr als ein PDF in der Schublade. Versicherer erwarten benannte Rollen (Incident Manager, Forensik-Lead, Kommunikations-Lead), erreichbare Notfall-Telefonnummern, Vorlagen für Behörden- und Kundenkommunikation und mindestens eine jährliche Tabletop-Übung. Wer das hat, profitiert in den Konditionen: Mehrere Versicherer bieten separate Sublimits oder einen Nil-Deductible für Incident-Response-Kosten sowie bessere Prämienkonditionen, wenn das Incident-Handling sauber strukturiert ist.
Für den Mittelstand ohne eigenes SOC sind externe MDR-Dienstleister (Managed Detection and Response) der pragmatische Weg. Versicherer akzeptieren diese, sofern Verträge, SLAs und Schnittstellen zur eigenen IT klar dokumentiert sind.
Wie wir unterstützen: Bei Betriebshandbüchern, SOPs und IR-Runbooks können wir als Teil der Security-Dokumentation & Compliance helfen — inklusive Mapping auf ISO 27001 und BSI IT-Grundschutz.
Falsche Angaben im Fragebogen: Wo die größten Fallstricke liegen
Die größte Gefahr beim Versicherungsantrag ist nicht die Ablehnung, sondern der unwissentlich falsch ausgefüllte Fragebogen. Wer „MFA für alle Admin-Konten" bestätigt, ohne zu wissen, dass drei Service-Accounts mit Domain-Admin-Rechten ohne zweiten Faktor laufen, riskiert im Schadensfall die Leistungsfreiheit des Versicherers — und die persönliche Haftung derjenigen in der Geschäftsführung, die die Angabe unterschrieben haben.
Drei Empfehlungen aus der Praxis: Erstens den Fragebogen nicht von einer einzelnen Person ausfüllen lassen, sondern fachlich aufteilen — IT-Leitung für Infrastruktur, IAM-Verantwortlicher für Identitäten, CISO oder externer Berater für die Gesamtprüfung. Zweitens jede „Ja"-Antwort mit einem Nachweis hinterlegen (Konfigurations-Screenshot, Policy-Dokument, Audit-Log). Drittens: vor der Unterschrift eine externe Plausibilitätsprüfung durch ein unabhängiges Audit — der vergleichsweise kleine Aufwand verhindert sechsstellige Schäden im Ernstfall.
Zwischen Antrag und Schadensfall: Was sich jährlich ändert
Ein einmal ausgefüllter Fragebogen ist keine Bestandsgarantie. Die meisten Policen sehen jährliche Selbstauskünfte vor, in denen wesentliche Änderungen anzuzeigen sind: neue Standorte, neue Cloud-Dienste, organisatorische Umstrukturierungen, Mergers & Acquisitions. Werden solche Anzeigen versäumt, kann der Versicherer im Schadensfall die Deckung verweigern — auch wenn der eigentliche Vorfall mit der ursprünglichen Änderung nichts zu tun hatte.
Pragmatisch heißt das: Die Pflege der Cyber-Versicherung muss Teil des Change- und Risikomanagements werden. Bei jedem größeren Infrastruktur-Vorhaben gehört die Frage „Muss der Versicherer informiert werden?" auf die Checkliste — neben den klassischen technischen und betrieblichen Auswirkungen.
Fazit: Anforderungen als Sicherheits-Roadmap nutzen
Die Anforderungen der Cyber-Versicherer sind kein bürokratisches Übel, sondern eine belastbare Zusammenfassung dessen, was 2026 als angemessenes Sicherheitsniveau für mittelständische Unternehmen gilt. MFA überall, getestete Backups, EDR auf allen Endpoints, sauberes Tiering im Active Directory, dokumentierte Incident Response — das sind genau die Maßnahmen, die auch NIS2, ISO 27001 und der BSI IT-Grundschutz verlangen.
Wer die sechs Kontrollfelder belastbar umsetzt, profitiert dreifach: bessere Risikolage, akzeptable Versicherungsprämien und Compliance gegenüber NIS2 und Kundenanforderungen. Wer die Lücken hingegen im Fragebogen kosmetisch glättet, kauft sich ein Risiko ein, das im Schadensfall zur Existenzfrage werden kann.
Versicherungsfähig werden, ohne den Fragebogen zu schönen. In einem Erstgespräch ordnen wir Ihre Umgebung entlang der typischen Anforderungen großer deutscher und internationaler Versicherer ein: MFA-Abdeckung, Backup-Strategie, EDR-Rollout, AD-Tiering, IR-Reife. Daraus ergibt sich eine ehrliche Lücken-Analyse — und wir besprechen, wo wir an welcher Stelle unterstützen können. Gespräch vereinbaren.