Cyberversicherung: Vom Fragebogen zum verhandelten Vertrag

In den letzten fünf Jahren hat sich der deutsche Markt für Cyberversicherungen grundlegend gewandelt. Was 2019 noch eine vergleichsweise unkomplizierte Zusatzpolice war, ist heute ein detailgetriebenes Prüfverfahren, in dem Versicherer technische Mindeststandards verbindlich abfragen und ohne deren Nachweis weder zeichnen noch zu wirtschaftlich tragbaren Konditionen anbieten. Multi-Faktor-Authentifizierung auf allen Remote-Zugängen, EDR auf jedem Endpoint, immutable Backups, getestete Wiederanlaufprozesse und ein dokumentierter Incident-Response-Plan sind aus optionalen Maßnahmen zu Voraussetzungen für die Annahme geworden. Wer diese Anforderungen nicht erfüllen kann, erhält entweder gar kein Angebot, hohe Selbstbehalte, Ausschlüsse zentraler Risiken — oder eine Police, die im Schadenfall wegen falscher Angaben angefochten wird.

Dieser Leitfaden richtet sich an die drei Funktionen, die in der Praxis am Cyberversicherungs-Prozess beteiligt sind: an die Geschäftsführung und den Vorstand, die am Ende die Police verhandelt und unterschreibt; an CISOs und IT-Leiter, die den technischen Reifegrad ihres Unternehmens gegenüber dem Versicherer nachweisen müssen; und an Risikomanager und Compliance-Beauftragte, die den Schnittpunkt zwischen NIS2, DSGVO und vertraglichen Sorgfaltspflichten abdecken. Inhaltlich begleitet er Sie in sieben Kapiteln von der Marktanalyse über die Anatomie des Risikofragebogens, die konkrete Umsetzung der technischen Mindeststandards und der Identity-Härtung, Backup und Lieferkettenrisiken, den Incident-Response-Plan bis hin zur Verhandlung der Police und einer abschließenden Reifegrad-Checkliste.

Hinweis: Dieser Leitfaden ersetzt keine rechtliche oder versicherungsrechtliche Beratung und nimmt keine konkrete Bewertung einzelner Tarife oder Anbieter vor. Maklerwahl, Vertragsbedingungen und der Umgang mit Sanktionsrecht im Schadenfall bleiben Sache spezialisierter Versicherungsmakler, Versicherungsjuristen und bei Bedarf des Bundeskriminalamts beziehungsweise der zuständigen Aufsichts- und Strafverfolgungsbehörden. Wir liefern hier eine operative Vorbereitung — keine konkrete Versicherer-Empfehlung.

Was dieser Leitfaden liefert

Der Leitfaden ist als zusammenhängender Vorbereitungsweg angelegt. In den ersten beiden Kapiteln betrachten wir zunächst den aktuellen Versicherungsmarkt: Welche Schadenereignisse treiben die Prämienentwicklung, welche Trends in den Risikofragebögen sind sichtbar, und welche regulatorischen Vorgaben — insbesondere das seit dem 6. Dezember 2025 in Kraft befindliche NIS2-Umsetzungsgesetz (NIS2UmsuCG) und für Finanzdienstleister DORA — überlagern sich mit den Versicherer-Anforderungen. Anschließend zerlegen wir einen typischen Risikofragebogen in seine Bausteine und zeigen, welche Stufenfragen fast jede Annahmeentscheidung tragen.

In den Kapiteln drei bis sieben folgt die operative Umsetzung. Kapitel 3 behandelt die technischen Mindeststandards — MFA, EDR, Patch-Management, Awareness — auf einem für den deutschen Mittelstand realistisch erreichbaren Niveau, ohne in unverbindliche „Best Practices" zu verfallen. Kapitel 4 vertieft den Identity- und Privileged-Access-Block, der bei Versicherern eine überproportionale Rolle spielt: Active-Directory-Tiering, Entra-ID-Härtung, PAM im engeren Sinn versus Secret-Management. Kapitel 5 widmet sich Backup, Wiederanlauf und der Drittanbieter-/Lieferkettenbewertung — der Bereich, in dem Versicherer im Schadenfall am genauesten prüfen. Kapitel 6 strukturiert den Incident-Response-Plan inklusive der gesetzlichen Meldepflichten nach DSGVO Art. 33 und NIS2 Art. 23. Kapitel 7 schließt mit der Vertragsverhandlung, den typischen Ausschlüssen, einer Auseinandersetzung mit Lösegeldzahlungen unter Sanktions- und Strafrecht und einer Reifegrad-Checkliste.

Für wen ist dieser Leitfaden?

Der Leitfaden richtet sich an Unternehmen, die entweder erstmals eine Cyberversicherung beantragen oder bei der Folge-Erneuerung mit deutlich verschärften Anforderungen konfrontiert sind. Er ist auf den deutschen Mittelstand zugeschnitten — typischerweise Unternehmen zwischen 50 und 5.000 Mitarbeitenden — und berücksichtigt die spezifischen Rahmenbedingungen wie BSI-Grundschutz, den BSI CyberRisikoCheck nach DIN SPEC 27076, NIS2UmsuCG und für Finanzdienstleister DORA.

Wir setzen kein versicherungstechnisches Vorwissen voraus, aber Grundkenntnisse über die eigene IT-Landschaft und die wichtigsten Sicherheitsmaßnahmen sind hilfreich. Der Inhalt ist bewusst neutral gehalten: Wir nennen keine konkreten Versicherer, keine Tarife und geben keine Maklerempfehlungen. Die Verhandlung selbst bleibt bei spezialisierten Maklern und Versicherern. Unser Beitrag ist die operative Vorbereitung — also genau der Teil, in dem ein Unternehmen seine Verhandlungsposition selbst beeinflussen kann.

Bevor Sie in die Kapitel einsteigen, lohnt sich eine kurze Standortbestimmung mit unserem kostenlosen Cyber-Versicherung Readiness-Check. Das Tool fragt die zentralen Punkte eines typischen Versicherer-Fragebogens ab und liefert eine erste Einschätzung, an welchen Stellen Sie nachschärfen sollten — bevor der Risikofragebogen tatsächlich auf Ihrem Schreibtisch liegt.