Der deutsche Markt für Cyberversicherungen hat in den letzten fünf Jahren drei klar voneinander unterscheidbare Phasen durchlaufen. Wer heute eine Police verhandelt, profitiert davon, diese Entwicklung zu kennen — sie erklärt, warum Versicherer so detailliert prüfen, weshalb bestimmte Klauseln plötzlich obligatorisch sind und an welcher Stelle Spielräume in der Verhandlung verblieben sind.
Vom Wachstumsmarkt zum Risikoauswahlmarkt
Zwischen etwa 2017 und 2020 war Cyberversicherung in Deutschland ein Wachstumsmarkt mit hoher Aufnahmebereitschaft. Versicherer warben aktiv um Neukunden, die Fragebögen waren kurz, technische Anforderungen wurden eher abgefragt als geprüft. Der Verband Gesellschaft Deutscher Versicherer (GDV) berichtet für diese Periode eine starke Zunahme der gezeichneten Verträge — bei gleichzeitig moderaten Prämien.
Mit der Ransomware-Welle ab 2020 — Emotet, Conti, REvil, später LockBit und Black Basta — kippte die Schadenbilanz. Großschäden im siebenstelligen Bereich wurden zur Realität, Lieferkettenangriffe wie der Kaseya VSA-Vorfall im Juli 2021 trafen rund 50 bis 60 MSPs direkt und über sie schätzungsweise 800 bis 1.500 Endkunden, und Business-Email-Compromise-Fälle führten zu Direktschäden, gegen die klassische Vermögensschadenhaftpflicht-Komponenten nicht greifen. Die kombinierte Schaden-Kosten-Quote im Cyber-Segment erreichte laut GDV im Spitzenjahr 2021 rund 124 Prozent und schwankt seither in der Nähe der 100-Prozent-Marke — der Markt arbeitet mit dünnen Margen.
Die Reaktion war pragmatisch: Prämien stiegen, Versicherer zogen sich aus exponierten Segmenten zurück, Maklerangebote wurden restriktiver. Vor allem aber wurden die Annahmeprüfungen verschärft. Aus einem Wachstumsmarkt wurde ein Risikoauswahlmarkt — und genau in dieser Phase befinden wir uns seit etwa 2023. Versicherer wählen Risiken differenziert aus, anstatt Marktanteile um jeden Preis zu sichern. Die Folge: Unternehmen mit nachweislich solidem Sicherheitsniveau erhalten weiterhin Angebote zu vertretbaren Konditionen. Wer die technischen Mindeststandards nicht erfüllt, erhält entweder gar kein Angebot oder Konditionen, die die Police wirtschaftlich uninteressant machen.
Was Versicherer heute treibt
Drei Schadenkategorien dominieren die Statistiken der letzten Jahre. An erster Stelle stehen Ransomware-Vorfälle mit doppelter Erpressung — Verschlüsselung der produktiven Systeme kombiniert mit der Drohung, vorher abgezogene Daten zu veröffentlichen. Schadenhöhen bewegen sich nach Erfahrungswerten aus Marsh- und Aon-Marktberichten sowie aus deutschen Ransomware-Fällen typischerweise im sechsstelligen Bereich für KMU und können bei mittelgroßen Unternehmen siebenstellig werden — mit nach oben offenem Tail bei Konzernen oder besonders kritischer Wertschöpfung. Konkrete Durchschnittswerte schwanken je Studie und Erhebungsmethode erheblich.
An zweiter Stelle stehen Lieferkettenangriffe — von kompromittierten MSPs über Schwachstellen in weit verbreiteter Software (SolarWinds, MOVEit, später CrowdStrike-Ausfall im Juli 2024 als Verfügbarkeitsereignis) bis zu Angriffen auf Cloud-Drittanbieter. Versicherer haben gelernt, dass der Schaden bei einem einzigen Lieferkettenvorfall hunderte ihrer Versicherten gleichzeitig treffen kann. Genau deshalb tauchen in modernen Fragebögen detaillierte Fragen zur Drittanbieterbewertung auf.
An dritter Stelle steht Business Email Compromise, also gezielte Manipulation des E-Mail-Verkehrs zur Umlenkung von Zahlungen. Die Schäden sind oft kleiner als bei Ransomware, dafür aber häufiger — und sie korrelieren stark mit fehlenden E-Mail-Authentifizierungsmechanismen (SPF, DKIM, DMARC) und unzureichender Awareness in Buchhaltung und Einkauf. Mehr dazu in unserem Blogbeitrag Phishing erkennen und sich schützen.
Drei Trends in den Fragebögen
Aus den Schadenstatistiken folgen drei Entwicklungen in den Risikofragebögen, die sich quer durch alle relevanten Versicherer zeigen.
Erstens hat die Detailtiefe der Fragebögen stark zugenommen. Wo früher fünf bis zehn allgemeine Fragen ausreichten, umfassen heutige Fragebögen nach Erfahrungswerten typischerweise 40 bis 80 Einzelfragen — bei größeren oder komplexen Risiken auch deutlich mehr und teils mit obligatorischen Nachweisanlagen. Manche Versicherer arbeiten mit gestaffelten Fragebögen — ein Kurzfragebogen für kleinere Unternehmen, ein vertiefter Bogen ab einer bestimmten Umsatzgrenze oder Branchenexposition.
Zweitens sind aus früher empfohlenen Maßnahmen harte Ausschluss-Voraussetzungen geworden. MFA auf allen Remote-Zugängen und administrativen Konten, EDR statt klassischer Antivirus-Software auf allen Endpoints, immutable beziehungsweise offline gehaltene Backups, ein dokumentierter Incident-Response-Prozess. Versicherer formulieren diese Punkte zunehmend nicht mehr als „werden empfohlen", sondern als „werden vorausgesetzt". Wer „Nein" ankreuzt, erhält in der Regel kein zeichnungsfähiges Angebot — unabhängig von der Prämienbereitschaft.
Drittens ist die Police selbst subjektiver geworden. Sublimits für Ransomware-Zahlungen, BEC-Schäden oder Betriebsunterbrechung; Wartezeiten von 8 bis 24 Stunden bei Business Interruption; Ausschlüsse bei bekannt gewesenen, aber nicht gepatchten Schwachstellen; und seit dem Lloyd's Market Bulletin Y5381 vom August 2022 ein verpflichtender Cyber-War-Ausschluss für alle Lloyd's-Cyber-Standalone-Policen ab dem 31. März 2023, der sich faktisch auch durch den deutschen Markt zieht. Diese Klauseln sind verhandelbar — aber nur mit Argumenten, die auf der eigenen Sicherheitsdokumentation aufbauen.
Wer braucht eine Cyberversicherung wirklich?
Die Frage „Brauchen wir das?" ist nüchtern zu beantworten. Eine Cyberversicherung ist nicht für jedes Unternehmen sinnvoll und ersetzt in keinem Fall die zugrundeliegenden Sicherheitsmaßnahmen. Sie ist ein finanzieller Stoßdämpfer für Restrisiken, die trotz angemessener Härtung verbleiben.
Klar sinnvoll ist eine Police für Unternehmen, die personenbezogene Daten in größerem Umfang verarbeiten und damit unter DSGVO-Meldepflichten und mögliche Bußgelder fallen; für Unternehmen, die NIS2-pflichtig sind und Geldbußen wegen Verletzung der Sorgfaltspflicht riskieren; für Unternehmen mit hoher Wertschöpfungsabhängigkeit von IT-Systemen, bei denen ein mehrtägiger Ausfall existenzbedrohend wäre; und für Unternehmen in Branchen mit hohem Angriffsdruck oder spezifischen regulatorischen Anforderungen — Gesundheit, Finanzdienstleister mit DORA, Energieversorger, kommunale IT-Dienstleister.
Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Die Registrierungsfrist für besonders wichtige und wichtige Einrichtungen ist am 6. März 2026 abgelaufen. Wer in den Anwendungsbereich fällt — grundsätzlich Unternehmen ab 50 Mitarbeitenden in den geregelten Sektoren — unterliegt nun verbindlichen Risikomanagement-Pflichten, Meldepflichten gegenüber dem BSI und einer persönlichen Haftung der Leitungsorgane. Versicherer beziehen sich in ihren Fragebögen zunehmend explizit auf den NIS2-Pflichtstatus, und die Schnittmenge zwischen den NIS2-Anforderungen und den Versicherer-Mindeststandards ist erheblich. Wer die NIS2-Pflichten erfüllt, hat in der Regel auch 70 bis 80 Prozent der Versicherer-Anforderungen umgesetzt. Eine vertiefte Auseinandersetzung mit den NIS2-Anforderungen finden Sie in unserem NIS2-Compliance-Leitfaden.
Für Finanzdienstleister kommt DORA (Verordnung (EU) 2022/2554) hinzu, die seit dem 17. Januar 2025 verbindlich anwendbar ist. DORA stellt zusätzliche Anforderungen an Lieferkettenrisiko, Test-Resilienz und Vorfall-Meldungen, die mit den Versicherer-Erwartungen weitgehend deckungsgleich sind.
Nicht für jedes Unternehmen empfehlenswert
Auf der anderen Seite gibt es Konstellationen, in denen eine Cyberversicherung schwer wirtschaftlich darstellbar ist oder schlicht nicht angeboten wird. Sehr kleine Unternehmen ohne nennenswerte IT-Abhängigkeit, Unternehmen ohne strukturierten Sicherheitsbetrieb (weder MFA, noch EDR, noch dokumentierte Backups), und Unternehmen in Branchen mit pauschalem Risikoaufschlag erhalten häufig Angebote, deren Selbstbehalt und Sublimits die ohnehin überschaubare Versicherungsleistung weitgehend aufzehren.
In diesen Fällen ist die ehrliche Antwort: Erst die Mindestmaßnahmen umsetzen, dann die Versicherung beantragen. Die Reihenfolge ist nicht umkehrbar — Versicherer akzeptieren keine „werden wir nächstes Jahr nachholen"-Antworten. Genau diese Mindestmaßnahmen sind das Thema der folgenden Kapitel.
Wenn Sie unsicher sind, wie weit Sie aktuell von einem zeichnungsfähigen Sicherheitsniveau entfernt sind: Unser kostenloser Cyber-Versicherung Readiness-Check liefert in wenigen Minuten eine erste Einschätzung anhand der Fragen, die typischerweise in den Risikofragebögen auftauchen.