Wer einen Risikofragebogen zum ersten Mal in der Hand hat, wird vom Detailgrad überrascht sein. Ein typischer Fragebogen umfasst heute nach Erfahrungswerten zwischen 40 und 80 Einzelfragen — bei größeren oder komplexen Risiken auch deutlich mehr, oft mit obligatorischen Nachweisanlagen. Die Fragen wirken auf den ersten Blick beliebig, folgen tatsächlich aber einer klaren inneren Logik: Versicherer arbeiten die Hauptangriffsvektoren der letzten Jahre systematisch ab und prüfen für jeden Vektor die wirksamsten Gegenmaßnahmen. Wer die Logik kennt, kann die Antworten sauber vorbereiten und Lücken früh erkennen — bevor sie im Antrag stehen.
Die typische Struktur
Quer durch die marktrelevanten Fragebögen — von Allianz, AXA, Hiscox, R+V und anderen, soweit öffentlich zugänglich — wiederholen sich sieben thematische Blöcke. Die Reihenfolge variiert, die Inhalte sind erstaunlich konsistent.
| Block | Typische Inhalte |
|---|---|
| Identitäts- und Zugriffsmanagement | MFA-Abdeckung, privilegierte Konten, Active Directory / Entra ID Härtung, Tiering, PAM, Passwortrichtlinien |
| Endpoint-Schutz | EDR-Abdeckung, MDR/SOC-Anschluss, Telemetrie, Vorgehensweise bei kritischen Alerts |
| Backup und Wiederherstellung | 3-2-1-1-0-Regel, Immutability, Recovery-Tests, RTO/RPO, Offline-Kopien |
| Patch- und Schwachstellenmanagement | SLA für Kritische/Hohe Schwachstellen, Vulnerability Scanning, Asset-Inventar |
| E-Mail-Security und Awareness | SPF/DKIM/DMARC, BEC-Schutz, Awareness-Programm, Phishing-Simulationen |
| Vorfallreaktion und Geschäftskontinuität | IR-Plan, Forensik-Retainer, Kommunikationsplan, IR-Übungen |
| Lieferketten- und Drittanbieterrisiko | MSP-Übersicht, Cloud-Provider, Vertragsklauseln, Bewertung kritischer Lieferanten |
Daneben sind häufig branchen- und größenabhängige Spezialfragen enthalten — etwa zur OT-Sicherheit in produzierenden Betrieben, zur PCI-DSS-Compliance im E-Commerce oder zur Datenkategorien-Inventur bei Unternehmen mit besonders sensiblen personenbezogenen Daten. Diese Spezialblöcke werden in den folgenden Kapiteln nicht im Detail behandelt — sie sind zu individuell —, sollten aber in der Vorbereitung nicht übersehen werden.
Die drei Stufenfragen mit Veto-Wirkung
Aus diesen Blöcken stechen drei Fragen heraus, die fast jede Annahmeentscheidung mittragen. Sie werden in praktisch jedem Fragebogen gestellt und ein „Nein" oder eine ausweichende Antwort führt regelmäßig zur Ablehnung oder zu einem Angebot mit hohen Ausschlüssen.
„Ist MFA für alle Remote-Zugänge aktiv?" Diese Frage zielt auf VPN, RDP-Gateways, Conditional Access für Microsoft 365 und SaaS-Dienste, Web-Mail, Citrix/Remote-Desktop-Lösungen und administrative Zugänge auf Cloud-Konsolen ab. „Alle" bedeutet wörtlich alle — auch der eine Legacy-VPN-Account, der seit Jahren ohne MFA betrieben wird, ist ein Disqualifikationsgrund. Wenn Sie hier mit „Nein" oder „teilweise" antworten müssen, holen Sie das vor der Antragstellung nach.
„Ist EDR auf allen Endpoints und Servern im Einsatz?" Versicherer differenzieren mittlerweile sehr klar zwischen klassischer signaturbasierter Antivirus-Software und Endpoint Detection and Response. EDR-Lösungen liefern Telemetrie, ermöglichen Threat Hunting und können verdächtige Prozesse isolieren — Eigenschaften, die Signatur-AV nicht bietet. Akzeptiert werden in der Regel etablierte EDR-Produkte wie Microsoft Defender for Endpoint in Plan 2, CrowdStrike Falcon, SentinelOne, Sophos Intercept X oder Trend Micro Apex One. „Alle" umfasst dabei Workstations, Notebooks, virtuelle Server, physische Server und idealerweise auch DCs sowie Backup-Server.
„Sind Backups offline beziehungsweise immutable und werden Wiederherstellungen regelmäßig getestet?" Das ist die Königsfrage. Versicherer wissen aus der Schadenpraxis, dass Ransomware-Akteure zuerst die Backups löschen, bevor sie verschlüsseln. Eine reine Online-Sicherung, die mit denselben Credentials wie die Produktiv-Systeme erreichbar ist, gilt nicht mehr als Backup im versicherungsfähigen Sinn. Gefragt werden konkret die 3-2-1-1-0-Regel, die Existenz einer immutable oder offline gehaltenen Kopie und der Nachweis getesteter Recovery-Vorgänge in den letzten zwölf Monaten.
Wer diese drei Fragen aus eigener Kraft mit einem belastbaren „Ja" beantworten kann, hat die zentrale Hürde genommen. Alles weitere lässt sich verhandeln, ausformulieren oder durch ergänzende Maßnahmen kompensieren — diese drei nicht.
Sonderfeld E-Mail-Security
Ein eigener Themenblock ist die E-Mail-Security, weil Business Email Compromise nach Ransomware der zweitgrößte Schadenstreiber ist. Versicherer fragen hier nach dem Status der drei Authentifizierungsmechanismen SPF, DKIM und DMARC — und zwar in Konfigurationen, die nicht nur vorhanden sind, sondern tatsächlich greifen.
Ein veröffentlichter SPF-Record ohne DMARC bringt wenig, eine DMARC-Policy auf p=none bringt wenig, eine DKIM-Signierung ohne SPF-Alignment ebenfalls. Wirksame BEC-Vorbeugung erfordert SPF mit -all oder mindestens ~all plus DMARC auf p=quarantine oder p=reject plus DKIM für alle versendenden Domains. Spear-Phishing-Resistenz hängt zusätzlich an internen Maßnahmen — etwa Vier-Augen-Prinzip bei Zahlungsänderungen oder verbindliche Rückrufpflicht bei Bankdatenwechseln.
Eine technische Prüfung der eigenen Domains lohnt sich vor dem Antrag. Mit unserem kostenlosen E-Mail-Security-Check prüfen Sie SPF, DKIM, DMARC und MX-Konfiguration einer Domain in wenigen Sekunden — falls Lücken sichtbar werden, sollten Sie diese vor dem Versicherungsantrag schließen.
Auskunftspflicht und die Folgen falscher Angaben
Der Risikofragebogen ist juristisch kein neutrales Selbstauskunftsformular, sondern Teil der vorvertraglichen Anzeigepflicht nach § 19 VVG. Diese Pflicht verlangt, dass der Versicherungsnehmer alle gefahrerheblichen Umstände, nach denen der Versicherer gefragt hat, wahrheitsgemäß und vollständig angibt. Das Schlüsselwort ist „gefahrerheblich" und „gefragt": Wenn der Versicherer eine konkrete Frage stellt, ist die Antwort gefahrerheblich.
Falsche oder unvollständige Angaben können nach §§ 19 ff. VVG zu Rücktritt vom Vertrag, Kündigung oder Vertragsanpassung führen. Im schlimmsten Fall — bei nachgewiesener Arglist — kann der Versicherer den Vertrag anfechten und Leistungen verweigern. Genau das passiert in der Praxis bei nachgelagerten Schadenfällen, in denen sich herausstellt, dass die im Antrag bestätigte MFA-Abdeckung tatsächlich nie vollständig war, oder dass das angegebene EDR auf 20 Prozent der Endpoints fehlte.
Hinweis: Wir geben hier keine rechtliche Beratung. Die konkrete Bewertung im Einzelfall liegt bei Versicherungsjuristen und gegebenenfalls beim zuständigen Gericht.
Praktisch bedeutet das: Antworten Sie konservativ und nachweisbar. Lieber ein ehrliches „MFA auf 95 Prozent der Remote-Zugänge, die verbleibenden 5 Prozent werden bis Q3 abgeschlossen" als ein blauäugiges „Ja, vollständig". Versicherer arbeiten mit nachvollziehbaren Antworten und gestaffelten Bedingungen — sie arbeiten nicht mit retrospektiver Aufdeckung von Schönfärbung.
Die Selbstbewertung vor dem Antrag
Bevor Sie den Fragebogen eines konkreten Versicherers ausfüllen, lohnt sich eine strukturierte Selbstbewertung. Das hilft, Lücken aufzudecken, bevor sie dokumentiert werden, und gibt dem Makler eine belastbare Grundlage für die Voranfrage bei mehreren Versicherern.
Eine in Deutschland verbreitete Methodik ist der BSI CyberRisikoCheck nach DIN SPEC 27076. Die DIN SPEC, federführend vom BSI mit Branchenverbänden entwickelt, primär für Unternehmen bis etwa 50 Mitarbeitende konzipiert, definiert einen standardisierten Selbstauskunfts- beziehungsweise Beratungsprozess mit 27 Anforderungen aus sechs Themenfeldern. Für die obere Hälfte der Mittelstandsskala — also Organisationen mit 100, 500 oder mehr Mitarbeitenden — liefert sie eine sinnvolle Grundbestandsaufnahme, ersetzt aber keine vollwertige Risikoanalyse nach ISO 27005 oder vergleichbarem Rahmenwerk. Der CyberRisikoCheck wird typischerweise von einem qualifizierten IT-Sicherheitsdienstleister durchgeführt und liefert einen strukturierten Bericht inklusive Handlungsempfehlungen.
Wichtig: Der CyberRisikoCheck wird von einigen Versicherern als Vorprüfung herangezogen, ist aber keine flächendeckend formal anerkannte Eintrittskarte. Wer ihn durchführt, hat einen sauberen Statusbericht und eine priorisierte Maßnahmenliste — beides wertvoll für die interne Steuerung und für das Gespräch mit Makler und Versicherer. Versicherer berücksichtigen ihn in der Annahmeprüfung, aber sie erlassen dadurch nicht den eigenen Fragebogen.
Die Selbstbewertung sollte zwei zentrale Fragen beantworten: Wo stehen wir technisch wirklich (nicht: wo wollen wir stehen)? Welche Lücken können wir bis zur Antragstellung schließen, welche müssen wir transparent kommunizieren? Eine ehrliche Lückenanalyse vor dem Antrag ist immer besser als eine retrospektive Aufdeckung im Schadenfall.
Nachweise und Dokumentation
Versicherer fordern zunehmend Nachweise statt bloßer Selbstauskunft. Welche Dokumente regelmäßig verlangt werden, hängt vom Versicherer und der Versicherungssumme ab, typischerweise umfasst es:
- MFA-Coverage-Report aus dem zentralen Identity-Provider (Entra ID, Okta, Keycloak), der die Abdeckungsquote aller Remote-Zugänge und Admin-Konten ausweist.
- EDR-Deployment-Übersicht mit der Anzahl geschützter Endpoints im Verhältnis zur Gesamtanzahl der Geräte, idealerweise differenziert nach Workstations, Servern und virtuellen Maschinen.
- Backup-Konzept und Recovery-Test-Bericht aus den letzten zwölf Monaten — schriftlich dokumentiert mit Datum, Umfang, Ergebnis und identifizierten Verbesserungspunkten.
- IR-Plan als versioniertes Dokument, idealerweise mit Datum der letzten Übung.
- Asset-Inventar und Übersicht der eingesetzten kritischen Drittanbieter.
Diese Dokumentation ist nicht nur für den Antrag relevant — sie bildet die Grundlage für jede spätere Schadenmeldung und ist Pflichtbestandteil der NIS2- und DSGVO-Sorgfaltspflichten. Unsere Cybersecurity-Dienstleistung Security-Dokumentation adressiert genau diesen Bereich: Wir helfen, die geforderten Nachweise aufzubauen und in eine versicherer- und auditfähige Struktur zu bringen.
Wenn Sie eine erste Standortbestimmung machen möchten, prüfen Sie Ihren Status mit unserem Cyber-Versicherung Readiness-Check. Das Tool fragt die zentralen Punkte ab, die in den marktüblichen Fragebögen wiederkehren, und liefert eine Einschätzung, an welchen Stellen Sie vor dem Antrag nachschärfen sollten.