5 Klauseln in deiner Cyberpolice, die dich im Ernstfall leer ausgehen lassen

Viele KMU glauben, mit einer Cyberversicherung auf der sicheren Seite zu sein. Bis der Ernstfall eintritt — und die Versicherung nicht zahlt. Der Grund liegt selten im bösen Willen des Versicherers, sondern in Klauseln, die kaum jemand liest. Hier sind fünf davon, die regelmäßig zum Problem werden.

1. Die Eigenschadenklausel — was sie wirklich abdeckt

Viele Policen unterscheiden streng zwischen Eigenschäden (eigene Systeme, eigener Betriebsausfall) und Drittschäden (Haftpflicht gegenüber Kunden oder Partnern). Ist eine Kategorie nicht explizit mitversichert, fällt sie raus.

Worauf du achten solltest: Die Police sollte Betriebsunterbrechung, Datenwiederherstellung und Drittschadenersatz explizit nennen — nicht nur pauschal „Cyberrisiken" abdecken.

2. Die Voranfragepflicht — der vergessene Stolperstein

Viele Versicherer verlangen, dass du im Schadensfall bestimmte Dienstleister (IT-Forensiker, Krisenmanager, Anwälte) vorab anfragst oder aus einer genehmigten Liste wählst. Beauftragst du jemanden auf eigene Faust, kann der Versicherer die Kostenübernahme verweigern.

Worauf du achten solltest: Kläre vor dem Abschluss, wer im Ernstfall angerufen wird — und ob du dabei freie Wahl hast. Die 24/7-Notfallhotline des Versicherers ist nicht optional, sie ist oft Pflicht.

3. Die War Exclusion — wenn der Angriff „staatlich" war

Cyberangriffe, die staatlichen Akteuren zugeschrieben werden, können unter Kriegsausschlussklauseln fallen. Das klingt abstrakt — ist es aber nicht. Nach dem NotPetya-Angriff 2017 haben mehrere Versicherer genau mit dieser Begründung die Zahlung verweigert, obwohl Unternehmen weltweit betroffen waren.

Worauf du achten solltest: Prüfe, ob die Police eine enge Definition von „Krieg" nutzt oder ob staatlich zugeschriebene Angriffe generell ausgeschlossen sind. Neuere Policen adressieren das expliziter — ältere oft nicht.

4. Die Sublimits — Versicherungsschutz mit versteckten Decken

Die Versicherungssumme steht im Deckblatt. Was viele übersehen: Für bestimmte Schadenarten — etwa Lösegeldzahlungen, Betriebsunterbrechung oder Krisenkommunikation — gelten häufig separate Sublimits, die deutlich niedriger sind. 500.000 € Gesamtdeckung, aber nur 50.000 € für Ransomware-Forderungen: kein Einzelfall.

Worauf du achten solltest: Lass dir die Sublimits-Tabelle zeigen, nicht nur die Gesamtsumme. Entscheidend ist, was für deinen wahrscheinlichsten Schadenfall gilt.

5. Die Obliegenheitspflichten — was du vor dem Schaden tun musst

Cyberversicherungen sind keine Rundum-sorglos-Pakete. Sie setzen voraus, dass du grundlegende Sicherheitsmaßnahmen umsetzt: regelmäßige Backups, aktuelle Patches, Multi-Faktor-Authentifizierung. Wer diese Pflichten verletzt, riskiert im Schadensfall eine Kürzung oder Ablehnung der Leistung — auch wenn der direkte Zusammenhang zum Schaden unklar ist.

Worauf du achten solltest: Lies die Obliegenheitenliste genau — und gleiche sie mit dem ab, was dein IT-Dienstleister tatsächlich umsetzt. Was auf dem Papier zugesagt wurde und was im Betrieb läuft, klafft oft auseinander.

Was das bedeutet

Eine Cyberpolice ist kein Selbstläufer. Die Deckung hängt davon ab, welche Klauseln drin stehen — und welche nicht. Wer das erst im Schadensfall herausfindet, hat ein Problem.

Bei Koverso ist die Analyse dieser Klauseln Teil unserer Beratung — nicht das Kleingedruckte, das du alleine durchkämpfen musst.

Lass deine aktuelle Police prüfen — oder finde die richtige, bevor es darauf ankommt. → Kostenloses Erstgespräch: koverso.com