Viele Unternehmen schließen eine Cyberversicherung ab und glauben, damit rundum abgesichert zu sein. Die Realität im Schadenfall sieht oft anders aus.

Von Koverso  ·  Lesedauer ca. 5 Minuten  ·  Cyberversicherung für KMU

Ein mittelständisches Produktionsunternehmen aus Bayern wird Opfer eines Ransomware-Angriffs. Drei Tage Stillstand, 200.000 Euro Schaden. Die Geschäftsführung ist erleichtert: Man hat doch eine Cyberversicherung. Dann kommt die Ablehnung des Versicherers — weil ein veraltetes System im Netzwerk betrieben wurde, das im Antrag nicht angegeben war.

Kein Einzelfall. Cyberversicherungen sind kein Selbstläufer. Sie sind komplexe Verträge mit Bedingungen, Obliegenheiten und Ausschlüssen, die im Ernstfall über Zahlung oder Ablehnung entscheiden. Wer das nicht weiß, kauft sich ein falsches Sicherheitsgefühl.

Dieser Artikel erklärt, was eine gute Cyberversicherung tatsächlich leistet — und wo die häufigsten Fallen lauern.

Was eine Cyberversicherung typischerweise abdeckt

Moderne Cyberpolicen für KMU sind breiter aufgestellt als viele denken. Im Kern decken sie drei Bereiche ab: den eigenen Schaden, die Kosten zur Schadensbehebung und die Haftung gegenüber Dritten.

Meist versichert

• Betriebsunterbrechung durch Cyberangriff

• Wiederherstellung von Daten und Systemen

• Kosten für IT-Forensik und Incident Response

• Lösegeldzahlungen bei Ransomware

• Krisenmanagement und PR-Kosten

• Haftpflicht bei Datenschutzverletzungen gegenüber Kunden

• Anwaltskosten bei Behördenverfahren (z.B. DSGVO)

Oft nicht versichert

• Schäden durch bekannte, ungepatchte Sicherheitslücken

• Vorsatz oder grobe Fahrlässigkeit

• Kriegs- und Sabotageakte (umstritten, je nach Police)

• Schäden an nicht gemeldeten Systemen oder Tochtergesellschaften

• Reputationsschäden ohne konkrete Folgekosten

• Vertragsstrafen gegenüber Kunden

• Schäden aus dem Zeitraum vor Vertragsabschluss

Wo die häufigsten Probleme im Schadenfall entstehen

Die Leistungsliste klingt gut. Aber zwischen dem, was eine Police verspricht, und dem, was am Ende ausgezahlt wird, liegen oft Details, die beim Abschluss niemand erklärt hat.

Das größte Risiko ist die Obliegenheitsverletzung. Wer im Antrag angibt, alle Systeme seien aktuell gepatcht und regelmäßige Backups seien vorhanden — und das stimmt nicht — riskiert im Schadenfall die vollständige Leistungsablehnung. Versicherer prüfen nach einem Angriff sehr genau, ob die Angaben im Antrag der Realität entsprachen.

Ein häufiges Beispiel: Ransomware verschlüsselt nicht nur die Produktivsysteme, sondern auch das Backup — weil dieses dauerhaft verbunden war. Manche Policen erstatten dann nur den Produktivschaden, nicht die Wiederherstellungskosten für das Backup. Andere decken beides ab. Der Unterschied steht im Kleingedruckten.

Ein weiteres häufiges Problem ist die Sublimitierung. Viele Policen haben für einzelne Leistungsbereiche — etwa Lösegeldzahlungen oder Betriebsunterbrechung — eigene Sublimits, die weit unter der Gesamtversicherungssumme liegen. Ein Unternehmen mit 1 Million Euro Versicherungssumme kann bei Ransomware trotzdem auf 200.000 Euro gedeckelten Lösegeldleistungen sitzen.

Was gute Cyberversicherungen von schlechten unterscheidet

Der Preis ist kein verlässlicher Indikator für Qualität. Entscheidend sind die Bedingungswerke — und die unterscheiden sich erheblich, auch zwischen namhaften Versicherern.

Worauf es ankommt: Gibt es eine 24/7-Notfallhotline mit sofortiger Reaktion? Ist Incident Response im Leistungsumfang enthalten oder nur auf Anfrage? Gilt der Schutz auch für Cloud-Dienste wie Microsoft 365 oder Google Workspace? Ist Social Engineering — also der gezielte Betrug von Mitarbeitern — eingeschlossen?

Das sind keine theoretischen Fragen. Im Ernstfall entscheiden genau diese Punkte darüber, ob ein Unternehmen innerhalb von Stunden Hilfe bekommt — oder wochenlang auf eine Regulierungsentscheidung wartet.

Was das für KMU bedeutet: drei praktische Empfehlungen

Erstens: Schließen Sie keine Cyberversicherung ohne vorherige Risikoanalyse ab. Ein guter Makler nimmt sich Zeit, Ihre tatsächliche IT-Lage zu verstehen — und empfiehlt dann den passenden Tarif, nicht den günstigsten oder den mit der höchsten Provision.

Zweitens: Beantworten Sie den Fragebogen im Antrag vollständig und korrekt. Falsche oder unvollständige Angaben können im Schadenfall zur Ablehnung führen — auch wenn der Fehler versehentlich war. Ihr IT-Dienstleister kann dabei helfen, die technischen Fragen richtig zu beantworten.

Drittens: Prüfen Sie Ihre Police regelmäßig. Wenn Ihr Unternehmen wächst, neue Systeme einführt oder ins Cloud-Umfeld wechselt, sollte die Versicherung angepasst werden. Eine Police, die vor drei Jahren gepasst hat, kann heute Lücken haben.

Fazit: Cyberversicherung schützt — aber nur, wenn sie richtig sitzt

Eine Cyberversicherung ist kein Freifahrtschein und kein Ersatz für IT-Sicherheit. Sie ist das Netz unter dem Seil — sie fängt auf, wenn trotz aller Vorsicht etwas schiefgeht. Aber nur, wenn sie zur tatsächlichen Risikolage passt und sauber abgeschlossen wurde.

Genau das ist die Aufgabe eines spezialisierten Maklers: nicht einfach eine Police verkaufen, sondern sicherstellen, dass der Schutz im Ernstfall auch greift.