Ein Cyberangriff kostet ein deutsches KMU im Schnitt 95.000 Euro. Die Versicherungsprämie liegt oft unter 2.000 Euro pro Jahr. Was dahinter steckt — und warum der Einwand trotzdem so hartnäckig ist.

Koverso · April 2026 · 5 min Lesezeit

„Das ist uns zu teuer" — dieser Satz fällt in fast jedem Gespräch über Cyberversicherungen. Er ist verständlich. Versicherungen sind abstrakt, der Preis ist sofort sichtbar, der Nutzen erst im Schadensfall. Doch sobald man die Zahlen nebeneinanderlegt, verschiebt sich das Bild erheblich.

Dieser Artikel rechnet das durch. Ohne Alarm­ismus, ohne Verkaufsrhetorik — nur mit konkreten Zahlen aus der deutschen KMU-Praxis.

Was ein Angriff tatsächlich kostet

Die HDI Cyberstudie, für die jährlich über 500 Versicherungs- und IT-Entscheider in deutschen KMU befragt werden, liefert die bisher klarsten Zahlen für den DACH-Raum. Das Ergebnis ist eindeutig:

Durchschnittlicher Cyberschaden in deutschen KMU

Kleinstunternehmen bis 4 Mitarbeiter 42.000 €

Kleine Unternehmen 5–49 Mitarbeiter 47.000 €

Mittelstand 50–250 Mitarbeiter 95.000–103.000 €

Freiberufler / Einzelunternehmer 120.000 €

Betriebsausfall nach einem Angriff (median) 2–7 Tage

Diese Zahlen umfassen direkte Kosten: IT-Forensik, Datenwiederherstellung, System-Neuaufbau, Betriebsunterbrechnungen und — in 17 % der Fälle — Lösegeldzahlungen. Nicht enthalten sind Reputationsschäden und Kundenverluste, die sich kaum in Euro fassen lassen, aber in der Praxis oft schwerer wiegen als der unmittelbare Sachschaden.

72 % aller erfolgreichen Cyberangriffe auf KMU verursachen erhebliche Schäden. Fast jeder dritte Angriff bei kleinen Unternehmen wird nur durch Zufall entdeckt — wenn er schon längst Schaden angerichtet hat.

Was die Versicherung kostet

Auf der anderen Seite der Gleichung stehen die Prämien. Für ein typisches KMU mit 10 bis 50 Mitarbeitern und einem Jahresumsatz bis 5 Millionen Euro sehen die Marktwerte aktuell so aus:

Typische Jahresprämien Cyberversicherung (Deutschland, 2026)

Kleinstunternehmen bis 9 Mitarbeiter, Umsatz < 1 Mio. € 500–1.200 €

Kleine Unternehmen 10–49 Mitarbeiter, Umsatz < 5 Mio. € 1.000–2.500 €

Mittelstand 50–250 Mitarbeiter, Umsatz < 25 Mio. € 3.000–8.000 €

Faustregel Markt: Prämie in % des Jahresumsatzes 0,1–0,5 %

Das bedeutet: Wer 1.500 Euro Jahresprämie zahlt, ist für rund 4,10 Euro pro Tag versichert.

Die eigentliche Rechnung

Stellen wir beide Seiten direkt gegenüber — am Beispiel eines Handwerksbetriebs mit 15 Mitarbeitern und 2,5 Millionen Euro Jahresumsatz:

Ohne Versicherung

47.000 €

Durchschnittlicher Schaden bei einem erfolgreichen Angriff — sofort fällig, aus der laufenden Liquidität

Mit Versicherung

1.500 €

Typische Jahresprämie — plus ggf. Selbstbehalt im Schadensfall, Rest übernimmt der Versicherer

Ein einziger Ransomware-Angriff entspricht dem Gegenwert von 31 Jahren Versicherungsprämie. Das ist keine Hochrechnung — das sind reale Durchschnittswerte aus dem deutschen Markt.

Warum der Einwand trotzdem legitim ist

Die Kritik „zu teuer" hat einen wahren Kern — sie ist nur am falschen Objekt adressiert. Das eigentliche Problem vieler KMU ist nicht die Prämie, sondern die Unsicherheit darüber, was sie dafür bekommen. Zu viele haben schlechte Erfahrungen mit Versicherungen gemacht: Ausschlüsse im Kleingedruckten, Leistungskürzungen wegen angeblicher Obliegenheitsverletzungen, ein Anruf im Schadensfall, der ins Leere läuft.

Diese Skepsis ist berechtigt. Eine schlecht konstruierte Cyberpolice ist tatsächlich zu teuer — weil sie im Ernstfall nicht zahlt. Die richtige Reaktion darauf ist aber nicht „keine Versicherung", sondern „die richtige Versicherung, richtig abgeschlossen".

Drei von vier KMU haben keine Cyberversicherung — obwohl fast jedes zweite Unternehmen in Deutschland bereits einen Cyberangriff erlebt hat.

Was wirklich geprüft werden sollte

Wer eine Cyberversicherung bewertet, sollte weniger auf den Preis schauen als auf diese Punkte:

• Deckungssumme vs. realem Schadenspotenzial: Ist die Summe hoch genug, um einen tatsächlichen Schadensfall abzudecken?

• Betriebsunterbrechung inklusive: Der größte Kostenblock bei Ransomware ist nicht das Lösegeld, sondern der Ausfall. Ist er mitversichert?

• Assistance-Leistungen im Ernstfall: Stellt der Versicherer sofort ein Krisenteam mit IT-Forensikern und Juristen? Oder nur einen Erstattungs­prozess?

• Obliegenheiten klar und erfüllbar: Welche IT-Maßnahmen werden vorausgesetzt? Sind sie realistisch für ein Unternehmen dieser Größe?

• Selbstbehalt und Liquiditätsplanung: Ein hoher Selbstbehalt senkt die Prämie — aber erhöht das finanzielle Risiko im Schadensfall.

Fazit

„Zu teuer" ist keine Aussage über den Preis der Versicherung. Es ist eine Aussage über das wahrgenommene Verhältnis von Preis und Nutzen. Wer die Zahlen kennt — durchschnittlich 47.000 bis 95.000 Euro Schaden bei einem erfolgreichen Angriff gegenüber 1.000 bis 2.500 Euro Jahresprämie — kommt zu einer anderen Einschätzung.

Die sinnvolle Frage ist nicht: Kann ich mir die Versicherung leisten? Sondern: Kann ich mir den Schaden leisten — ohne sie?

Du möchtest wissen, wie dein Unternehmen aktuell dasteht und welche Versicherungslösungen für deine Situation passen? Dann lass uns sprechen.

Quellen: HDI Cyberstudie 2023/2024 (Sirius Campus, n = 500–1.200 KMU-Entscheider); Bitkom Wirtschaftsschutz-Studie 2024; Hiscox Cyber Readiness Report 2025; Marktdaten CyberDirekt, cybairbag.de (Stand: Frühjahr 2026). Prämienangaben sind Orientierungswerte; tatsächliche Beiträge variieren je nach Branche, IT-Sicherheitsniveau und gewählter Deckung.