Vyrex Security
Zurück zum Blog
Vyrex Security Team

Cyberversicherung 2026: Welche Sicherheitsmaßnahmen Versicherer wirklich fordern

Welche technischen Maßnahmen Cyberversicherer 2026 von KMU verlangen – von MFA über EDR bis SIEM. Mit Checkliste und NIS-2-Bezug.

Cyberversicherung VoraussetzungenCyber-Versicherung KMUSecurity AuditNIS-2 ComplianceCyberversicherung 2026

Cyberversicherung 2026: Welche Sicherheitsmaßnahmen Versicherer wirklich fordern

Key Takeaways

  • Cyberversicherer haben ihre technischen Mindestanforderungen seit 2023 massiv verschärft – unvollständige Anträge werden abgelehnt oder nur mit hohen Selbstbehalten versichert.
  • MFA, EDR, getestete Backups und dokumentiertes Patch-Management sind 2026 keine differenzierenden Merkmale mehr, sondern Zulassungsvoraussetzungen.
  • NIS-2-Compliance und Versicherungsanforderungen überlappen stark – wer beides strukturiert angeht, spart Aufwand und Prämien.
  • Ein Security Audit ist kein einmaliges Ereignis, sondern ein nachweisbarer, kontinuierlicher Prozess.

Warum der Cyberversicherungsmarkt 2026 anders funktioniert als 2020

Noch vor fünf Jahren war eine Cyberversicherung für KMU vergleichsweise leicht zu bekommen: ein mehrseitiger Fragebogen, Angaben zu Umsatz und Branche, fertig. Die Schadensmeldungen der letzten Jahre haben das Marktumfeld grundlegend verändert. Allein 2023 und 2024 stiegen die gemeldeten Ransomware-Schäden in Europa zweistellig. Versicherer wie Allianz, AXA XL, Hiscox und Munich Re haben ihre Underwriting-Kriterien entsprechend nachgeschärft.

Das Ergebnis: Wer heute einen Cyberversicherungsvertrag abschließen oder verlängern will, muss konkrete technische Maßnahmen nachweisen – nicht ankündigen, nicht planen, sondern belegen. Gleichzeitig hat NIS-2 seit Oktober 2024 für viele Unternehmen verbindliche Sicherheitsanforderungen eingeführt, die sich mit den Versicherungsanforderungen erheblich überschneiden. Wer beides strukturiert angeht, spart doppelten Aufwand.

Dieser Artikel zeigt, was Versicherer konkret fordern, wie die Anforderungen in eine bestehende Microsoft-365- und Azure-Umgebung einzubetten sind, und wo Wazuh als Open-Source-SIEM einen belegbaren Nachweis für Security-Monitoring liefern kann.

Die sieben Kernanforderungen 2026 im Detail

1. Multi-Faktor-Authentifizierung – lückenlos, nicht selektiv

MFA ist seit 2022 Standardanforderung. 2026 reicht es aber nicht mehr, MFA nur für den VPN-Zugang zu aktivieren. Versicherer prüfen:

  • Alle externen Zugänge (RDP, VPN, Webmail, Remote-Desktop-Gateways)
  • Privilegierte Konten (lokale Admins, Domain-Admins, Azure Global Admin)
  • SaaS-Applikationen mit Zugriff auf personenbezogene oder geschäftskritische Daten
  • Service-Accounts mit interaktiver Anmeldemöglichkeit

In einer Microsoft-365-Umgebung lässt sich der Abdeckungsgrad über Azure AD (Entra ID) Conditional Access Policies messen. Ein häufiges Prüfkriterium ist, ob Conditional Access im Report-Only-Modus läuft oder tatsächlich erzwungen wird. Versicherer akzeptieren Report-Only nicht als Nachweis.

# Entra ID: Alle Nutzer ohne MFA-Registrierung auflisten
Get-MgUser -All | Where-Object {
    (Get-MgUserAuthenticationMethod -UserId $_.Id).Count -lt 2
} | Select-Object DisplayName, UserPrincipalName

Dieses Skript liefert eine Lückenanalyse, die direkt als Nachweis in den Versicherungsantrag eingeflossen werden kann – als Ausgangszustand vor und nach der Härtung.

2. Endpoint Detection & Response (EDR)

Klassische Antivirenlösungen gelten bei den meisten Versicherern heute als unzureichend. Gefordert wird EDR auf allen verwalteten Endgeräten – das schließt Server ein. Relevante Prüfpunkte:

  • Ist die EDR-Lösung zentral verwaltet und werden Alerts aktiv ausgewertet?
  • Gibt es definierte Eskalationswege bei kritischen Findings?
  • Wie lange werden Endpoint-Logs aufbewahrt (Mindestvorgabe meist 90 Tage)?

Bei Microsoft-Defender-for-Endpoint-Umgebungen lässt sich der Abdeckungsgrad im Microsoft Defender Portal unter Device Inventory prüfen. Geräte mit Status „Onboarded

WEITERLESEN

Verwandte Artikel

FAQ

Häufige Fragen

Welche technischen Mindestanforderungen stellen Cyberversicherer 2026 an KMU?

Die meisten Versicherer fordern 2026 mindestens: Multi-Faktor-Authentifizierung für alle privilegierten Zugänge und Remote-Verbindungen, einen aktuellen und getesteten Offline-Backup-Prozess, Endpoint Detection & Response (EDR) auf allen verwalteten Endgeräten, ein dokumentiertes Patch-Management-Verfahren mit definierten SLAs sowie ein Netzwerk-Segmentierungskonzept. Darüber hinaus verlangen viele Versicherer den Nachweis eines regelmäßigen Security Audits oder eines externen Penetrationstests.

Wie beeinflusst NIS-2 die Anforderungen meiner Cyberversicherung?

NIS-2 und Cyberversicherungsanforderungen überschneiden sich erheblich: Beide fordern Risikomanagement, Incident-Response-Pläne, Lieferkettensicherheit und technische Schutzmaßnahmen. Wer NIS-2-konform ist, erfüllt damit automatisch viele Versicherungsvoraussetzungen. Entscheidend ist jedoch die Dokumentation: Versicherer akzeptieren keine mündlichen Aussagen – sie verlangen Policies, Audit-Logs und Nachweise über durchgeführte Maßnahmen.

Was kostet ein Security Audit für KMU und wie oft ist er notwendig?

Ein externer Security Audit für ein KMU mit 50–250 Mitarbeitern kostet typischerweise zwischen 3.000 und 15.000 Euro, abhängig vom Umfang (Schwachstellenscan, Penetrationstest, GAP-Analyse). Viele Versicherer verlangen den Nachweis eines Audits bei Vertragsabschluss und fordern danach eine jährliche Wiederholung oder zumindest einen dokumentierten internen Review-Prozess. Einige akzeptieren auch Self-Assessments auf Basis anerkannter Frameworks wie BSI IT-Grundschutz oder ISO 27001.