Cyber-Versicherung: Welche Sicherheits-Voraussetzungen erwarten Versicherer 2026?
Was Cyber-Versicherer 2026 als Mindeststandard fordern, welche Maßnahmen die Prämie senken und welche Schadensfälle ohne Ausreichend-Nachweis nicht erstattet werden.
Cyber-Versicherung: Welche Sicherheits-Voraussetzungen erwarten Versicherer 2026?
Key Takeaways
- Cyber-Versicherer verweigern 2026 häufig Angebote oder Leistungen, wenn Mindeststandards fehlen
- MFA, aktuelle Backups und Patch-Management sind der absolute Mindestkatalog
- Nachgewiesene Sicherheitsmaßnahmen senken die Jahresprämie um 15 bis 40 %
- NIS-2-Compliance und gute Versicherbarkeit überschneiden sich stark — beides fördert dasselbe
- Lösegeld-Zahlungen sind oft nicht vollständig gedeckt — und können strafrechtlich riskant sein
Der Markt hat sich verändert
Noch 2020 war eine Cyber-Versicherung für KMU relativ einfach zu erhalten: einige Formfragen, moderate Prämien, breite Deckung. Nach einer Welle kostspieliger Schadenfälle — darunter mehrere deutsche KMU mit sieben- bis achtstelligen Schäden — haben Versicherer die Bedingungen grundlegend verschärft.
Lloyd's of London und der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) haben einheitliche Mindestanforderungskataloge veröffentlicht. Unternehmen, die diese nicht erfüllen, erhalten entweder kein Angebot oder zahlen Risikoaufschläge, die den Versicherungsschutz unwirtschaftlich machen.
2026 ist die Situation weiter zugespitzt: Versicherer prüfen Anträge mit technischen Assessments, nicht nur mit Fragebögen. Wer keine überzeugenden Antworten liefern kann, scheitert bereits beim Underwriting.
Der Mindestanforderungs-Katalog
Die folgenden Punkte sind 2026 branchenübergreifend als Mindeststandard bei den großen deutschen und europäischen Cyber-Versicherern etabliert:
1. Multi-Faktor-Authentifizierung für Remote-Zugänge
MFA für VPN, Remote Desktop und Cloud-Management ist die am häufigsten abgefragte Einzelmaßnahme. Versicherer unterscheiden explizit zwischen allgemeinen Benutzern und privilegierten Konten — für letztere ist MFA gesetzter Standard.
Fehlende MFA auf VPN-Zugängen ist inzwischen ein häufiger Grund für Deckungsausschluss nach einem Vorfall: Das Unternehmen hatte die Schutzmaßnahme verneint oder nicht implementiert — der Versicherer verweigert die Leistung wegen grober Fahrlässigkeit.
2. Regelmäßige Datensicherungen mit dokumentiertem Restore-Test
Backup-Existenz allein reicht nicht. Versicherer fragen gezielt nach Backup-Frequenz, Aufbewahrungsort (offline/air-gapped), Isolierung vom Produktionsnetz und — entscheidend — nach regelmäßigen Restore-Tests.
Unternehmen, die angeben, Backups zu machen, aber keinen Restore-Test nachweisen können, erhalten bei einigen Versicherern automatisch einen Risikoaufschlag von 20 bis 30 %.
3. Aktuelles Patch-Management
Systeme, die bekannte kritische Schwachstellen ungepatcht lassen, gelten als grob fahrlässig. Versicherer fragen nach:
- Wie werden Patches priorisiert?
- Welche SLAs gelten für kritische Patches?
- Wie wird der Patch-Status überwacht?
Besonders kritisch: Ungepatchte Internet-exponierte Systeme (VPN-Konzentratoren, E-Mail-Gateways, RDP-Server). Diese werden im technischen Assessment explizit geprüft.
4. Incident-Response-Plan
Ein schriftlicher, getesteter Incident-Response-Plan ist Standardbestandteil des Anfragekatalogs. Versicherer wollen sehen, dass das Unternehmen im Ernstfall koordiniert reagieren kann — weil unkoordinierte Reaktionen den Schaden erheblich vergrößern.
5. Mitarbeiterschulungen
Phishing-Simulation oder nachweisbare Security-Awareness-Schulungen sind Standard. Unternehmen ohne jegliche Schulungsmaßnahmen erhalten Prämienaufschläge; Unternehmen mit quartalsweisen Simulationen und messbaren Klickraten bekommen Rabatte.
6. Netzwerksegmentierung
Flache Netzwerke ohne Segmentierung multiplizieren den potenziellen Schadensradius bei Ransomware. Versicherer werten fehlende Segmentierung zunehmend als erhöhtes Risikomerkmal — und berechnen entsprechende Aufschläge.
Was die Prämie konkret senkt
Über die Mindestanforderungen hinaus gibt es Maßnahmen, die bei vielen Versicherern explizite Prämienrabatte erzeugen:
| Maßnahme | Typischer Rabatt |
|---|---|
| MFA auf ALLEN Benutzerkonten (nicht nur privilegiert) | 5–15 % |
| 24/7-Monitoring / Managed SOC mit SLA | 10–20 % |
| Regelmäßige Penetrationstests (jährlich) | 5–10 % |
| ISO-27001-Zertifizierung | 10–25 % |
| NIS-2-Compliance nachgewiesen | 5–15 % |
| EDR auf allen Endpunkten | 5–10 % |
| Dokumentierter und getesteter BCP/DRP | 5–10 % |
Ein Unternehmen, das MFA vollständig ausgerollt hat, ein Managed SOC betreibt und ISO-27001-zertifiziert ist, kann Prämienrabatte von 30 bis 50 % gegenüber dem Basispreis erzielen. Bei einer Jahresprämie von 20.000 Euro sind das 6.000 bis 10.000 Euro Ersparnis — ein Return on Security Investment, der den Investitionsaufwand in Sicherheitsmaßnahmen relativiert.
Schadensfälle: Wann Versicherer ablehnen
Die folgenden Szenarien führten in deutschen und europäischen Gerichtsverfahren und außergerichtlichen Vergleichen zu Leistungsverweigerungen:
Fall 1 — Falsche Angaben im Antrag: Ein Maschinenbauer hatte im Versicherungsantrag angegeben, MFA für alle Remote-Zugänge aktiviert zu haben. Nach einem VPN-basierten Ransomware-Angriff stellte der Versicherer fest, dass MFA nur für 60 % der Accounts aktiv war. Leistung verweigert wegen vorvertraglicher Anzeigepflichtverletzung.
Fall 2 — Bekannte Schwachstelle ignoriert: Ein Logistiker wurde über eine ungepatchte VPN-Schwachstelle angegriffen, für die ein BSI-Warnhinweis drei Monate vor dem Angriff veröffentlicht worden war. Der Versicherer argumentierte grobe Fahrlässigkeit — der Fall endete in einem Vergleich mit 40 % Kürzung der Leistung.
Fall 3 — Kein Restore-Test: Ein Handelsunternehmen hatte Backups, die durch Ransomware verschlüsselt wurden. Das offline gespeicherte Band-Backup war technisch defekt — ein Defekt, der bei einem Restore-Test hätte erkannt werden können. Der Versicherer regulierte zwar, aber mit erheblichem Streit über den Verschuldensanteil.
Cyber-Versicherung und NIS-2: Die Schnittmenge nutzen
Es ist kein Zufall, dass die Anforderungen von Cyber-Versicherern und NIS-2 weitgehend übereinstimmen. Beide schreiben im Kern vor: Backup, MFA, Patch-Management, Monitoring, Schulungen, Incident-Response.
Wer NIS-2-Compliance systematisch aufbaut, erfüllt gleichzeitig die Versicherungsvoraussetzungen — und dokumentiert das auf eine Weise, die im Schadensfall als Nachweis taugt. Umgekehrt schafft eine gute Cyber-Versicherung keine Compliance, aber ergänzt die Risikoabsicherung sinnvoll.
Die technische Grundlage — kontinuierliches Monitoring, Schwachstellenmanagement, Compliance-Reports — liefert Vyrex Managed SIEM. Viele unserer Kunden nutzen die automatisch generierten Berichte direkt als Nachweisdokumente gegenüber Versicherern.
Weiterführend: NIS-2 Checkliste 2026: 10 Fragen zur Compliance und ISO 27001 vs NIS-2: Was Sie wissen müssen.
Checkliste für den Versicherungsantrag
Bevor Sie einen Cyber-Versicherungsantrag stellen, sollten Sie folgende Punkte überprüfen und Nachweise vorbereiten:
- MFA-Aktivierungsnachweis für Remote-Zugänge (Screenshot, Konfigurationsdatei)
- Backup-Frequenz und Aufbewahrungsorte dokumentiert
- Letzter Restore-Test mit Datum und Ergebnis dokumentiert
- Patch-Management-SLAs schriftlich festgehalten
- Incident-Response-Plan vorhanden und datiert
- Schulungsnachweise der letzten 12 Monate
- Netzwerkdiagramm mit Segmentierungskonzept
- Offene kritische CVEs auf Internet-exponierten Systemen behoben
Unternehmen, die diese Checkliste vollständig erfüllen, sind nicht nur besser versicherbar — sie sind deutlich besser gegen die Bedrohungen geschützt, gegen die eine Versicherung überhaupt erst relevant wird.
FAQ
Was sind die Mindestvoraussetzungen für eine Cyber-Versicherung 2026? Die meisten Versicherer fordern als Mindeststandard: aktuelle Backups mit Restore-Nachweis, Multi-Faktor-Authentifizierung für Remote-Zugänge, aktuelles Patch-Management mit dokumentierten SLAs, einen Incident-Response-Plan und Mitarbeiterschulungen. Ohne diese Basics wird entweder kein Angebot gemacht oder im Schadensfall die Leistung verweigert.
Kann eine Cyber-Versicherung Leistungen verweigern, wenn ich NIS-2 nicht einhalte? Ja. Die meisten Policen enthalten Klauseln, die Leistungen ausschließen, wenn grob fahrlässig gegen bekannte Sicherheitspflichten verstoßen wurde. NIS-2-Verstöße können als grobe Fahrlässigkeit gewertet werden. Unabhängig davon haften Geschäftsführer bei NIS-2-Verstößen persönlich — die Versicherung greift für diesen Teil nicht.
Wie hoch ist eine typische Cyber-Versicherungsprämie für ein KMU? Für ein KMU mit 50 bis 200 Mitarbeitern und einer Deckungssumme von 2 bis 5 Mio. Euro liegen Jahresprämien typischerweise zwischen 8.000 und 30.000 Euro. Unternehmen mit nachgewiesenen Sicherheitsmaßnahmen (MFA, Monitoring, Backup-Tests) erhalten Rabatte von 15 bis 40 % gegenüber dem Basispreis.
Deckt die Cyber-Versicherung auch Lösegeld-Zahlungen ab? Manche Policen decken Lösegeld-Zahlungen ab, viele schließen sie aus oder begrenzen sie stark. Selbst wenn Lösegeld versichert ist, muss der Versicherer vor einer Zahlung konsultiert werden. Außerdem sind Zahlungen an sanktionierte Gruppen in Europa und den USA verboten — die Versicherung schützt nicht vor strafrechtlichen Konsequenzen.
Welche Kosten deckt eine typische Cyber-Police ab? Typischer Leistungsumfang: IT-Forensik und Incident Response, Datenwiederherstellung, Betriebsunterbrechungsschäden, Krisenmanagement und PR, Datenschutzbehörden-Benachrichtigung, Haftpflicht gegenüber Dritten bei Datenlecks, Rechtsberatung. Nicht abgedeckt: Reputationsschäden langfristig, Schäden durch Insider-Angriffe ohne Prävention, Verstöße gegen NIS-2 mit Bußgeldern.
Möchten Sie Ihre Versicherbarkeit prüfen oder Ihre Sicherheitsmaßnahmen dokumentieren? Fordern Sie einen kostenlosen Security-Check an oder sprechen Sie direkt mit unserem Team.
Frequently asked
Was sind die Mindestvoraussetzungen für eine Cyber-Versicherung 2026?
Die meisten Versicherer fordern als Mindeststandard: aktuelle Backups mit Restore-Nachweis, Multi-Faktor-Authentifizierung für Remote-Zugänge, aktuelles Patch-Management mit dokumentierten SLAs, einen Incident-Response-Plan und Mitarbeiterschulungen. Ohne diese Basics wird entweder kein Angebot gemacht oder im Schadensfall die Leistung verweigert.
Kann eine Cyber-Versicherung Leistungen verweigern, wenn ich NIS-2 nicht einhalte?
Ja. Die meisten Policen enthalten Klauseln, die Leistungen ausschließen, wenn grob fahrlässig gegen bekannte Sicherheitspflichten verstoßen wurde. NIS-2-Verstöße können als grobe Fahrlässigkeit gewertet werden. Unabhängig davon haften Geschäftsführer bei NIS-2-Verstößen persönlich — die Versicherung greift für diesen Teil nicht.
Wie hoch ist eine typische Cyber-Versicherungsprämie für ein KMU?
Für ein KMU mit 50 bis 200 Mitarbeitern und einer Deckungssumme von 2 bis 5 Mio. Euro liegen Jahresprämien typischerweise zwischen 8.000 und 30.000 Euro. Unternehmen mit nachgewiesenen Sicherheitsmaßnahmen (MFA, Monitoring, Backup-Tests) erhalten Rabatte von 15 bis 40 % gegenüber dem Basispreis.
Deckt die Cyber-Versicherung auch Lösegeld-Zahlungen ab?
Manche Policen decken Lösegeld-Zahlungen ab, viele schließen sie aus oder begrenzen sie stark. Selbst wenn Lösegeld versichert ist, muss der Versicherer vor einer Zahlung konsultiert werden. Außerdem sind Zahlungen an sanktionierte Gruppen (bestimmte Ransomware-Banden auf OFAC-Listen) in Europa und den USA verboten — die Versicherung schützt nicht vor strafrechtlichen Konsequenzen.
Welche Kosten deckt eine typische Cyber-Police ab?
Typischer Leistungsumfang: IT-Forensik und Incident Response, Datenwiederherstellung, Betriebsunterbrechungsschäden, Krisenmanagement und PR, Datenschutzbehörden-Benachrichtigung, Haftpflicht gegenüber Dritten bei Datenlecks, Rechtsberatung. Nicht abgedeckt: Reputationsschäden langfristig, Schäden durch Insider-Angriffe ohne Prävention, Verstöße gegen NIS-2 mit Bußgeldern.