Typisches Szenario aus der Praxis: ein mittelständischer Produktionsbetrieb, 45 Mitarbeiter, CNC-Fertigung mit angeschlossenem ERP. Freitagmorgen, die Fertigungssteuerung reagiert nicht mehr, das ERP läuft im Leerlauf, auf jedem Bildschirm eine Lösegeldforderung. Der Geschäftsführer informiert die Cyberversicherung, verzichtet auf die Lösegeldzahlung und engagiert einen Incident-Response-Dienstleister. Drei Wochen später: Systeme laufen wieder, aber die Kunden sind weg.
Laut BSI-Lagebericht dauert die Wiederherstellung nach einem Ransomware-Angriff bei KMU regelmäßig zwei bis vier Wochen. Die wirtschaftlichen Folgen reichen aber deutlich länger: verlorene Kunden, verschobene Projekte, gestörte Lieferketten. Und am Ende der Kausalkette steht eine Cyberversicherung, die nur einen Bruchteil des tatsächlichen Schadens erstattet. Die Gründe stehen im Kleingedruckten: „Außerhalb der Haftzeit", „technische Betriebsbereitschaft erreicht", „zeitlicher Selbstbehalt". Begriffe, die beim Abschluss selten erklärt werden.
Cyber-Betriebsunterbrechung (Cyber-BU) bezeichnet den Versicherungsschutz für Ertragsausfälle, die nach einem versicherten Cyber-Ereignis entstehen. Entscheidend sind drei Klauseln, die den Unterschied zwischen voller Deckung und substanzieller Unterdeckung ausmachen: der zeitliche Selbstbehalt (Karenzzeit oder Wartefrist), die Haftzeit und die Definition der Betriebsbereitschaft. Dieser Artikel zeigt, wie der Umsatzausfall berechnet wird und wo die Fallstricke liegen, die KMU regelmäßig übersehen.
Cyber-Policen werden meist nach Deckungssumme verglichen, nicht nach Bedingungen. Ob im Schadenfall 30 % oder 95 % dieser Summe ausgezahlt werden, entscheiden aber nicht die Millionenbeträge auf Seite 1 des Angebots. Es entscheiden Karenzzeit, Haftzeit und die Definition der Betriebsbereitschaft. Drei Klauseln auf Seite 47, die im Beratungsgespräch fast nie zur Sprache kommen.
Was ist die Cyber-BU und wofür zahlt sie?
Die klassische Betriebsunterbrechungsversicherung (Sach-BU) deckt Umsatzausfälle nach physischen Schäden: Brand, Wasserschaden, Einbruch. Die Cyber-BU ergänzt diese Logik um einen neuen Auslöser: das Cyber-Ereignis. Also Ransomware, Hacking, DDoS, Systemausfälle durch Schadsoftware.
Versichert ist der Ertragsausfall, der unmittelbar durch die Betriebsunterbrechung entsteht. Ertragsausfall heißt nicht Umsatzverlust. Ertragsausfall ist die Differenz zwischen dem geplanten Umsatz und den in der Ausfallzeit ersparten variablen Kosten. Die Fixkosten (Miete, Gehälter, Leasing, Zinsen) laufen weiter und müssen weiter gezahlt werden. Genau diese Lücke schließt die BU.
Die Cyber-BU ist in der Regel ein Baustein der Cyberversicherung, keine eigenständige Police. Sie hängt damit an denselben Obliegenheiten wie die Sachdeckung. Wenn der Versicherer die Leistung wegen einer Obliegenheitsverletzung kürzt, trifft das den gesamten Schadenfall einschließlich BU. Wer bei den IT-Mindeststandards schludert, riskiert nicht nur die Kostenerstattung für Forensik und Wiederherstellung, sondern auch den Ertragsausfall.
Klausel 1: Zeitlicher Selbstbehalt - Karenzzeit oder Wartefrist
Die meisten Cyber-Policen verwenden die Karenzzeit. Sie bedeutet: Der Versicherer zahlt erst ab einem bestimmten Zeitpunkt. Liegt die Karenzzeit bei 24 Stunden, trägt das Unternehmen den Ausfall der ersten 24 Stunden selbst. Liegt sie bei 48 Stunden, sind es eben 48 Stunden Eigenanteil.
Die Wartefrist ist etwas komplett anderes. Sie funktioniert wie eine Schwelle: Sobald die Wartefrist überschritten ist, zahlt der Versicherer rückwirkend ab Tag 1 des Ausfalls. Bei einer Wartefrist von 72 Stunden und einem Ausfall von 10 Tagen würde der Versicherer also 10 Tage erstatten, nicht nur 7. Das kann schnell zwei Wochen mehr Entschädigung bedeuten.
| Szenario: Ausfall 14 Tage | Karenzzeit 48h | Wartefrist 48h |
|---|---|---|
| Tage 1-2 (48h) | Selbst bezahlt | Vom Versicherer gezahlt |
| Tage 3-14 | Vom Versicherer gezahlt | Vom Versicherer gezahlt |
| Eigenanteil bei 10.000€ Tagesertrag | 20.000 € | 0 € |
Typische Werte im Markt 2026: Karenzzeit 8 bis 72 Stunden. Einige Tarife gehen auf 6 Stunden runter (meist gegen Aufpreis), schlechtere Tarife haben bis zu 7 Tage. Wartefristen sind deutlich seltener und oft nur in Premium-Tarifen zu finden.
Klausel 2: Die Haftzeit - wie lange der Versicherer zahlt
Die Haftzeit definiert, wie lange der Versicherer den Ertragsausfall maximal erstattet. Nach Ablauf der Haftzeit endet die Leistung, auch wenn der Betrieb noch nicht wieder auf Vor-Schaden-Niveau läuft.
| Typische Haftzeiten im Markt | Eignung |
|---|---|
| 3 Monate | Zu kurz für die meisten KMU. Einfache Dienstleister mit geringer IT-Abhängigkeit |
| 6 Monate | Kritisch bei komplexer IT. Standard in günstigen Tarifen |
| 12 Monate | Empfohlenes Minimum für KMU mit ERP/Produktion |
| 18-24 Monate | Premium-Tarife. Für datengetriebene Geschäftsmodelle, Finanzdienstleister, hochregulierte Branchen |
In der Praxis unterschätzen viele Geschäftsführer, wie lange der Schatten eines Cyberangriffs wirkt. Die Systeme sind oft nach 2 bis 4 Wochen wieder online. Aber der Umsatz? Einige Kunden können zu Wettbewerbern wechseln, Lieferketten können gestört bleiben, Projekte werden verschoben. Bis das Vor-Schaden-Niveau wieder erreicht ist, vergehen je nach Branche und Angriffsintensität oft 6 bis 12 Monate. Bei einer Haftzeit von 6 Monaten läuft die Leistungspflicht genau in der Phase aus, in der das Unternehmen den Umsatz noch nicht stabilisieren konnte.
Klausel 3: Technische vs. kaufmännische Betriebsbereitschaft
In der Beratungspraxis regelmäßig die Klausel, die am stärksten über die tatsächliche Leistung entscheidet und gleichzeitig am häufigsten übersehen wird. Die Frage ist einfach: Wann endet die Leistungspflicht des Versicherers?
- A Technische Betriebsbereitschaft: Die Systeme sind wiederhergestellt, der Betrieb könnte theoretisch wieder laufen. Ab diesem Zeitpunkt endet die Leistung.
- B Kaufmännische Betriebsbereitschaft: Der Umsatz hat das Niveau vor dem Angriff wieder erreicht. Erst dann endet die Leistung.
Der Unterschied zwischen A und B kann zwei bis sechs Monate betragen. Und wer nur technische Deckung hat, bleibt auf der Differenz sitzen.
In der deutschen Cyberversicherungs-Landschaft ist regelmäßig umstritten, ob die Bedingungen auf technische oder kaufmännische Betriebsbereitschaft abstellen. Viele AVB sind an dieser Stelle unklar formuliert. Im Zweifel entscheidet die Auslegung durch den Versicherer - und die fällt tendenziell zuungunsten des Unternehmens aus. Lassen Sie sich vor dem Abschluss schriftlich bestätigen, welche Definition gilt.
Rechenbeispiel: technische vs. kaufmännische Betriebsbereitschaft
Zur Verdeutlichung ein typisches Szenario: ein IT-Dienstleister mit 28 Mitarbeitern und rund 4 Millionen Euro Jahresumsatz wird im März von einem Ransomware-Angriff getroffen. Die Systeme sind nach 14 Tagen wiederhergestellt (technische Betriebsbereitschaft). Drei Großkunden kündigen wegen des Vorfalls, der Umsatz bricht in den Folgemonaten um rund 40 % ein. Erst im Dezember, also nach 9 Monaten, ist das Umsatzniveau wieder erreicht. Die Zahlen sind kalkulatorisch, das Muster ist aus der Schadenpraxis vieler Branchenbeobachter bekannt.
| Deckungsvariante | Entschädigung |
|---|---|
| Technische Betriebsbereitschaft (14 Tage) | ca. 35.000 € |
| Kaufmännische Betriebsbereitschaft (9 Monate) | ca. 640.000 € |
Wie wird der Ertragsausfall konkret berechnet?
Im Schadenfall beauftragt der Versicherer meist einen Sachverständigen. Dieser rechnet auf Basis der tatsächlichen Zahlen nach, wie hoch der Schaden war. Die Grundlagen dafür stehen im Cyberversicherungs-Standard des GDV und den Musterbedingungen der Versicherer. Die Grundformel ist einfach, die Umsetzung komplex.
Ertragsausfall = geplanter Umsatz (ohne Schaden) − tatsächlicher Umsatz − ersparte variable Kosten
Beispiel: Geplant 200.000 €, tatsächlich 40.000 €, ersparte variable Kosten 30.000 €. Ertragsausfall = 200.000 − 40.000 − 30.000 = 130.000 €.
Welche Nachweise der Versicherer sehen will
- ✓ Jahresabschlüsse der letzten 3 Jahre als Grundlage für das Umsatzniveau
- ✓ BWA (Betriebswirtschaftliche Auswertung) der letzten 12 Monate. Je aktueller und detaillierter, desto besser
- ✓ Auftragsbestand zum Zeitpunkt des Schadens. Wichtig, um verlorene Umsätze zu belegen
- ✓ Saisonale Muster. Ein Angriff im Dezember trifft einen Einzelhändler anders als im März
- ✓ Nachweis verlorener Kunden. Kündigungsschreiben, E-Mails, Gesprächsnotizen. Je konkreter, desto durchsetzbarer
- ✓ Nachweis ersparter Kosten. Der Versicherer zieht sie ab. Nicht zu großzügig schätzen
4 Fallstricke, die KMU regelmäßig übersehen
Fallstrick 1: Cloud-Ausfall nicht mitversichert
Immer mehr KMU hosten ihre Kernsysteme in der Cloud (Microsoft 365, AWS, Google Workspace, Salesforce). Fällt der Cloud-Anbieter aus, steht der Betrieb still - aber die Cyberversicherung zahlt regelmäßig nicht. Der Grund: Der versicherte Schaden muss beim Versicherungsnehmer eintreten. Ein Cloud-Ausfall ist ein Schaden beim Dienstleister.
Einige spezialisierte Tarife bieten Cloud-BU als Zusatzbaustein. Aber Achtung: Oft sind nur Ausfälle namentlich genannter Provider versichert. Wechselt das Unternehmen den Cloud-Anbieter, verliert es im Zweifel den Versicherungsschutz.
Fallstrick 2: Abstimmungsvorbehalte bei IT-Forensik
Viele Policen verlangen, dass der Versicherer vor der Beauftragung eines IT-Forensikers informiert wird. In der Panik nach einem Ransomware-Angriff wird das regelmäßig vergessen. Konsequenz: Die Kosten für den selbst beauftragten Forensiker werden nicht erstattet. Und weil der Forensiker Teil der Schadenminderung ist, kann auch die BU-Leistung gekürzt werden.
Fallstrick 3: Sublimit frisst Deckungssumme
Die Police zeigt 1 Million Euro Deckungssumme. In den AVB findet sich aber ein Sublimit für Betriebsunterbrechung von 250.000 Euro. Oder die BU ist nur mit 25 % der Gesamtdeckung abgedeckt. Diese Begrenzungen stehen nie im Angebot. Sie stehen in den Bedingungen. Auf Seite 47, zwischen zwei anderen Klauseln.
Fallstrick 4: Mehrere Ereignisse - eine Deckungssumme
Ein Ransomware-Angriff im März, ein DDoS im Juli, ein CEO-Fraud im Oktober. Drei Ereignisse, aber oft nur eine Jahresdeckungssumme. Wer nach dem ersten Schaden die Police nicht prüft, steht bei den nächsten im Regen. Reinstatement-Klauseln (Wiederauffüllung der Deckungssumme) sind in Premium-Tarifen vorgesehen, in Standardtarifen nicht.
Durchgerechnet: So sieht der echte Schaden aus
Produktionsbetrieb, 45 Mitarbeiter, 8 Millionen Euro Jahresumsatz. Ransomware-Angriff im Oktober.
| Kennzahl | Wert |
|---|---|
| Jahresumsatz (vorher) | 8.000.000 € |
| Tagesumsatz (Arbeitstag) | ca. 32.000 € |
| Variable Kostenquote | 40 % (ca. 12.800 € / Tag) |
| Täglicher Deckungsbeitrag (= Ertragsausfall / Tag) | ca. 19.200 € |
| Technischer Stillstand | 18 Tage |
| Zeit bis kaufmännische Betriebsbereitschaft | 7 Monate |
| Deckungsvariante | Ausgezahlt | Ungedeckt |
|---|---|---|
| Karenzzeit 72h + Haftzeit 6 Monate + technisch | ca. 230.000 € | ca. 1.900.000 € |
| Karenzzeit 24h + Haftzeit 12 Monate + kaufmännisch | ca. 2.130.000 € | ca. 0 € |
Der Prämienunterschied zwischen diesen beiden Policen ist je nach Umsatz und Risikoprofil unterschiedlich hoch, aber er steht in keinem Verhältnis zur Differenz der Leistung im Schadenfall. Wer sich die bessere Bedingungslage leistet, zahlt in ruhigen Jahren etwas mehr Prämie. Wer spart, trägt im Ernstfall den Großteil des Schadens selbst.
Checkliste: Was in Ihrer Cyber-BU stehen muss
- 1 Karenzzeit maximal 24 Stunden, idealerweise 8 bis 12 Stunden. Wartefrist ist besser als Karenzzeit
- 2 Haftzeit mindestens 12 Monate bei komplexer IT. Bei datengetriebenen Geschäftsmodellen 18 bis 24 Monate
- 3 Kaufmännische Betriebsbereitschaft als Endzeitpunkt, nicht nur technische. Schriftlich bestätigen lassen
- 4 Deckungssumme ohne Sublimit für die BU, oder Sublimit mindestens 75 % der Gesamtdeckung
- 5 Cloud-BU explizit eingeschlossen, ohne Namensgebundenheit an einzelne Provider
- 6 Abstimmungsvorbehalte minimieren oder 24/7-Notfallhotline mit sofortiger Freigabe
- 7 Reinstatement-Klausel für mehrere Schadenfälle pro Jahr
- 8 BU durch Dienstleisterausfall (Supply-Chain-Attack) mitversichert
Wie gut Ihr Unternehmen aktuell auf eine Cyberversicherung vorbereitet ist, können Sie mit unserem kostenlosen Cyber-Risikocheck in 2 Minuten prüfen. Eine individuelle Prüfung Ihrer bestehenden Police auf Karenzzeit, Haftzeit, Sublimits und Betriebsbereitschaft nehmen wir auf Anfrage kostenlos und unverbindlich vor: Jetzt Beratungstermin anfragen.
Die Cyber-BU ist in der Beratungspraxis einer der am häufigsten unterschätzten Bausteine einer Cyberversicherung. Drei Klauseln entscheiden darüber, ob im Schadenfall die volle Deckungssumme greift oder nur ein Bruchteil: die Regelung des zeitlichen Selbstbehalts (Karenzzeit oder Wartefrist), die Haftzeit und die Definition der Betriebsbereitschaft. Wer beim Abschluss nicht auf diese drei Punkte achtet, zahlt für eine Police, die im Ernstfall deutlich weniger leistet als gedacht. Die Deckungssumme steht auf dem Papier. Was ausgezahlt wird, entscheiden die Bedingungen. Ein Bedingungsvergleich durch einen spezialisierten Versicherungsmakler ist kein Luxus, sondern betriebswirtschaftlich zwingend.
Häufige Fragen zur Cyber-Betriebsunterbrechung
Wie lange zahlt die Cyberversicherung den Umsatzausfall?
Die Haftzeit beschreibt den maximalen Zeitraum, in dem der Versicherer den Ertragsausfall erstattet. Typisch sind 6 bis 12 Monate. Spezialtarife bieten 18 bis 24 Monate. Für KMU mit komplexer IT reichen 6 Monate oft nicht, weil die kaufmännische Betriebsbereitschaft erst nach 8 bis 12 Monaten wieder erreicht ist.
Was ist der Unterschied zwischen Karenzzeit und Wartefrist?
Bei einer Karenzzeit trägt das Unternehmen den Ausfall der ersten X Stunden oder Tage selbst. Bei einer Wartefrist leistet der Versicherer rückwirkend ab Tag 1, sobald die Wartefrist überschritten ist. Der Unterschied kann schnell sechsstellig sein. Wartefristen sind deutlich seltener und wertvoller als Karenzzeiten.
Wird der Umsatzausfall nach technischer oder kaufmännischer Betriebsbereitschaft berechnet?
Das ist der zentrale Streitpunkt. Bei technischer Betriebsbereitschaft endet die Leistung, sobald die Systeme wieder laufen. Bei kaufmännischer Betriebsbereitschaft zahlt der Versicherer, bis das Umsatzniveau vor dem Angriff wieder erreicht ist. Der Unterschied kann zwei bis sechs Monate betragen. Gute Cyberversicherungen decken die kaufmännische Betriebsbereitschaft.
Wie wird der Ertragsausfall bei einer Cyber-BU berechnet?
Grundlage ist der Deckungsbeitrag: geplanter Umsatz abzüglich variabler Kosten. Die Fixkosten laufen weiter, der Umsatz bricht weg. Diese Differenz ist der Ertragsausfall. Die Berechnung erfolgt durch einen Sachverständigen auf Basis von GuV, BWA, Steuerbescheiden, saisonalen Mustern und Auftragslage. Je besser die Buchhaltung, desto höher die durchsetzbare Leistung.