Ein mittelständischer Maschinenbauer aus Franken. 85 Mitarbeiter, 12 Millionen Euro Jahresumsatz, solides Geschäft. Nach dem Ransomware-Angriff auf einen Branchenkollegen beschließt die Geschäftsführung: Wir brauchen eine Cyberversicherung. Der Antrag geht raus — und kommt zurück. Abgelehnt.
Kein Einzelfall. Laut GDV (Gesamtverband der Deutschen Versicherungswirtschaft) lehnen Versicherer mittlerweile jeden dritten Erstantrag für eine Cyberversicherung ab. Bei KMU ohne dedizierte IT-Abteilung liegt die Quote noch höher. Und selbst wer eine Police hat, ist nicht sicher: Im Schadenfall prüfen Versicherer zunehmend, ob die zugesicherten IT-Sicherheitsmaßnahmen tatsächlich eingehalten wurden. Wurden sie es nicht, droht Leistungskürzung oder -verweigerung wegen Obliegenheitsverletzung.
Dieser Artikel zeigt die fünf häufigsten Gründe, warum Cyberversicherungs-Anträge abgelehnt werden — und was im Schadenfall zur Leistungsverweigerung führt. Vor allem aber zeigt er, was Sie konkret tun können, um beides zu vermeiden.
Die Ablehnung eines Cyberversicherungs-Antrags hat Konsequenzen über den fehlenden Versicherungsschutz hinaus: Eine frühere Ablehnung muss bei vielen Versicherern im neuen Antrag angegeben werden. Und wer bei Geschäftsführerhaftung nachweisen muss, dass er „angemessene Maßnahmen" ergriffen hat, steht mit einer dokumentierten Ablehnung schlechter da als ohne.
Wie Versicherer Cyberrisiken prüfen
Bevor wir die Ablehnungsgründe im Detail betrachten, lohnt ein Blick auf den Prozess: Was passiert eigentlich, wenn Sie einen Antrag auf Cyberversicherung stellen?
Jeder Versicherer nutzt einen Risikoerfassungsbogen — je nach Anbieter zwischen 15 und 80 Fragen. Diese Fragen sind keine Formalität. Sie bilden die Grundlage für die Risikoeinschätzung und werden im Schadenfall herangezogen, um zu prüfen, ob die Angaben korrekt waren.
Was Versicherer typischerweise abfragen:
- → Technische Schutzmaßnahmen: MFA, Firewall, Endpoint-Protection, Patch-Management, Netzwerksegmentierung
- → Backup-Konzept: Häufigkeit, Trennung vom Netzwerk, Restore-Tests, Offline-/Immutable-Backups
- → Organisatorische Maßnahmen: Mitarbeiterschulungen, Notfallplan, Berechtigungskonzept, Zugangskontrolle
- → Vorschadenhistorie: Gab es bereits Cybervorfälle? Wenn ja: welche Maßnahmen wurden danach ergriffen?
- → Branche und Größe: Bestimmte Branchen (Gesundheitswesen, Recht, Finanzen) gelten als besonders exponiert
Füllen Sie den Risikoerfassungsbogen nie ohne Rücksprache mit Ihrer IT aus. Geschäftsführer beantworten Fragen zu MFA oder Patch-Zyklen regelmäßig falsch — nicht aus Absicht, sondern aus Unkenntnis. Im Schadenfall wird genau geprüft, ob die Angaben gestimmt haben. Falsche Angaben können zur Anfechtung des gesamten Vertrags führen (§ 19 VVG).
Grund 1: Fehlende Multi-Faktor-Authentifizierung (MFA)
Wenn es einen Ablehnungsgrund gibt, der seit 2024 bei praktisch jedem Versicherer ein K.O.-Kriterium ist, dann ist es dieser: Keine MFA für Remote-Zugänge und privilegierte Konten.
Der Hintergrund ist eindeutig: Laut Microsoft werden 99,9 % aller Konto-Kompromittierungen durch MFA verhindert. Ransomware-Gruppen nutzen gestohlene oder schwache Passwörter als häufigstes Einfallstor — und MFA macht diesen Angriffsvektor nahezu wirkungslos.
Was Versicherer konkret verlangen
- ✓ MFA für alle Remote-Zugänge: VPN, RDP, Remote-Desktop, Cloud-Portale (Microsoft 365, Google Workspace)
- ✓ MFA für alle Admin-Konten: Domain-Admins, Cloud-Admins, Datenbank-Admins, Backup-Admins
- ✓ MFA für E-Mail-Zugang von außerhalb des Firmennetzwerks
Was Sie tun sollten
MFA ist heute mit minimalem Aufwand umsetzbar. Microsoft 365 und Google Workspace bieten MFA ohne Zusatzkosten. Für VPN-Zugänge gibt es Lösungen wie Duo Security, Cisco AnyConnect mit MFA oder Open-Source-Alternativen. Die Einführung dauert bei einem KMU mit 50 Mitarbeitern typischerweise 1 bis 3 Tage — nicht Wochen.
Grund 2: Veraltete Systeme und fehlendes Patch-Management
Windows Server 2012 im Einsatz? Exchange 2013 ohne aktuelle Sicherheitspatches? Firewall-Firmware von 2021? Für Versicherer sind das rote Flaggen — und häufig der Grund für eine sofortige Ablehnung.
Der Grund: Ungepatchte Systeme sind das zweitwichtigste Einfallstor nach gestohlenen Zugangsdaten. Bekannte Schwachstellen werden oft innerhalb von Stunden nach Veröffentlichung eines Patches aktiv ausgenutzt. Wer nicht zeitnah patcht, bietet Angreifern eine offene Tür — und dem Versicherer einen Grund, nicht zu zahlen.
Was Versicherer konkret verlangen
- ✓ Kritische Patches innerhalb von 14 Tagen nach Veröffentlichung einspielen
- ✓ Keine End-of-Life-Systeme im produktiven Einsatz (Windows 7/8, Server 2012, Exchange 2013, alte Firewall-Firmware)
- ✓ Dokumentierter Patch-Prozess: Wer patcht wann, wie wird geprüft, ob Patches erfolgreich angewendet wurden?
Patch-Management ist bei den meisten Versicherern eine explizite Obliegenheit. Das bedeutet: Auch wenn der Antrag mit dem Hinweis „Wir patchen zeitnah" angenommen wird — ein Schadenfall durch eine bekannte, seit Wochen ungepatchte Schwachstelle kann zur Leistungskürzung führen. Die Beweislast liegt beim Versicherungsnehmer.
Grund 3: Kein funktionierendes Backup-Konzept
„Wir machen Backups" ist eine Antwort, die Versicherer nicht mehr akzeptieren. Die Fragen sind heute deutlich granularer: Wie oft? Wohin? Getrennt vom Netzwerk? Wann zuletzt getestet? Können Backups von einem Angreifer mit Admin-Rechten gelöscht werden?
Der Hintergrund: In über 70 % der Ransomware-Fälle versuchen Angreifer, vor der Verschlüsselung auch die Backups zu vernichten. Gelingt das, ist die Verhandlungsposition des Unternehmens null — und der Schaden für den Versicherer maximal.
Was Versicherer konkret verlangen
| Anforderung | Minimum | Empfehlung |
|---|---|---|
| Backup-Frequenz | Täglich für kritische Systeme | Mehrmals täglich (RPO < 4h) |
| Offline-/Air-Gapped-Backup | Mindestens 1 Kopie physisch getrennt | Immutable Storage + Offline-Medium |
| Restore-Test | Jährlich | Vierteljährlich, dokumentiert |
| 3-2-1-Regel | 3 Kopien, 2 Medien, 1 offsite | 3-2-1-1 (zusätzlich 1 immutable) |
| Admin-Zugriff | Backup-Admins getrennt von Domain-Admins | Separate Credentials, MFA-geschützt |
Der häufigste Fehler: Backups in die Cloud — aber mit denselben Zugangsdaten, die auch für das Produktivsystem gelten. Ein Angreifer, der den Domain-Admin übernommen hat, löscht dann Cloud-Backups gleich mit. Das ist kein Backup — das ist eine Kopie im selben Gefahrenbereich.
Grund 4: Keine Mitarbeiterschulungen
9 von 10 Cyberangriffen beginnen mit einer Phishing-E-Mail. Versicherer wissen das — und fragen deshalb gezielt nach Awareness-Schulungen. Wer hier „Nein" ankreuzt, hat ein Problem.
Und „einmal eine PowerPoint gezeigt" zählt nicht. Versicherer erwarten regelmäßige, nachweisbare Schulungen — idealerweise mit simulierten Phishing-Tests, die zeigen, wie sich die Klickrate im Unternehmen über die Zeit entwickelt.
Was Versicherer konkret verlangen
- ✓ Mindestens jährliche Schulung aller Mitarbeiter zu Phishing, Social Engineering und sicherem Umgang mit Passwörtern
- ✓ Nachweis: Teilnehmerlisten, Schulungsinhalte, Datum — im Schadenfall wird danach gefragt
- ✓ Neue Mitarbeiter: Schulung im Onboarding, nicht erst beim nächsten Jahres-Turnus
Phishing-Simulationstools wie KnowBe4, Hornetsecurity oder SoSafe kosten ab ca. 3 bis 5 EUR pro Mitarbeiter und Monat. Sie liefern gleichzeitig den Nachweis, den der Versicherer sehen will. Einige Cyberversicherer bieten Awareness-Trainings sogar als kostenlose Assistance-Leistung an — fragen Sie bei Ihrem Makler nach.
Grund 5: Falsche oder unvollständige Angaben im Antrag
Dieser Grund ist der tückischste — denn er betrifft nicht die IT-Sicherheit selbst, sondern die Kommunikation mit dem Versicherer. Und er kann im Schadenfall dazu führen, dass der gesamte Vertrag rückwirkend angefochten wird.
Das Versicherungsvertragsgesetz (VVG) ist hier unmissverständlich:
- § 19 Vorvertragliche Anzeigepflicht: Der Antragsteller muss alle gefahrerheblichen Umstände, nach denen der Versicherer schriftlich fragt, wahrheitsgemäß und vollständig beantworten.
- § 21 Rücktritt bei Verletzung: Bei vorsätzlich oder grob fahrlässig falschen Angaben kann der Versicherer vom Vertrag zurücktreten — auch nach Eintritt des Schadens.
- § 23 Gefahrerhöhung: Ändert sich die Risikolage nach Vertragsschluss (z. B. MFA deaktiviert, Patch-Rückstand), muss der Versicherer informiert werden.
Typische Fehler in der Praxis
- ✗ Geschäftsführer füllt den Bogen aus, ohne die IT zu fragen — und kreuzt „MFA vorhanden" an, obwohl nur für E-Mail, nicht für VPN
- ✗ „Regelmäßige Backups" angekreuzt — aber die letzte Restore-Prüfung war vor 3 Jahren
- ✗ „Keine Vorschäden" angegeben — aber vor 2 Jahren gab es einen CEO-Fraud-Versuch, der abgewehrt wurde (auch versuchte Angriffe können meldepflichtig sein)
- ✗ End-of-Life-Systeme verschwiegen oder nicht als solche erkannt (z. B. alte NAS-Firmware, Router mit abgelaufenem Support)
Falsche Angaben im Antrag können zur Anfechtung wegen arglistiger Täuschung führen (§ 22 VVG). Das bedeutet: Der Versicherer kann den Vertrag rückwirkend auflösen — als hätte er nie bestanden. Die gezahlten Prämien? Weg. Der Schadenfall? Ungedeckt. Und das gilt selbst dann, wenn die falsche Angabe in keinem Zusammenhang mit dem konkreten Schaden steht.
Obliegenheiten: Wenn der Versicherer nach dem Schaden prüft
Die fünf Gründe oben betreffen vor allem die Annahme des Antrags. Doch selbst wer eine Police hat, ist nicht automatisch geschützt. Im Schadenfall prüft der Versicherer, ob die bei Vertragsschluss zugesicherten Maßnahmen auch tatsächlich umgesetzt und aufrechterhalten wurden.
Diese vertraglichen Pflichten heißen Obliegenheiten. Sie stehen in den Versicherungsbedingungen — oft im Kleingedruckten, aber mit großen Konsequenzen:
| Obliegenheitsverletzung | Konsequenz |
|---|---|
| Leichte Fahrlässigkeit | Voller Versicherungsschutz bleibt bestehen |
| Grobe Fahrlässigkeit | Leistungskürzung entsprechend der Schwere des Verschuldens |
| Vorsatz | Vollständiger Leistungsausschluss |
| Arglistige Täuschung (§ 22 VVG) | Rückwirkende Vertragsauflösung — kein Schutz, keine Prämien zurück |
Praxisbeispiel: Ein Unternehmen hat im Antrag angegeben, dass alle Remote-Zugänge MFA-geschützt sind. Drei Monate später wird für einen neuen Standort ein VPN-Zugang ohne MFA eingerichtet — „vorübergehend". Sechs Monate später gelangt ein Angreifer genau über diesen Zugang ins Netzwerk. Der Versicherer prüft, stellt die fehlende MFA fest und kürzt die Leistung um 50 %.
So vermeiden Sie Ablehnung und Leistungsverweigerung
Die gute Nachricht: Alle fünf Ablehnungsgründe sind vermeidbar. Die Maßnahmen, die Versicherer verlangen, sind keine Raketenwissenschaft — sie sind grundlegende IT-Hygiene, die jedes Unternehmen unabhängig von der Versicherungsfrage umsetzen sollte.
Ihre Checkliste vor dem Antrag
| Maßnahme | Priorität | Typischer Aufwand |
|---|---|---|
| MFA für alle Remote-Zugänge und Admin-Konten | Kritisch | 1–3 Tage |
| Patch-Management-Prozess dokumentieren | Kritisch | 1 Tag + laufend |
| End-of-Life-Systeme ablösen oder isolieren | Kritisch | Projektabhängig |
| Backup-Konzept prüfen (3-2-1, Offline, Restore-Test) | Kritisch | 2–5 Tage |
| Mitarbeiterschulung durchführen und dokumentieren | Hoch | 1 Tag + jährlich |
| Risikoerfassungsbogen gemeinsam mit IT ausfüllen | Hoch | 2–4 Stunden |
| Notfallplan erstellen | Hoch | 1–2 Tage |
| Netzwerksegmentierung prüfen | Mittel | 1–3 Tage |
| Berechtigungskonzept (Least Privilege) umsetzen | Mittel | 2–5 Tage |
Lassen Sie sich vor dem Antrag von einem spezialisierten Makler beraten. Ein guter Makler kennt die Anforderungen der einzelnen Versicherer, kann den Risikoerfassungsbogen mit Ihnen durchgehen und Ihren Antrag gezielt bei Versicherern platzieren, deren Risikoappetit zu Ihrem Profil passt. Das erhöht die Annahmechancen erheblich — und verhindert unnötige Ablehnungen, die Ihre Versicherungshistorie belasten.
Was tun nach einer Ablehnung?
Eine Ablehnung ist kein Weltuntergang — aber sie erfordert eine strukturierte Reaktion:
- 1 Ablehnungsgründe schriftlich anfordern. Nicht jeder Versicherer nennt sie automatisch. Sie haben ein Recht auf eine Begründung.
- 2 Mängel beheben und dokumentieren. Lassen Sie die IT die genannten Punkte umsetzen und die Umsetzung nachweisbar festhalten (Screenshots, Konfigurationsdokumentation, Datum).
- 3 Erneut über einen spezialisierten Makler anfragen. Der Makler kann den neuen Status transparent kommunizieren und den Antrag bei einem passenden Versicherer platzieren.
- 4 Wartezeit einplanen. Manche Versicherer erwarten 3 bis 6 Monate nachgewiesenen Betrieb der neuen Maßnahmen, bevor sie einen Neuantrag annehmen.
Wie gut Ihr Unternehmen aktuell auf eine Cyberversicherung vorbereitet ist, können Sie mit unserem kostenlosen Cyber-Risikocheck in 2 Minuten prüfen — 8 Fragen, Sofortergebnis, anonym.
Cyberversicherer lehnen Anträge nicht aus Willkür ab — sie reagieren auf eine Schadenlage, die sich in den letzten Jahren massiv verschärft hat. Die Anforderungen steigen, aber sie sind klar und erfüllbar: MFA, Patch-Management, funktionierende Backups, geschulte Mitarbeiter und ehrliche Angaben im Antrag. Wer diese fünf Punkte erfüllt, hat gute Chancen auf Annahme — und im Schadenfall auf eine Leistung, die nicht gekürzt wird. Wer sie ignoriert, riskiert nicht nur die Ablehnung, sondern im Ernstfall auch die persönliche Haftung als Geschäftsführer.
Häufige Fragen zur Cyberversicherungs-Ablehnung
Warum wird ein Cyberversicherungs-Antrag abgelehnt?
Die häufigsten Gründe sind: fehlende Multi-Faktor-Authentifizierung (MFA) für Remote-Zugänge und privilegierte Konten, veraltete oder nicht gepatchte Systeme, kein funktionierendes Backup-Konzept (insbesondere fehlende Offline-Backups), mangelnde Mitarbeiterschulungen zu Phishing und Social Engineering sowie unvollständige oder falsche Angaben im Risikoerfassungsbogen.
Was ist eine Obliegenheitsverletzung bei der Cyberversicherung?
Eine Obliegenheitsverletzung liegt vor, wenn der Versicherungsnehmer vertragliche Pflichten nicht einhält — zum Beispiel zugesicherte IT-Sicherheitsmaßnahmen wie MFA, Patch-Management oder Backup-Routinen nicht aufrechterhält. Bei grober Fahrlässigkeit kann der Versicherer die Leistung kürzen, bei Vorsatz vollständig verweigern. Entscheidend: Die Obliegenheiten gelten während der gesamten Vertragslaufzeit, nicht nur zum Zeitpunkt des Antrags.
Welche IT-Mindeststandards verlangen Cyberversicherer?
Die meisten Versicherer verlangen mindestens: MFA für alle Remote-Zugänge und Admin-Konten, zeitnahes Patch-Management (kritische Updates innerhalb von 14 Tagen), ein Backup-Konzept nach der 3-2-1-Regel mit Offline-Backup, regelmäßige Mitarbeiterschulungen, Netzwerksegmentierung und eine aktive Endpoint-Protection-Lösung. Zunehmend werden auch ein dokumentierter Notfallplan und ein Berechtigungskonzept nach dem Least-Privilege-Prinzip gefordert.
Kann man nach einer Ablehnung erneut einen Antrag stellen?
Ja, allerdings sollten Sie vorher die Ablehnungsgründe beheben und die Umsetzung dokumentieren. Ein spezialisierter Versicherungsmakler kann gezielt Versicherer ansprechen, deren Risikoappetit zu Ihrem Profil passt. Wichtig: Eine frühere Ablehnung muss bei vielen Versicherern im neuen Antrag angegeben werden. Falschangaben können im Schadenfall zur Anfechtung des gesamten Vertrags führen.