Welche typischen Ausschlüsse gibt es bei Cyberversicherungen?

Häufige Ausschlüsse: Schäden durch vorsätzliches Handeln, fehlende Sicherheitsupdates (Obliegenheitsverletzung), Krieg und staatlich gesteuerte Angriffe, bereits bekannte Sicherheitslücken, sowie Schäden an Drittanbietersystemen. Einige Policen schließen auch CEO-Fraud, Kryptowährungs-Lösegelder oder Bußgelder aus. Ein genauer Bedingungsvergleich ist unverzichtbar.

Cyberversicherung: Kosten & Leistungen

Q: Welche Leistungen sind in einer Cyberversicherung enthalten?

Standardmäßig gedeckt sind: IT-Forensik nach einem Angriff, Kosten für Datenwiederherstellung, Betriebsunterbrechungsschaden, Haftpflichtschutz bei Datenschutzverletzungen, DSGVO-Rechtsbeistand und Krisenkommunikation. Viele Policen bieten zusätzlich eine 24/7-Notfall-Hotline mit sofortigem Zugang zu IT-Forensikern und Fachanwälten.

„Was kostet eine Cyberversicherung?" — diese Frage hören wir in nahezu jedem Erstgespräch. Die ehrliche Antwort: Es kommt darauf an. Auf Ihre Branche, auf Ihre IT-Infrastruktur, auf Ihren Jahresumsatz und vor allem darauf, welche Risiken Sie tatsächlich absichern wollen.

Doch genau hier liegt das Problem: Viele Unternehmen vergleichen Cyberversicherungen nur nach dem Preis — und übersehen dabei, dass die günstigste Police im Ernstfall genau dort nicht zahlt, wo es darauf ankommt. Eine Cyberversicherung, die bei Ransomware nicht zahlt, ist keine Cyberversicherung. Sie ist ein Stück Papier.

⚠ WICHTIG

Eine Cyberversicherung ist kein Standardprodukt. Die Leistungsunterschiede zwischen Anbietern sind erheblich — und oft erst im Kleingedruckten sichtbar. Wer nur nach dem Preis vergleicht, vergleicht falsch.

Was kostet eine Cyberversicherung?

Die Jahresprämie einer Cyberversicherung hängt von mehreren Faktoren ab. Die wichtigsten: Jahresumsatz, Mitarbeiterzahl, Branche, Deckungssumme und IT-Sicherheitsniveau. Hier ein realistischer Überblick für typische Betriebsgrößen:

Unternehmensgröße	Jahresumsatz	Jahresprämie (ca.)	Deckungssumme
Einzelpraxis / Freelancer	bis 250.000 €	250–600 €	100.000–250.000 €
Arztpraxis (3–5 Mitarbeiter)	bis 1 Mio. €	500–1.200 €	250.000–500.000 €
Kanzlei / Steuerbüro	bis 2 Mio. €	800–2.000 €	500.000–1 Mio. €
KMU (10–50 Mitarbeiter)	bis 5 Mio. €	1.000–3.000 €	500.000–2 Mio. €
Mittelstand (50–250 MA)	bis 25 Mio. €	3.000–12.000 €	1–5 Mio. €

Diese Zahlen sind Orientierungswerte aus unserer Beratungspraxis. Der tatsächliche Beitrag kann — je nach IT-Sicherheitslage und gewähltem Tarif — deutlich abweichen. Unternehmen mit nachweislich hohem Sicherheitsniveau (Multi-Faktor-Authentifizierung, regelmäßige Backups, Mitarbeiterschulungen) erhalten bei vielen Versicherern spürbare Rabatte.

Was bestimmt den Preis?

Versicherer kalkulieren das Cyberrisiko anhand konkreter Kriterien. Wer diese kennt, kann seine Prämie gezielt senken — ohne am Schutz zu sparen.

1 Branche und Datentyp: Arztpraxen, Kanzleien und Steuerberater verarbeiten besonders sensible Daten (Gesundheitsdaten, Mandantengeheimnisse). Das erhöht das Risikoprofil — und die Prämie. E-Commerce-Unternehmen zahlen mehr wegen Zahlungsdaten.
2 Jahresumsatz und Mitarbeiterzahl: Beide Werte bestimmen das potenzielle Schadenausmaß. Mehr Umsatz bedeutet höherer Betriebsunterbrechungsschaden, mehr Mitarbeiter bedeuten mehr potenzielle Angriffspunkte.
3 IT-Sicherheitsmaßnahmen: Multi-Faktor-Authentifizierung (MFA), regelmäßige Backups, Firewalls, Patch-Management und Mitarbeiterschulungen senken die Prämie messbar. Fehlende Grundmaßnahmen können zur Ablehnung führen.
4 Deckungssumme und Selbstbehalt: Höhere Deckungssumme = höhere Prämie. Ein höherer Selbstbehalt senkt die Jahresprämie, bedeutet aber mehr Eigenrisiko im Schadenfall.
5 Schadenhistorie: Unternehmen, die bereits Cyberschäden gemeldet haben, zahlen in der Regel mehr — oder erhalten strengere Auflagen.

💡 PRAXISTIPP

Fragen Sie Ihren Versicherungsmakler explizit nach dem IT-Sicherheitsrabatt. Viele Versicherer gewähren 10–25 % Prämiennachlass, wenn bestimmte Mindeststandards nachweislich erfüllt sind (z. B. MFA, Offline-Backups, Endpoint-Detection). Das spart in vielen Fällen mehr als ein höherer Selbstbehalt.

Was ist gedeckt? Die Kernleistungen

Eine solide Cyberversicherung deckt drei Schadensbereiche ab: Eigenschäden, Drittschäden (Haftpflicht) und Serviceleistungen im Krisenfall.

Leistungsbereich	Was ist gedeckt	Warum wichtig
IT-Forensik	Ursachenanalyse des Angriffs, Spurensicherung	Ohne Forensik wissen Sie nicht, was passiert ist — und ob es vorbei ist
Datenwiederherstellung	Rekonstruktion verschlüsselter oder gelöschter Daten	Kann Wochen dauern und Zehntausende kosten
Betriebsunterbrechung	Entgangener Gewinn während Systemausfalls	Durchschnittlicher Ausfall nach Ransomware: 21 Tage
Haftpflicht / Drittschäden	Schadenersatzansprüche bei Datenverlust Dritter	Besonders für Praxen und Kanzleien mit Mandantendaten kritisch
DSGVO-Rechtsbeistand	Anwaltliche Begleitung bei Meldepflichten und Bußgeldverfahren	72-Stunden-Frist erfordert sofortige juristische Unterstützung
Krisenkommunikation	PR-Beratung, Kundenbenachrichtigung	Reputationsschaden kann langfristig teurer sein als der Angriff selbst
24/7-Notfall-Hotline	Sofortiger Zugang zu Forensikern, Anwälten, Krisenmanagern	Im Ernstfall zählt jede Stunde — auch nachts und am Wochenende

Entscheidend ist nicht die Länge der Leistungsliste, sondern die tatsächliche Tiefe der Deckung. Eine „IT-Forensik" mit 5.000 € Sublimit ist faktisch wertlos, wenn eine professionelle Forensik 20.000–40.000 € kostet.

Wo lauern die Lücken?

Die größten Risiken einer Cyberversicherung liegen nicht in dem, was sie abdeckt — sondern in dem, was sie ausschließt. Diese Ausschlüsse und Fallstricke sehen wir in der Praxis am häufigsten:

! Obliegenheitsverletzung — der häufigste Ablehnungsgrund: Viele Policen enthalten IT-Mindestanforderungen (MFA, Patch-Management, Backups). Wer diese nicht einhält, riskiert die Leistungsablehnung im Schadenfall. Prüfen Sie die Obliegenheiten vor Vertragsschluss — nicht erst nach dem Angriff.
! Sublimits — die versteckte Deckungsgrenze: Gesamtdeckungssumme 1 Mio. €, aber für Betriebsunterbrechung nur 100.000 €? Sublimits begrenzen einzelne Leistungsbereiche weit unter der Hauptdeckungssumme. Achten Sie darauf, dass die relevantesten Bereiche ausreichend gedeckt sind.
! Wartezeiten bei Betriebsunterbrechung: Viele Versicherer zahlen erst nach 12–24 Stunden Ausfallzeit. Bei einer Ransomware-Attacke können die ersten Stunden die kostspieligsten sein — und fallen durch die Wartezeit.
! CEO-Fraud / Social Engineering: Nicht jede Cyberversicherung deckt den direkten Vermögensschaden, wenn ein Mitarbeiter durch Phishing oder CEO-Fraud zu einer Überweisung verleitet wird. Manche schließen das komplett aus, andere deckeln bei 25.000–50.000 €.
! Rückwirkende Deckung (Retrodeckung): Was passiert, wenn ein Angriff vor Vertragsbeginn stattfand, aber erst nach Vertragsschluss entdeckt wird? Ohne Rückwirkungsklausel: gar nichts. Gute Policen bieten 12–24 Monate Retrodeckung.
! Krieg und staatlich gesteuerte Angriffe: Die meisten Policen schließen „Kriegshandlungen" aus. Problematisch: Bei großflächigen Angriffen wie NotPetya (2017) argumentieren Versicherer teilweise, es handle sich um staatlich gesteuerte Aktionen — und verweigern die Zahlung.

💡 MAKLER-TIPP

Fordern Sie von jedem Anbieter das Bedingungswerk (AVB) an — nicht nur das Angebots-PDF. Die entscheidenden Unterschiede stehen nicht im Angebot, sondern in den Allgemeinen Versicherungsbedingungen. Ein unabhängiger Makler liest diese für Sie und markiert die kritischen Stellen.

Cyberversicherung richtig vergleichen

Ein reiner Preisvergleich ist bei Cyberversicherungen irreführend. Zwei Policen mit identischem Preis können sich in der Deckungstiefe massiv unterscheiden. Achten Sie beim Vergleich auf diese Kriterien:

Kriterium	Worauf achten
Deckungssumme	Reicht sie für Ihren tatsächlichen Schadenfall? Faustregel: mindestens 6 Monats-Umsätze
Sublimits	Sind die relevanten Bereiche (Betriebsunterbrechung, Forensik) ausreichend gedeckt?
Obliegenheiten	Welche IT-Maßnahmen müssen Sie nachweisen? Können Sie das leisten?
Selbstbehalt	Wie hoch ist der Eigenanteil im Schadenfall? Gibt es unterschiedliche Stufen?
Wartezeiten	Ab wann greift die Betriebsunterbrechungsdeckung? Ideal: ab Stunde 0
Notfall-Service	24/7 erreichbar? Eigenes Forensik-Team oder nur Vermittlung?
CEO-Fraud / BEC	Gedeckt oder ausgeschlossen? Wenn gedeckt: mit welchem Sublimit?
Retrodeckung	Wie weit reicht die rückwirkende Deckung? Mindestens 12 Monate empfohlen

Wichtig: Vergleichen Sie nicht allein online. Online-Rechner zeigen den Preis, aber nicht die Bedingungen. Und die Bedingungen entscheiden darüber, ob Ihre Versicherung im Ernstfall zahlt — oder nicht.

Lohnt sich eine Cyberversicherung?

Die Frage ist nicht, ob sich eine Cyberversicherung lohnt — sondern ob Sie sich die Konsequenzen ohne Versicherung leisten können. Ein Blick auf die durchschnittlichen Schadenkosten in Deutschland macht das deutlich:

Schadensszenario	Durchschnittliche Kosten	Beispiel
Ransomware-Angriff	80.000–250.000 €	Forensik, Wiederherstellung, Betriebsausfall
Datendiebstahl (DSGVO)	50.000–150.000 €	Meldung, Anwälte, Bußgeld, Schadenersatz
CEO-Fraud	40.000–500.000 €	Direkter Vermögensschaden (oft unwiederbringlich)
Betriebsunterbrechung (3 Wochen)	30.000–200.000 €	Je nach Umsatz und Branche

Zum Vergleich: Die Jahresprämie für eine Cyberversicherung liegt für die meisten KMU im dreistelligen bis niedrigen vierstelligen Bereich. Ein einziger Ransomware-Angriff kann den Gegenwert von 50–100 Jahren Versicherungsprämie kosten.

✓ FAZIT

Eine Cyberversicherung ist kein Luxus — sie ist Risikomanagement. Die Frage ist nicht „ob", sondern „welche". Vergleichen Sie nicht nur den Preis, sondern die tatsächliche Deckungstiefe. Achten Sie auf Obliegenheiten, Sublimits und Ausschlüsse. Und lassen Sie sich von einem unabhängigen Makler beraten — der arbeitet für Sie, nicht für den Versicherer.

Markus Kopka

Versicherungsmakler (§34d GewO) · Cyberversicherung-Spezialist

Markus Kopka berät seit über 10 Jahren Arztpraxen, Kanzleien und KMU zu Cyberversicherungen. Als produktneutraler Makler vergleicht er Tarife von über 40 Versicherern — unabhängig und kostenlos.

LinkedIn (25.000+ Kontakte) Mehr erfahren →

Häufige Fragen zu Cyberversicherung

Was kostet eine Cyberversicherung für ein kleines Unternehmen?

Für ein KMU mit 10–50 Mitarbeitern und einem Jahresumsatz bis 5 Mio. Euro liegen die Jahresprämien typischerweise zwischen 500 und 2.500 Euro. Arztpraxen und Kanzleien zahlen aufgrund des erhöhten Datenrisikos tendenziell etwas mehr. Der genaue Preis hängt von Branche, IT-Sicherheitsniveau und gewählter Deckungssumme ab. Durch nachweisbare IT-Sicherheitsmaßnahmen (MFA, Backups, Schulungen) lassen sich Rabatte von 10–25 % erzielen.

Welche Leistungen sind in einer Cyberversicherung enthalten?

Standardmäßig gedeckt: IT-Forensik, Datenwiederherstellung, Betriebsunterbrechungsschaden, Haftpflichtschutz bei Datenschutzverletzungen, DSGVO-Rechtsbeistand und Krisenkommunikation. Viele Policen bieten zusätzlich eine 24/7-Notfall-Hotline mit sofortigem Zugang zu IT-Forensikern und Fachanwälten. Die Leistungstiefe unterscheidet sich jedoch erheblich zwischen Anbietern.

Welche typischen Ausschlüsse gibt es?

Häufige Ausschlüsse: Schäden durch vorsätzliches Handeln, fehlende Sicherheitsupdates (Obliegenheitsverletzung), Krieg und staatlich gesteuerte Angriffe, bereits bekannte Sicherheitslücken, sowie Bußgelder. Einige Policen schließen auch CEO-Fraud, Kryptowährungs-Lösegelder oder Schäden an Drittanbietersystemen aus. Ein genauer Bedingungsvergleich ist daher unverzichtbar.

Brauche ich als Arztpraxis oder Kanzlei eine Cyberversicherung?

Gerade für Arztpraxen und Kanzleien ist eine Cyberversicherung besonders relevant: Sie verarbeiten hochsensible Daten (Gesundheitsdaten, Mandantengeheimnisse), unterliegen strengen Datenschutzauflagen und können durch einen Cyberangriff in existenzielle Schwierigkeiten geraten. Die DSGVO-Meldepflicht bei Patientendatenverlust und die potenzielle Haftung gegenüber Patienten oder Mandanten machen den Versicherungsschutz nahezu unverzichtbar.