Cyber-Versicherung Kaufratgeber 2026: Was jedes Unternehmen wissen muss

Der Cyber-Versicherungsmarkt im Jahr 2026 hat nichts mehr mit dem von vor drei Jahren gemeinsam. Ransomware-Zahlungen haben sich von „bezahlen und hoffen” zu regulatorischen Minenfeldern entwickelt. NIS2 hat Compliance von einem Nice-to-have zu einer Verpflichtung auf Vorstandsebene gemacht. Und KI-generierte Angriffe lassen traditionelle Risikomodelle optimistisch erscheinen.

Ob Sie eine Cyber-Versicherung zum ersten Mal abschließen oder eine bestehende Police erneuern — hier ist, was Sie unbedingt wissen müssen. (Bereits abgesichert? Springen Sie direkt zu unserem Leitfaden zum Cyber-Versicherungsschadenprozess für das Vorgehen nach einem Vorfall.)

Warum 2026 anders ist

Drei regulatorische Veränderungen formen die Cyber-Versicherungslandschaft neu:

NIS2-Richtlinie — Die Durchsetzung ist jetzt Realität. Die Prüfungsfrist im Juni 2026 bedeutet, dass wesentliche und wichtige Einrichtungen in der gesamten EU Compliance nachweisen müssen oder Strafen von bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes drohen. Versicherer nutzen die NIS2-Compliance als Indikator für die allgemeine Sicherheitsreife. Nicht-konforme Organisationen befinden sich in höheren Risikoklassen — oder sind nicht versicherbar. Überprüfen Sie Ihren Status mit unserem NIS2-Compliance-Leitfaden.

DORA (Digital Operational Resilience Act) — Finanzinstitute stehen vor strengen Anforderungen an das IKT-Risikomanagement, der Meldung von Vorfällen und der Aufsicht über Dritte. Wenn Sie im Finanzdienstleistungssektor tätig sind, ist die DORA-Compliance nun direkt mit Ihrer Cyber-Deckungsberechtigung verknüpft.

KI-Gesetz (AI Act) — Der gestaffelte Rollout des EU AI Act schafft neue Haftungsfragen rund um KI-gesteuerte Entscheidungen, automatisierte Sicherheitswerkzeuge und KI-generierte Inhalte. Policen, die KI-spezifische Risiken nicht berücksichtigen, sind bereits im Rückstand.

7 Dinge, auf die Sie bei einer Cyber-Versicherungspolice achten sollten

1. Erstantragsdeckung: Incident Response und Betriebsunterbrechung

Das ist der Kern jeder Cyber-Police. Achten Sie auf:

• Incident-Response-Kosten — Forensik, Rechtsberatung, Krisenkommunikation, Bonitätsüberwachung für betroffene Personen
• Betriebsunterbrechung — entgangene Erlöse während der Ausfallzeit mit klaren Auslösern (wie viele Stunden, bevor die Deckung greift?)
• Datenwiederherstellung — Kosten zur Wiederherstellung oder Neuerstellung kompromittierter Daten
• Erpressungszahlungen — ob Ransomware-Zahlungen abgedeckt sind und unter welchen Bedingungen

Achten Sie auf die Wartefrist. Einige Policen setzen 8+ Stunden Ausfallzeit voraus, bevor die Betriebsunterbrechungsdeckung aktiviert wird. Wenn Ihr Unternehmen das nicht tolerieren kann, verhandeln Sie die Frist nach unten.

2. Dritthaftungsdeckung: Haftung und regulatorische Bußgelder

Die Dritthaftungsdeckung schützt Sie, wenn andere von Ihrer Datenpanne betroffen sind:

Weitere Informationen zu diesem Thema finden Sie in unserem Beitrag Wie NIS2-Compliance Cyber-Versicherungsprämien senkt.

• Verteidigung und Schadensersatz bei Klagen von Kunden, Partnern oder Mitarbeitern
• Kosten für regulatorische Untersuchungen — Anwaltskosten und Bußgelder nach DSGVO, NIS2, DORA
• PCI-DSS-Strafen — wenn Sie Kartenzahlungen abwickeln
• Medienhaftung — für unbeabsichtigte Urheberrechtsverletzungen, Verleumdung über digitale Kanäle

Wichtig: DSGVO-Bußgelder sind in vielen EU-Rechtsordnungen versicherbar, jedoch muss die Police dies ausdrücklich regeln. Gehen Sie nicht davon aus, dass dies abgedeckt ist.

3. Social-Engineering- und Betrugsdeckung

Business Email Compromise (BEC) und Deepfake-gestützter Betrug gehören zu den am schnellsten wachsenden Schadenfallkategorien im Jahr 2026. Standard-Cyber-Policen können freiwillige Überweisungen ausschließen — bei denen ein Mitarbeiter dazu verleitet wird, Geld oder Daten zu senden.

Prüfen Sie, ob Ihre Police Folgendes abdeckt:

• BEC und Rechnungsmanipulation
• Deepfake-Stimmen-/Video-Impersonierung
• Authorized-Push-Payment-Betrug
• Funds-Transfer-Betrug

Wenn Social Engineering ausgeschlossen oder sublimitiert ist, bitten Sie Ihren Makler, eine eigenständige Klausel hinzuzufügen.

4. Lieferketten- und Ransomware-Deckung

Der MOVEit-Diebstahl im Jahr 2023 und der Angriff auf Change Healthcare im Jahr 2024 haben gezeigt, dass die Datenpanne Ihres Dienstleisters auch Ihr Problem ist. Achten Sie auf:

• Kontingente Betriebsunterbrechung — Deckung, wenn ein kritischer Dienstleister ausfällt
• Lieferkettenbewertung — hilft Ihnen der Versicherer bei der Bewertung von Dienstleiserrisiken?
• Ransomware-spezifische Bedingungen — deckt die Police Lösegeldzahlungen, Verhandlungskosten und Entschlüsselungsfehler?

Viele Policen im Jahr 2026 enthalten Ransomware-Sublimits (z. B. 25 % der Gesamtdeckung). Verstehen Sie, was das für Ihr Risiko bedeutet.

5. Rückwirkungsdatum und Claims-Made vs. Occurrence

Hier werden Käufer überrascht:

• Claims-Made-Policen decken Schadenfälle, die während der Versicherungsperiode gemeldet werden, unabhängig davon, wann der Vorfall auftrat — jedoch nur, wenn der Vorfall nach dem Rückwirkungsdatum stattfand
• Occurrence-Policen decken Vorfälle, die während der Versicherungsperiode eintreten, unabhängig davon, wann der Schadenfall gemeldet wird

Die meisten Cyber-Policen sind Claims-Made-Policen. Das bedeutet:

1. Das Rückwirkungsdatum ist enorm wichtig — stellen Sie sicher, dass es Ihre historische Exposition abdeckt
2. Sie benötigen Nachlaufdeckung (Extended Reporting Period), wenn Sie den Versicherer wechseln oder kündigen

6. Sublimits und Ausschlüsse, die Sie beachten sollten

Lesen Sie die Sublimits sorgfältig. Häufige Fallstricke:

• Social Engineering: Oft auf 100.000 €–250.000 € gedeckelt, unabhängig vom Deckungslimit der Police
• Regulatorische Bußgelder: Können separate Sublimits pro Rechtsordnung haben
• Incident Response: Kann die Stunden forensischer Unterstützung begrenzen
• Systemausfall: Oft ausgeschlossen, es sei denn, er wird durch ein qualifiziertes Cyber-Ereignis verursacht

Wichtige Ausschlüsse, die Sie prüfen sollten:

• Kriegshandlungen / staatlich verübte Angriffe (zunehmend breite Definitionen)
• Bekannte Schwachstellen, die Sie nicht behoben haben
• Vorsätzliche Handlungen durch das Senior Management
• Zuvor bekannte Vorfälle, die bei der Risikoprüfung nicht offengelegt wurden

7. Verfügbarkeit des Incident-Response-Teams

Die besten Cyber-Policen zahlen nicht nur Schadenfälle — sie geben Ihnen bei einem Vorfall sofortigen Zugriff auf Experten. Achten Sie auf:

• 24/7-Breach-Response-Hotline
• Vorab genehmigtes Panel von Forensik-ermittlern, Rechtsanwälten und PR-Agenturen
• Garantierte Reaktionszeit (z. B. innerhalb von 4 Stunden nach Meldung)
• Unterstützung bei der Krisenkommunikation

Der Unterschied zwischen einer guten und einer schlechten Cyber-Police zeigt sich oft in den ersten 48 Stunden nach einer Datenpanne. Stellen Sie sicher, dass Sie genau wissen, wen Sie anrufen müssen und welche Unterstützung verfügbar ist, bevor Sie sie brauchen.

Häufige Fehler von Cyber-Versicherungskäufern

Unterdeckung — Viele Organisationen kaufen Cyber-Limits basierend auf dem, was sie sich leisten können, statt auf dem, was sie brauchen. Nutzen Sie einen Datenpannenkostenrechner, um Ihre tatsächliche Exposition abzuschätzen.

Nichtoffenlegung früherer Vorfälle — Die Nichtoffenlegung bekannter Vorfälle oder Schwachstellen bei der Risikoprüfung kann Ihre gesamte Police ungültig machen. Seien Sie transparent.

Ausschlüsse ignorieren — Die günstigste Police ist oft die mit den meisten Ausschlüssen. Lesen Sie den vollständigen Policentext, nicht nur die Zusammenfassung.

Incident-Response-Plan nicht getestet — Versicherer fordern zunehmend Nachweise über Tabletop-Übungen zur Incident Response. Das Durchspielen von Szenarien vor einer Datenpanne zeigt Reife und kann bessere Konditionen bringen.

Cyber-Versicherung als Ersatz für Sicherheit betrachten — Cyber-Versicherung ergänzt Ihr Sicherheitsprogramm, sie ersetzt es nicht. Versicherer verlangen als Bedingung für den Versicherungsschutz stärkere Kontrollen. Nutzen Sie unseren Pre-Submission-Checker, um zu sehen, wo Sie stehen.

So bereiten Sie sich auf die Risikoprüfung vor

Die besten Konditionen beginnen Monate vor der Verlängerung. Folgendes wollen Risikoprüfer sehen:

1. Aktuelle Sicherheitsbewertung — Nutzen Sie unseren Cyber-Risikorechner, um Ihr Risikoprofil zu quantifizieren
2. NIS2-Compliance-Status — Dokumentieren Sie Ihren Fortschritt hinsichtlich der Prüfungsfrist im Juni 2026
3. Incident-Response-Plan — getestet, dokumentiert, mit klaren Eskalationswegen
4. Dienstleiserrisikomanagement — Inventar kritischer Dienstleister und deren Sicherheitsstatus
5. Schulungsnachweise der Mitarbeiter — Ergebnisse von Phishing-Simulationen und Abschlussquoten
6. Patch-Management-Kennzahlen — Time-to-Patch für kritische Schwachstellen
7. Backup- und Wiederherstellungstests — Nachweise über getestete Wiederherstellungsverfahren

Je mehr Nachweise Sie liefern, desto besser Ihre Konditionen. Risikoprüfer belohnen Transparenz.

Kostenlose Ressource: Checkliste für Cyber-Versicherungskäufer

Bevor Sie mit einem Makler oder Versicherer sprechen, laden Sie unseren Cyber-Versicherungskäufer-Leitfaden herunter. Er enthält:

• eine Arbeitsvorlage zum Deckungsvergleich
• Schlüsselfragen an Ihren Makler
• eine Sublimit-Verhandlungscheckliste
• Regulatorische-Compliance-Zuordnung für NIS2, DORA und DSGVO

Für Käufer im Finanzsektor: Unser Dora-IKT-Risikoframework-Risikoprüfungsleitfaden erläutert, wie der Digital Operational Resilience Act Ihre Deckungsanforderungen beeinflusst.