Cyber-Versicherungs-Ausschlüsse: Was 2026 NICHT abgedeckt ist

Wichtiger Leitfaden zu Cyber-Versicherungs-Ausschlüssen und Deckungslücken. Erfahren Sie, was die meisten Policen nicht abdecken — von unverschlüsselten Geräten bis hin zu staatlich verübten Angriffen — und wie Sie Ihr Unternehmen vor blinden Flecken schützen.

Wichtiger Leitfaden zu Cyber-Versicherungs-Ausschlüssen und Deckungslücken. Erfahren Sie, was die meisten Policen nicht abdecken — von unverschlüsselten Geräten bis hin zu staatlich verübten Angriffen — und wie Sie Ihr Unternehmen vor blinden Flecken schützen.

Cyber-Versicherungs-Ausschlüsse: Was 2026 NICHT abgedeckt ist

Der Abschluss einer Cyber-Versicherung fühlt sich an wie der Kauf von Seelenfrieden — bis Sie einen Schadenfall melden und feststellen, dass der Angriff, der Ihr Geschäft lahmgelegt hat, unter einen Ausschluss fällt. Der Unterschied zwischen einem gedeckten Vorfall und einem abgelehnten Schadenfall ergibt sich oft aus dem Kleingedruckten, das die meisten Käufer nie lesen.

Nach der Analyse Hundertter von Cyber-Versicherungspolicen haben wir die häufigsten Ausschlüsse identifiziert, die Unternehmen überraschen. Das Verständnis dieser Lücken ist unerlässlich — unabhängig davon, ob Sie Ihre erste Police abschließen oder eine bestehende Deckung erneuern.

Die 12 häufigsten Cyber-Versicherungs-Ausschlüsse

1. Unverschlüsselte tragbare Geräte

Der Ausschluss: Verluste durch unverschlüsselte Laptops, USB-Laufwerke oder mobile Geräte werden häufig ausgeschlossen oder unterliegen reduzierten Limits.

Reales Szenario: Ein Laptop eines Vertriebsmitarbeiters wird aus einem Auto gestohlen. Der Laptop enthielt 15.000 Kundendatensätze. Der Versicherer lehnt den Schadenfall ab, weil die Festplatte nicht verschlüsselt war — sondern nur passwortgeschützt.

So gehen Sie vor:

  • Implementieren Sie vollständige Festplattenverschlüsselung auf allen tragbaren Geräten (BitLocker, FileVault)
  • Dokumentieren Sie Verschlüsselungsrichtlinien und überprüfen Sie die Einhaltung
  • Ziehen Sie Mobile-Device-Management-(MDM-)Lösungen in Betracht, die Verschlüsselung erzwingen

2. Kriegshandlungen und staatlich verübte Angriffe

Der Ausschluss: Verluste durch staatlich koordinierte Cyberangriffe werden zunehmend ausgeschlossen — nach dem Präzedenzfall NotPetya, bei dem Versicherer argumentierten, der Angriff sei „kriegsähnlich” und daher nicht gedeckt.

Reales Szenario: Die Systeme eines Herstellers werden durch Malware gelöscht, die später einem staatlichen Akteur zugeordnet wird. Der Versicherer beruft sich auf den Kriegsausschluss und lehnt den Schadenfall von 4 Mio. € ab.

So gehen Sie vor:

  • Verhandeln Sie gegen zu breite „Cyber-Kriegs”-Formulierungen
  • Suchen Sie nach Policen mit engen, spezifischen Kriegsausschlüssen
  • Verstehen Sie, dass die Zuschreibung wichtig ist — wenn der Angreifer nicht eindeutig einem Staat zugeordnet werden kann, greift der Versicherungsschutz möglicherweise weiterhin

3. Infrastrukturausfälle (keine Cyberangriffe)

Der Ausschluss: Betriebsunterbrechung durch Infrastrukturausfälle — Cloud-Provider-Downtime, ISP-Ausfälle oder Stromnetzprobleme — ist möglicherweise nicht gedeckt, es sei denn, sie wurde direkt durch einen Cyberangriff verursacht.

Reales Szenario: AWS us-east-1 fällt für 8 Stunden aus. Ihre E-Commerce-Plattform verliert 200.000 € an Umsatz. Der Schadenfall wird abgelehnt, weil der Ausfall kein Cyberangriff war.

So gehen Sie vor:

  • Fügen Sie kontingente Betriebsunterbrechungsdeckung für Cloud-Abhängigkeiten hinzu
  • Verhandeln Sie breitere Auslöserformulierungen, die Infrastrukturausfälle einschließen
  • Halten Sie Offline-Backups und Redundanz für kritische Systeme vor

4. Zuvor bekannte Datenpannen oder Sicherheitslücken

Der Ausschluss: Wenn Sie vor Policenbeginn eine Schwachstelle kannten und sie nicht behoben haben, können entsprechende Schadenfälle ausgeschlossen sein.

Reales Szenario: Ein Penetrationstest identifiziert im März kritische Schwachstellen. Sie erneuern Ihre Police im April, ohne diese zu beheben. Im Juni tritt ein Einbruch auf, der genau diese Schwachstellen ausnutzt. Der Schadenfall wird abgelehnt.

So gehen Sie vor:

  • Legen Sie bekannte Schwachstellungen im Antragsprozess offen
  • Erstellen Sie Behebungszeitpläne für identifizierte Probleme
  • Dokumentieren Sie Sicherheitsverbesserungen zwischen Versicherungsperioden

5. Social Engineering ohne Verifikationsumgehung

Der Ausschluss: Social-Engineering-Verluste, bei denen ein Angreifer lediglich einen Mitarbeiter zur Überweisung von Geld überzeugt hat, können ausgeschlossen oder sublimitiert sein. Einige Policen erfordern eine „Verifikationsumgehung” — der Angreifer muss etablierte Verifikationsverfahren umgangen haben.

Reales Szenario: Ein Finanzmitarbeiter erhält eine E-Mail, die scheinbar vom CEO stammt und eine dringende Überweisung anfordert. Er überweist 150.000 € an den Betrüger. Der Versicherer lehnt den Schadenfall teilweise ab, weil der Mitarbeiter die verbale Verifikationsrichtlinie des Unternehmens nicht befolgt hat.

So gehen Sie vor:

  • Stellen Sie sicher, dass die Social-Engineering-Deckung keine Verifikationsumgehung erfordert
  • Schulen Sie Mitarbeiter in Verifikationsprotokollen und dokumentieren Sie die Einhaltung
  • Betrachten Sie Social-Engineering-Sublimits als Teil der Gesamtdeckung

6. Nichteinhaltung minimaler Sicherheitsstandards

Der Ausschluss: Viele Policen verlangen vom Versicherungsnehmer, bestimmte Sicherheitskontrollen aufrechtzuerhalten. Die Nichteinhaltung kann den Versicherungsschutz vollständig aufheben.

Häufige Anforderungen umfassen:

  • Multi-Faktor-Authentifizierung auf privilegierten Konten
  • Endpoint Detection and Response (EDR)
  • Regelmäßiges Patchen bekannter Schwachstellen
  • Sicherheitsschulungen für Mitarbeiter
  • Datensicherungen mit getesteten Wiederherstellungsverfahren

Reales Szenario: Ein Unternehmen gibt in seiner Police MFA für alle Administratorkonten an. Ein Angreifer kompromittiert ein Administratorkonto, das nur durch ein Passwort geschützt ist. Der Schadenfall wird aufgrund der Nichteinhaltung der Sicherheitskontrollen abgelehnt.

So gehen Sie vor:

  • Lesen und verstehen Sie alle Gewährleistungsklauseln
  • Dokumentieren Sie die Einhaltung der geforderten Kontrollen
  • Planen Sie regelmäßige Audits zur Überprüfung der fortlaufenden Einhaltung

7. Körperverletzung und Sachschäden

Der Ausschluss: Physische Schäden an Personen oder Eigentum sind in der Regel von Cyber-Policen ausgeschlossen und sollten unter allgemeinen Haftpflicht- oder Sachversicherungen abgedeckt sein.

Reales Szenario: Ein Ransomware-Angriff deaktiviert die Systeme eines Krankenhauses, was zu verzögerter Behandlung und dem Tod eines Patienten führt. Die Cyber-Police schließt Körperverletzungen aus, und die allgemeine Haftpflichtversicherung schließt cyberbezogene Vorfälle aus — es entsteht eine Deckungslücke.

So gehen Sie vor:

  • Koordinieren Sie die Deckung über verschiedene Policen hinweg
  • Ziehen Sie eine Excess-Umbrella-Deckung in Betracht
  • Suchen Sie für kritische Infrastrukturen nach speziellen Policen, die diese Lücke schließen

8. Vorsätzliche Handlungen durch das Senior Management

Der Ausschluss: Vorsätzliches Fehlverhalten durch Führungskräfte oder Senior Management ist in der Regel ausgeschlossen.

Reales Szenario: Ein Finanzvorstand umgeht absichtlich Sicherheitskontrollen, um Daten zu einem Wettbewerber abzufließen. Die daraus resultierenden Verluste sind als vorsätzliche Handlungen ausgeschlossen.

So gehen Sie vor:

  • Dieser Ausschluss ist grundsätzlich angemessen und branchenüblich
  • Konzentrieren Sie sich auf interne Kontrollen und Funktionstrennung
  • Kriminal-/Treueversicherungen können separate Deckung für Mitarbeiterehrlichkeit bieten

9. Kryptowährungen und Verluste digitaler Vermögenswerte

Der Ausschluss: Einige Policen schließen die Deckung für Kryptowährungsdiebstahl oder Verluste im Zusammenhang mit digitalen Vermögenswerten aus oder begrenzen sie.

Reales Szenario: Ein Hot Wallet eines Unternehmens wird über 500.000 € in Kryptowährungen geleert. Die Police deckt dies entweder nicht oder hat ein Sublimit, das weit unter dem Verlust liegt.

So gehen Sie vor:

  • Deklarieren Sie alle Kryptowährungsbestände im Antrag
  • Suchen Sie nach spezifischer Deckung für digitale Vermögenswerte
  • Ziehen Sie Cold Storage und Multi-Signature-Wallets zur Risikoreduzierung in Betracht

10. Regulatorische Bußgelder und Strafen (in einigen Rechtsordnungen)

Der Ausschluss: Die Deckung regulatorischer Bußgelder variiert je nach Rechtsordnung. In der EU kann die Versicherung gegen DSGVO-Bußgelder als gegen die öffentliche Ordnung verstoßend untersagt sein.

Reales Szenario: Ein Unternehmen erhält nach einer Datenpanne ein DSGVO-Bußgeld von 2 Mio. €. Die regulatorische Deckung der Cyber-Police gilt in dieser Rechtsordnung nicht.

So gehen Sie vor:

  • Verstehen Sie die lokale Versicherbarkeit von Bußgeldern
  • Konzentrieren Sie die Deckung auf Verteidigungskosten und Remediation, die in der Regel versicherbar sind
  • Budgetieren Sie potenzielle Bußgelder als ungedecktes Risiko

11. Reputationaler Schaden ohne direkte Kosten

Der Ausschluss: Reiner Reputationsschaden — entgangenes zukünftiges Geschäft, Markenabwertung — ist in der Regel nicht gedeckt, es sei denn, er übersetzt sich in dokumentierte, quantifizierbare Verluste während der Versicherungsperiode.

Reales Szenario: Eine Datenpanne legt Kundendaten offen. Während kein unmittelbarer finanzieller Verlust entsteht, verliert das Unternehmen im folgenden Jahr 30% seiner Kundenbasis. Die Police deckt diesen „schleichenden” Reputationsverlust nicht.

So gehen Sie vor:

  • Konzentrieren Sie sich auf Krisenkommunikationsdeckung zur Begrenzung von Reputationsschäden
  • Dokumentieren Sie alle Kosten im Zusammenhang mit Kundenabwanderung nach einer Datenpanne
  • Verhandeln Sie breitere Auslöser für die Betriebsunterbrechungsdeckung

12. Lieferkettenangriffe (Drittabhängigkeiten)

Der Ausschluss: Einige Policen begrenzen oder schließen die Deckung für Angriffe aus, die über Drittsoftware oder Dienstleister eindringen.

Reales Szenario: Ein Unternehmen ist von einem SolarWinds-ähnlichen Lieferkettenangriff betroffen. Die Police enthält Ausschlüsse für Dritsoftware-Schwachstellen, die die Erstattung einschränken.

So gehen Sie vor:

  • Prüfen Sie die Formulierungen zu Lieferkettenangriffen sorgfältig
  • Stellen Sie sicher, dass die kontingente Betriebsunterbrechungsdeckung wichtige Dienstleister abdeckt
  • Bewerten und dokumentieren Sie die Sicherheit kritischer Lieferanten

So schützen Sie sich vor Deckungslücken

1. Lesen Sie die vollständige Police vor Abschluss

Verlassen Sie sich nicht auf den Vorschlag oder den Versicherungsschein. Fordern Sie das vollständige Policeformular an und prüfen Sie es, einschließlich aller Ausschlüsse und Bedingungen. Markieren Sie alles Unklare und fordern Sie schriftliche Klarstellung.

2. Offenlegen Sie alles materiell Relevante

Nichtoffenlegung ist der schnellste Weg zu einem abgelehnten Schadenfall. Im Zweifelsfall offenlegen. Arbeiten Sie mit Ihrem Makler zusammen, um Risiken wahrheitsgemäß und vollständig darzustellen.

3. Dokumentieren Sie Ihr Sicherheitsprogramm

Bewahren Sie Nachweise auf über:

  • Sicherheitsrichtlinien und Mitarbeiterbestätigungen
  • Patch-Management und Schwachstellenbehebung
  • Incident-Response-Plan und Tabletop-Übungen
  • Sicherheitsbewertungen durch Dritte
  • Schulungsabschlussnachweise

Diese Dokumentation kann entscheidend sein, um Deckungsablehnungen aufgrund angeblicher Sicherheitsmängel anzufechten.

4. Koordinieren Sie über Policen hinweg

Cyber-Versicherung existiert nicht im luftleeren Raum. Stellen Sie sicher, dass:

  • Ihre allgemeine Haftpflichtversicherung mit der Cyber-Police koordiniert ist
  • Ihre Kriminal-/Treueversicherung Mitarbeiterehrlichkeit abdeckt
  • Ihre Sachversicherung Geräteersatz abdeckt
  • Ihre D&O-Versicherung (Directors & Officers) Managementhaftung abdeckt

5. Verhandeln Sie Schlüsselbedingungen

Nicht alle Ausschlüsse sind unverhandelbar. Setzen Sie sich ein für:

  • Eng gefasste Kriegsausschlussformulierungen, die an offizielle staatliche Zuschreibungen geknüpft sind
  • Social-Engineering-Deckung ohne Anforderungen an Verifikationsumgehung
  • Breitere Auslöser für die Betriebsunterbrechung
  • Höhere Sublimits für Hochrisikokategorien

6. Führen Sie jährliche Deckungsprüfungen durch

Ihr Cyberrisikoprofil ändert sich. Das sollte auch Ihre Deckung. Überprüfen Sie Ihre Police jährlich mit folgenden Fragen:

  • Welche neuen Systeme oder Daten haben wir hinzugefügt?
  • Welche neuen Drittabhängigkeiten bestehen?
  • Welche Sicherheitsverbesserungen haben wir vorgenommen?
  • Welche Vorfälle oder Beinahe-Vorfälle haben wir erlebt?

Fazit

Cyber-Versicherung ist ein wertvolles Risikotransfer-Instrument — aber nur, wenn Sie verstehen, was sie nicht abdeckt. Die teuerste Police ist die, die Ihnen falsche Sicherheit vermittelt.

Ausschlüsse erhalten alle Aufmerksamkeit, aber die Definition des „Cyber-Ereignisses” bestimmt, ob der Versicherungsschutz überhaupt greift, bevor Ausschlüsse ins Spiel kommen.

Prüfen Sie vor Ihrer nächsten Erneuerung Ihre Ausschlüsse an Ihrem tatsächlichen Risikoprofil. Die Lücken, die Sie heute finden, könnten Ihr Unternehmen morgen retten.


Brauchen Sie Hilfe beim Verständnis Ihrer Cyber-Versicherungsdeckung? Nutzen Sie unseren NIS2-Compliance-Checker, um Ihre regulatorische Position zu bewerten, oder probieren Sie unseren Cyber-Risikorechner, um Ihre Exposition zu quantifizieren.

Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.

Go deeper with premium cyber risk reports

Professional-grade analysis, NIS2 compliance guides, and threat intelligence — used by underwriters across Europe.

Starter

€199 /month

Unlimited scans, submission packets, PDF downloads, NIS2/DORA

View Plans →
Best Value

Professional

€490 /month

Full platform — continuous monitoring, API access, white-label reports

Everything in Starter plus professional tools

Upgrade Now →
30-day money-back
Secure via Stripe
Cancel anytime

Free NIS2 Compliance Checklist

Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.

No spam. Unsubscribe anytime. Privacy Policy

blog.featured

WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks

Cyber Risk ·

5 min read

WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks

Cyber Risk ·

6 min read

Premium Report

2026 Cyber Risk Landscape Report

24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.

View Reports →