Cyber-Versicherungsbedingungen: 12 wesentliche Klauseln, die jeder Underwriter und Makler 2026 prüfen muss
Praxisleitfaden zu Cyber-Versicherungsbedingungen — die 12 kritischen Klauseln, die Deckungsumfang, Ausschlüsse und Schadenergebnisse bestimmen. Geschrieben für Underwriter, Makler und Risikomanager, die Cyber-Policen 2026 vergleichen.
Die Bedingungen einer Cyber-Versicherungspolice bestimmen, was im Ernstfall wirklich gezahlt wird. Diese 12 Klauseln sind der Unterschied zwischen Deckung und Ablehnung.
Die 12 kritischen Klauseln
1. Definitions of Security Event vs. Privacy Event
Warum wichtig: Die Police unterscheidet zwischen Sicherheitsereignissen (Systemeintritt, Ransomware) und Datenschutzereignissen (DSGVO-Verletzung, Datenleck). Einige Policen decken nur eines vollständig.
Prüfen: Sind beide Ereignistypen gleichwertig abgedeckt?
2. Retroactive Date
Warum wichtig: Bestimmt, wie weit zurück ein Vorfall datieren darf, um noch gedeckt zu sein. Wenn der Angreifer schon vor 2 Jahren im System war, ist das entscheidend.
Prüfen: Retroaktives Datum = Policenbeginn oder früher?
3. Notification Requirement
Warum wichtig: Die Frist zur Schadenmeldung. 2026 haben einige Versicherer auf 48 Stunden reduziert.
Prüfen: Wie lange haben Sie Zeit? Was zählt als „Benachrichtigung”?
4. Consent Clause
Warum wichtig: Regelt, ob Sie zustimmen müssen, bevor der Versicherer Kosten übernimmt — besonders bei Lösegeldzahlungen.
Prüfen: Vorbedingte Zustimmung oder Einzelfallprüfung?
5. Sublimits for Specific Costs
Warum wichtig: Teilkapitalgrenzen innerhalb der Gesammtdeckung:
| Kostenart | Typischer Sublimit |
|---|---|
| Lösegeld | 25–50% der Deckungssumme |
| DSGVO-Strafen | Oft ausgeschlossen |
| Geschäftsausfall | 100% oder separater Sublimit |
| Forensik | Meist inkludiert |
| PR/Kommunikation | 10–25% der Deckungssumme |
Prüfen: Welche Sublimits gibt es und reichen sie?
6. War and State-Sponsored Exclusion
Warum wichtig: 2026 haben die meisten Versicherer den Kriegsausschluss ausgeweitet. Staatlich geförderte Cyberangriffe können ausgeschlossen sein.
Prüfen: Wie wird „staatlich gefördert” definiert? Gibt es eine Kausalitätsschwelle?
7. Bodily Injury and Property Damage Exclusion
Warum wichtig: Wenn ein Cyberangriff physische Schäden verursacht (z.B. Industrieanlagen, medizinische Geräte), wird dies oft ausgeschlossen.
Prüfen: Gibt es eine Brücke zur Betriebshaftpflicht?
8. Prior Knowledge Exclusion
Warum wichtig: Wenn Sie zum Zeitpunkt der Antragsstellung von einer Schwachstelle wussten und sie nicht offenlegten, kann die Deckung entfallen.
Prüfen: Wie wird „Wissen” definiert? Gilt es für alle Mitarbeiter?
9. Failure to Maintain Security Standards
Warum wichtig: Eine wachsende Klausel — die Police kann die Deckung verweigern, wenn grundlegende Sicherheitsmaßnahmen fehlten.
Prüfen: Welche Maßnahmen sind vertraglich vorausgesetzt? MFA? Patch-Management?
10. Virtual Asset and Cryptocurrency Exclusion
Warum wichtig: Verluste durch Kryptotransaktionen (auch erpressungsbezahlte) können ausgeschlossen sein.
Prüfen: Ist die Zahlung von Lösegeld in Krypto gedeckt?
11. Regulatory Defense Costs
Warum wichtig: NIS2 und DSGVO-Verfahren erzeugen erhebliche Rechtskosten. Nicht alle Policen decken die Verteidigung gegen regulatorische Maßnahmen.
Prüfen: Sind Ermittlungs- und Verteidigungskosten gedeckt?
12. Aggregate vs. Per-Claim Limits
Warum wichtig: Aggregatdeckung = maximale Auszahlung pro Jahr für alle Schäden. Pro-Schaden-Deckung = pro einzelnem Vorfall.
Prüfen: Was gilt? Was passiert bei mehreren Vorfällen im selben Jahr?
Die NIS2-Verbindung
Seit NIS2 prüfen Versicherer aktiv, ob Einrichtungen ihre gesetzlichen Pflichten erfüllen. Eine „Failure to Maintain Security Standards”-Klausel kann sich auf NIS2-Artikel-21-Anforderungen beziehen.
Siehe unseren NIS2-Compliance-Leitfaden für die Mindestanforderungen.
Fazit
Die Bedingungen sind wichtiger als die Prämie. Eine günstige Police mit engen Ausschlüssen ist teurer als eine teurere Police mit breiter Deckung. Prüfen Sie diese 12 Klauseln bei jedem Angebot.
Vergleichen Sie Cyber-Policen mit unserem Deckungsvergleichstool und nutzen Sie die NIS2-Compliance-Checkliste als Verhandlungsgrundlage.
Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.
Go deeper with premium cyber risk reports
Professional-grade analysis, NIS2 compliance guides, and threat intelligence — used by underwriters across Europe.
Best Value
Professional
€490 /month
Full platform — continuous monitoring, API access, white-label reports
Everything in Starter plus professional tools
Upgrade Now → 30-day money-back
Secure via Stripe
Cancel anytime
Free NIS2 Compliance Checklist
Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.
Check your inbox! Your checklist download is on its way.
Something went wrong. Please try again.
No spam. Unsubscribe anytime. Privacy Policy
blog.featured
The Resilience Stack™: A Five-Layer Framework for Cyber Insurance Risk Assessment
Resilience Stack ·
12 min read
The Five Toxic Powers of Agentic AI — What Underwriters Need to Know
Agentic AI ·
11 min read
DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask
AI Agents ·
20 min read
The AI Insurance Split: Big Carriers Exclude, Startups Fill the Gap — What Underwriters and Brokers Need to Know
AI Insurance ·
12 min read
Premium Report
2026 Cyber Risk Landscape Report
24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.
View Reports →