Ransomware-Schäden im Jahr 2026: Was die Daten Underwritern über die Risikopreisgestaltung verraten
Die Schadenfrequenz bei Ransomware verschiebt sich im Jahr 2026 erneut. Hier ist, was die aktuellsten Datenmuster für die Preisgestaltung von Cyber-Risiken, die Strukturierung von Selbstbeteiligungen und die Bewertung Ransomware-spezifischer Nachträge durch Underwriter bedeuten.
Die Ransomware-Landschaft im Jahr 2026 sieht nicht wie 2021 aus, und sie sieht auch nicht wie 2024 aus. Die Bedrohungsakteure haben sich weiterentwickelt. Die Abwehrwerkzeuge haben sich verbessert. Das regulatorische Umfeld hat sich verschärft. Und die Schadendaten erzählen eine Geschichte, die Underwriter verstehen müssen, wenn sie Risiko preislich richtig bewerten wollen.
Ich habe mir Ransomware-Schadenmuster im europäischen Cyber-Versicherungsmarkt angesehen, und mehrere Trends stechen heraus. Keiner davon ist beruhigend.
Die Verschiebung von Verschlüsselung zu Exfiltration
Vor zwei Jahren drehte sich der typische Ransomware-Schaden um Verschlüsselung — Angreifer sperrten Systeme, forderten Lösegeld für einen Entschlüsselungsschlüssel, und der Versicherungsnehmer musste entscheiden, ob er zahlt oder aus Backups wiederherstellt.
Im Jahr 2026 ist das dominante Muster Datenexfiltration mit Erpressung. Angreifer müssen nichts verschlüsseln. Sie kopieren sensible Daten — Kundendatensätze, Finanzdetails, Geschäftsgeheimnisse — und drohen mit deren Veröffentlichung. Das verändert die Schadensdynamik grundlegend:
- Kein Entschlüsselungsschlüssel, auf den gewartet werden muss. Der Schaden ist in dem Moment entstanden, in dem die Daten das Netzwerk verlassen haben.
- Die regulatorische Exposition ist sofort vorhanden. Nach der GDPR löst ein Datenschutzvorfall Meldepflichten innerhalb von 72 Stunden aus, unabhängig davon, ob ein Lösegeld gezahlt wird.
- Betriebsunterbrechung ist schwerer zu quantifizieren. Im Gegensatz zu Verschlüsselungsereignissen, bei denen Systeme eindeutig lahmgelegt sind, verursachen Exfiltrationsereignisse möglicherweise keine sichtbare Betriebsstörung — aber die finanziellen Auswirkungen durch Bußgelder, Anwaltskosten und Reputationsschäden können höher ausfallen.
Für Underwriter bedeutet dies, dass traditionelle BU-Trigger auf Basis von Systemausfallzeiten die volle Schadenexposition möglicherweise nicht erfassen. Policen müssen Erpressungskosten, Regulierungsstrafen (soweit versicherbar) und Dritthaftung aus Datenexposition berücksichtigen — selbst wenn der Betrieb des Versicherungsnehmers niemals zum Stillstand kam.
Schadenfrequenz steigt, Schadenshöhe ist bimodal
Die Gesamtfrequenz von Ransomware-Schäden ist im europäischen Markt im Jahresvergleich um etwa 15–20 % gestiegen. Aber die Schadensverteilung erzählt eine interessantere Geschichte:
Kleine und mittlere Unternehmen (KMU): Schäden sind häufiger, aber einzeln kleiner. Angreifer nutzen automatisierte Werkzeuge, um Unternehmen mit einem Umsatz unter 50 Mio. € ins Visier zu nehmen, und fordern Lösegelder im Bereich von 10.000–50.000 €. Viele dieser Unternehmen verfügen über keine ausgereiften Incident-Response-Pläne, zahlen also — und die Schäden werden schnell abgewickelt.
Großunternehmen: Schäden sind seltener, aber deutlich schwerer. Wenn ein DAX-gelistetes Unternehmen getroffen wird, kann allein die Lösegeldforderung 5 Mio. € übersteigen, und die gesamten versicherten Schäden (einschließlich BU, Datenwiederherstellung, Anwaltskosten und Regulierungsstrafen) übersteigen regelmäßig 20 Mio. €.
Diese bimodale Verteilung hat preisliche Auswirkungen. Ein Portfolio mit Schwerpunkt auf KMU-Risiken wird andere Schadenquoten aufweisen als eines, das gegenüber Großunternehmen gewichtet ist. Underwriter sollten explizit klären, für welches Segment sie preislich bewerten und ihre Frequenz-/Schadensannahmen entsprechend anpassen.
Die Lösegeldzahlungsfrage
Einer der umstrittensten Bereiche in der Schadenabwicklung ist die Frage, ob Lösegeldzahlungen zugelassen werden sollen. Mehrere Entwicklungen im Jahr 2026 sind relevant:
-
OFAC- und EU-Sanktionsdurchsetzung hat sich verschärft. Die Zahlung eines Lösegelds an eine sanktionierte Entität — auch unbeabsichtigt — birgt rechtliche Risiken für den Versicherungsnehmer und den Versicherer.
-
Strafverfolgungs-Disruptionsoperationen haben zugenommen. Europol und nationale Behörden haben deutliche Erfolge bei der Zerschlagung von Ransomware-Infrastruktur erzielt, was eine Zahlung manchmal überflüssig macht (Daten über Strafverfolgungskanäle wiederhergestellt).
-
Der „Keine-Verhandlungs”-Trend bei großen Versicherern. Einige Träger beinhalten nun Policensprache, die Lösegeldzahlungen entmutigt oder einschränkt und Versicherungsnehmer stattdessen auf Incident-Response-Unternehmen und Datenwiederherstellungsspezialisten verweist.
Für Underwriter ist die Schlüsselfrage: Ist in Ihrer Policensprache der Lösegeldzahlungs-Entscheidungsbaum angemessen abgebildet? Wenn der Versicherungsnehmer ohne Versicherergenehmigung zahlt, ist das gedeckt? Wenn Strafverfolgungsbehörden Daten nach einer Zahlung wiederherstellen, gibt es einen Rückzahlungsmechanismus? Diese Details sind entscheidend.
NIS2 und ihre Auswirkungen auf das Schadenverhalten
Die NIS2-Richtlinie, nun in der Durchsetzungsphase, verändert, wie Organisationen auf Ransomware-Vorfälle reagieren — und damit, wie Schäden gemeldet werden:
- Meldepflicht innerhalb von 24 Stunden nach Kenntnisnahme eines bedeutenden Vorfalls bedeutet, dass Schäden früher gemeldet werden. Dies ist für Versicherer grundsätzlich vorteilhaft (frühere Intervention, bessere Schadenminderung), erhöht aber die Verwaltungskosten.
- Managementhaftpflicht-Bestimmungen bedeuten, dass C-Suite-Führungskräfte persönlich für unzureichende Cybersicherheit haftbar gemacht werden können. Dies treibt die Nachfrage nach D&O-Deckung neben Cyber-Policen.
- Lieferketten-Sorgfaltspflicht-Anforderungen bedeuten, dass ein Ransomware-Vorfall beim Versicherungsnehmer Schadenersatzansprüche von deren Kunden und Partnern auslösen kann — was den Pool potenzieller Anspruchsteller erweitert.
Underwriter sollten im Rahmen ihrer Risikobewertung nach NIS2-Compliance fragen. Nicht-konforme Organisationen weisen ein höheres Risiko auf, nicht weil sie wahrscheinlicher angegriffen werden, sondern weil die regulatorischen Folgen eines Angriffs gravierender sind.
Was dies für die Preisgestaltung bedeutet
Basierend auf den obigen Trends würde ich die Preisgestaltung von Ransomware-Risiken im Jahr 2026 folgendermaßen betrachten:
| Faktor | Richtung | Preiseffekt |
|---|---|---|
| Exfiltration statt Verschlüsselung | Steigend | Höhere Dritthaftungs-Deckungssummen bepreisen |
| KMU-Schadenfrequenz | Steigend | Höherer Frequenzzuschlag für KMU-Portfolios |
| Schwere bei Großunternehmen | Steigend | Angemessener Katastrophzuschlag |
| Strafverfolgungsdisruption | Steigend (positiv) | Geringfügiger Offset bei Schwere |
| NIS2-regulatorische Exposition | Steigend | Compliance-Rabatt für vorbereitete Versicherungsnehmer |
| Sanktions-/Zahlungsrisiko | Steigend | Strengere Policensprache, möglicher Ausschluss |
Fazit
Ransomware-Risiko im Jahr 2026 ist nicht dasselbe Risiko wie vor drei Jahren. Die Angriffsvektoren haben sich verschoben, das regulatorische Umfeld hat sich verändert, und die Schadenmuster spiegeln beides wider. Underwriter, die sich auf Schadendaten und Annahmen aus dem Jahr 2022 verlassen, riskieren wahrscheinlich eine Fehlpreisstellung.
Der beste Underwriting-Ansatz heute kombiniert:
- Aktualisierte Frequenz-/Schweregradmodelle, die das Exfiltration-zuerst-Angriffsmuster widerspiegeln
- Explizite Policensprache bezüglich Lösegeldzahlungen, Sanktionscompliance und regulatorischer Exposition
- NIS2-Compliance-Bewertung als Standardbestandteil des Underwriting-Fragebogens
- Portfolioebene Analyse, die die bimodale KMU/Großunternehmen-Verteilung berücksichtigt
Wenn Sie im Jahr 2026 Cyber-Risiken bepreisen und nicht für diese Trends anpassen, fliegen Sie auf Sicht. Nutzen Sie unseren NIS2-Compliance-Leitfaden, um die regulatorische Exposition Ihrer Mandanten zu bewerten.
Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.
Get the full picture with premium access
In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.
Professional
Full platform — continuous monitoring, API access, white-label reports
Everything in Starter plus professional tools
Upgrade Now →Free NIS2 Compliance Checklist
Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.
No spam. Unsubscribe anytime. Privacy Policy
blog.featured
WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims
6 min read
WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks
5 min read
WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims
6 min read
WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks
6 min read
Premium Report
2026 Cyber Risk Landscape Report
24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.
View Reports →