News

Cyberpolice abgeschlossen – und im Ernstfall trotzdem ohne Schutz?

Viele Mittelständler verlassen sich auf ihre Cyberversicherung – doch im Schadensfall kürzen Versicherer oft die Leistung. Warum Obliegenheiten und Beweislast über den Schutz entscheiden.

Von Anton · · 3 Min. Lesezeit

Eine Cyberversicherung gilt vielen mittelständischen Betrieben inzwischen als Selbstverständlichkeit – so wie die Feuer- oder die Betriebshaftpflichtversicherung. Der Gedanke dahinter ist beruhigend: Sollte ein Verschlüsselungstrojaner die Produktion lahmlegen oder ein Datenleck teure Folgen haben, springt die Police ein. Doch in der Praxis erleben Unternehmen immer wieder eine böse Überraschung, wenn der Schaden bereits eingetreten ist und der Versicherer die Zahlung kürzt oder ganz verweigert. Der Vertrag existiert – der Schutz aber greift nicht wie erhofft.

Das Kleingedruckte heißt Obliegenheiten

Der häufigste Grund für eine Leistungsverweigerung liegt nicht im großen Ausschlusskatalog, sondern in den sogenannten Obliegenheiten. Das sind Pflichten, zu deren Einhaltung sich das Unternehmen im Vertrag verpflichtet. Versicherer verlangen für das Jahr 2026 nach übereinstimmenden Branchenberichten spürbar strengere Mindeststandards: Multi-Faktor-Authentifizierung für den Zugang zu Systemen, regelmäßige und getestete Backups, aktuelles Patch-Management, ein dokumentiertes Berechtigungskonzept und nachweisbare Schulungen der Mitarbeitenden. Wer diese Vorgaben nicht durchgängig erfüllt, riskiert im Schadensfall den Schutz – selbst wenn die Lücke mit dem konkreten Angriff gar nichts zu tun hatte.

Wenn Angaben und Realität auseinanderfallen

Besonders heikel wird es beim Antrag. Wer dort etwa angibt, Multi-Faktor-Authentifizierung flächendeckend einzusetzen, sie tatsächlich aber nur für einen Teil der Zugänge aktiviert hat, kann laut Einschätzung von Fachanwälten im Ernstfall den vollständigen Versicherungsschutz verlieren. Entscheidend ist dabei ein oft unterschätzter Punkt: Die Beweislast, dass alle zugesagten Pflichten erfüllt wurden, liegt beim Unternehmen – nicht beim Versicherer. Kann ein Betrieb im Schadensfall nicht belegen, dass Backups liefen, Systeme gepatcht waren und Zugänge abgesichert wurden, steht er schlechter da, als er glaubt.

Typische Ausschlüsse

Neben den Obliegenheiten gibt es klassische Ausschlüsse, die viele Policen gemeinsam haben. Dazu zählen häufig vorsätzliche Handlungen, bereits vor Vertragsschluss bekannte Sicherheitsvorfälle sowie besonders grobe Pflichtverletzungen. Auch die genaue Abgrenzung, welche Kosten überhaupt gedeckt sind – etwa Betriebsunterbrechung, Wiederherstellung von Daten, Lösegeldzahlungen oder Ansprüche Dritter – unterscheidet sich von Anbieter zu Anbieter erheblich. Ein pauschales „wir sind ja versichert“ sagt daher wenig über den tatsächlichen Umfang des Schutzes aus.

Dokumentation als Versicherungsschutz

Die wohl wichtigste Konsequenz aus alldem klingt unspektakulär: dokumentieren. Wer schriftlich festhält, welche Sicherheitsmaßnahmen wann umgesetzt wurden, wann Backups getestet und Systeme aktualisiert wurden, schafft im Ernstfall genau die Nachweise, auf die es ankommt. Fachleute empfehlen zudem, den Versicherungsvertrag regelmäßig mit dem tatsächlichen IT-Zustand abzugleichen – gerade weil sich sowohl die eigene Infrastruktur als auch die Anforderungen der Versicherer schnell ändern. Eine Police, die vor drei Jahren passte, kann heute Lücken aufweisen.

Fazit

Die Cyberversicherung bleibt ein sinnvoller Baustein der Risikovorsorge – aber sie ist kein Ersatz für gelebte IT-Sicherheit, sondern deren Ergänzung. Der Schutz steht und fällt mit der Frage, ob ein Unternehmen die zugesagten Pflichten wirklich erfüllt und dies auch beweisen kann. Wer die Police als bloßes Dokument im Aktenordner betrachtet, könnte im Ernstfall feststellen, dass sie genau dort ihren Wert verliert, wo er am dringendsten gebraucht wird.


Dieser Beitrag ist eine allgemeine redaktionelle Einordnung und stellt keine Rechts- oder Versicherungsberatung dar. Für die Prüfung des eigenen Vertrags und der individuellen Absicherung sollte fachkundiger Rat eingeholt werden.

Mehr zum Thema

  • Abmahnung wegen Werbe-E-Mail: Was hinter der neuen Welle steckt – und wie sich Betriebe schützen
  • Police im Schrank, Schutz im Kleingedruckten: Warum Cyber-Versicherungen im Ernstfall oft nicht zahlen
  • Wenn der Versicherungsmakler in Rente geht: Was der Verkauf des Kundenbestands für Versicherte bedeutet
  • Ende der offenen Ladenkasse? Was hinter der geplanten Registrierkassenpflicht ab 2027 steckt
  • Der freundliche Anruf beim Ex-Chef: Warum das klassische Referenzgespräch unter Druck gerät
  • Nachtschicht vergessen, Geld verloren: Warum Zuschläge am Bau so oft auf der Strecke bleiben