Police gekauft, trotzdem ungeschützt: Wo Cyberversicherungen im Mittelstand an Grenzen stoßen
Immer mehr kleine und mittlere Betriebe schließen eine Cyberversicherung ab. Doch eine Police ist kein Ersatz für IT-Sicherheit – und zahlt längst nicht in jedem Schadenfall. Entscheidend ist das Kleingedruckte.
Ransomware, verschlüsselte Server, tagelanger Stillstand: Für viele Handwerksbetriebe, Kanzleien und mittelständische Unternehmen ist ein Cyberangriff längst kein abstraktes Risiko mehr. Entsprechend rasant wächst der Markt für Cyberversicherungen. Sie sollen die finanziellen Folgen abfedern – von der Wiederherstellung der Systeme über Betriebsunterbrechung bis hin zu Forensik und Haftungsfragen. Doch mit der Verbreitung wächst auch ein Missverständnis: dass die Police allein schon Schutz bedeute. Fachleute warnen zunehmend vor genau diesem Trugschluss.
Die Police ist keine Firewall
Eine Cyberversicherung ersetzt keine IT-Sicherheit – dieser scheinbar banale Satz beschreibt den Kern des Problems. Denn anders als bei der klassischen Sachversicherung reicht es nicht, im Schadenfall den Eintritt des Ereignisses nachzuweisen. Versicherer knüpfen ihre Leistung an technische und organisatorische Voraussetzungen, die das Unternehmen dauerhaft erfüllen muss. Wer sie beim Vertragsabschluss zusichert, im Betriebsalltag aber schleifen lässt, riskiert im Ernstfall den Schutz, für den er jahrelang Beiträge gezahlt hat.
Rechtlich stützen sich Versicherer dabei auf die Verletzung sogenannter Obliegenheiten, wie sie im Versicherungsvertragsgesetz geregelt sind. Kommt ein Betrieb den vereinbarten Pflichten nicht nach, darf der Versicherer die Leistung kürzen oder ganz verweigern. Die Beweislast, dass alle Auflagen erfüllt waren, liegt dabei häufig beim Unternehmen selbst – ausgerechnet in einer Situation, in der die IT womöglich verschlüsselt und die Dokumentation nur schwer greifbar ist.
Was Versicherer 2026 verlangen
Die Anforderungen sind über die Jahre spürbar gestiegen. Nach übereinstimmenden Marktbeobachtungen verlangen die meisten Anbieter inzwischen ein Bündel an Mindestmaßnahmen: eine Multi-Faktor-Authentifizierung zumindest für Administrator- und Fernzugänge, regelmäßige und getestete Backups, ein aktuelles Patch-Management, ein dokumentiertes Berechtigungskonzept sowie nachweisbare Schulungen der Beschäftigten. Was früher als Kür galt, ist damit zur Bedingung für den Versicherungsschutz geworden.
Der heikle Punkt liegt in den Angaben, die ein Betrieb im Antrag macht. Wer etwa erklärt, MFA flächendeckend einzusetzen, sie aber nur für einen Teil der Konten aktiviert hat, bewegt sich auf dünnem Eis. Berichten zufolge hat ein Gericht in einem Beschluss Anfang 2025 klargestellt, dass falsche Angaben zu IT-Sicherheitsstandards im Antrag im Extremfall sogar zur Anfechtung des gesamten Vertrags wegen arglistiger Täuschung führen können. Der Versicherungsschutz wäre dann rückwirkend hinfällig.
Vom Formular zum Dauerzustand
Für den Mittelstand verschiebt sich damit die eigentliche Aufgabe. Sie besteht nicht darin, einmal ein Antragsformular auszufüllen, sondern die zugesicherten Schutzmaßnahmen lückenlos und dauerhaft aufrechtzuerhalten – und das auch belegen zu können. Ein Backup, das seit Monaten nicht mehr funktioniert, oder ein Patch-Stand, der stillschweigend veraltet ist, kann im Schadenfall zum teuren Bumerang werden. Sicherheit wird so zu einem laufenden Prozess statt zu einem Häkchen im Vertrag.
Das ist keine Absage an die Cyberversicherung, im Gegenteil: Sie bleibt ein sinnvoller Baustein, weil ein schwerer Angriff kleinere Organisationen finanziell überfordern kann. Doch sie wirkt nur als Ergänzung zu solider IT-Sicherheit, nicht als deren Ersatz. Wer die Police als Vollkasko missversteht, die eigene Nachlässigkeit ausgleicht, dürfte im Ernstfall enttäuscht werden.
Die unbequeme Konsequenz
Der Trend zu mehr Cyberversicherungen ist also zweischneidig. Einerseits schärft er das Bewusstsein für digitale Risiken und drängt Betriebe zu Maßnahmen, die sie ohnehin ergreifen sollten. Andererseits verlagert er einen Teil der Verantwortung zurück auf die Unternehmen – und macht das Kleingedruckte zur entscheidenden Größe. Der nüchterne Rat vieler Fachleute lautet deshalb: Erst die Hausaufgaben in der IT-Sicherheit machen, dann versichern. Nicht umgekehrt.
Dieser Beitrag ordnet einen Branchentrend redaktionell ein und ersetzt keine Rechts- oder Versicherungsberatung. Für die Prüfung konkreter Verträge und Obliegenheiten empfiehlt sich fachkundiger Rat.