News

Police im Schrank, Schutz im Kleingedruckten: Warum Cyber-Versicherungen im Ernstfall oft nicht zahlen

Immer mehr Mittelständler schließen Cyber-Policen ab. Doch ob im Ernstfall gezahlt wird, entscheidet sich oft an Bedingungen im Kleingedruckten – den Obliegenheiten.

Von Anton · · 3 Min. Lesezeit

Immer mehr kleine und mittlere Betriebe, Kanzleien und Arztpraxen schließen eine Cyber-Versicherung ab. Angesichts steigender Schäden durch Ransomware, Datenabfluss und Betriebsunterbrechungen wirkt das wie eine naheliegende Vorsorge. Doch die Police allein garantiert keinen Schutz. Denn ob im Schadensfall tatsächlich gezahlt wird, entscheidet sich häufig an Bedingungen, die tief im Kleingedruckten stehen – den sogenannten Obliegenheiten.

Vom Formular zur Falle: Was Obliegenheiten bedeuten

Obliegenheiten sind Pflichten, die der Versicherungsnehmer erfüllen muss, damit der Vertrag im Ernstfall greift. Bei Cyber-Policen betrifft das vor allem das Sicherheitsniveau des Unternehmens: Wird eine Mehr-Faktor-Authentifizierung für externe Zugänge eingesetzt? Werden Sicherheitsupdates zeitnah eingespielt? Existieren regelmäßige, getrennt gelagerte Backups? Wer diese Fragen im Antrag mit „Ja" beantwortet, sichert dem Versicherer einen Zustand zu – und muss diesen auch tatsächlich aufrechterhalten. Kommt es zum Angriff und stellt sich heraus, dass die zugesicherten Maßnahmen nicht oder nur teilweise umgesetzt waren, kann der Versicherer die Leistung kürzen oder ganz verweigern.

Ein Gerichtsbeschluss mit Signalwirkung

Wie ernst die Gerichte diese Sorgfaltspflichten nehmen, zeigt ein vielzitierter Beschluss des Oberlandesgerichts Schleswig vom 9. Januar 2025. Danach müssen Unternehmen die Risikofragen im Antrag mit höchster Sorgfalt beantworten. Wer „regelmäßige Updates" zusichert, die verfügbaren Sicherheitsupdates aber nicht unverzüglich einspielt, riskiert den Verlust des Deckungsschutzes. Die Botschaft ist eindeutig: Ein Ankreuzen ins Blaue hinein kann im Schadensfall teuer werden. Fachanwälte und Branchendienste werten die Entscheidung als Beleg dafür, dass Versicherer im Ernstfall sehr genau prüfen, ob die vertraglich zugesicherten Standards eingehalten wurden.

2026: Die Anforderungen steigen weiter

Der Trend geht klar zu strengeren Bedingungen. Für 2026 berichten Branchenbeobachter, dass viele Versicherer Mindestanforderungen zur Voraussetzung machen, ohne die es entweder gar keine Police oder nur deutlich höhere Prämien gibt. Genannt werden regelmäßig eine Mehr-Faktor-Authentifizierung für privilegierte und externe Zugänge, ein strukturiertes Patch-Management mit definierten Fristen für kritische Sicherheitslücken, Netzwerksegmentierung sowie Backups nach der bekannten „3-2-1"-Regel. Für Unternehmen ohne professionelle IT-Sicherheitsstruktur wird der Zugang zu bezahlbarem Versicherungsschutz damit spürbar enger.

Warum die Versicherung kein Ersatz für Sicherheit ist

Der entscheidende Denkfehler liegt in der Vorstellung, eine Police könne fehlende Sicherheit ersetzen. Das Gegenteil ist der Fall: Die Versicherung setzt ein bestimmtes Sicherheitsniveau voraus – und prüft dessen Einhaltung im Schadensfall rückwirkend. IT-Dienstleister weisen deshalb darauf hin, dass die Beantwortung der Risikofragen und die tatsächliche IT-Realität zusammenpassen müssen. Wer im Antrag Maßnahmen angibt, die im Alltag nicht gelebt werden, kauft im schlimmsten Fall ein trügerisches Sicherheitsgefühl. Sinnvoll ist es, die im Antrag gemachten Angaben regelmäßig mit dem tatsächlichen Zustand abzugleichen und Veränderungen im Unternehmen – etwa neue Systeme oder Zugänge – auch bei der IT-Sicherheit nachzuziehen.

Was Unternehmen daraus mitnehmen können

Für den Mittelstand bedeutet das vor allem: Die Cyber-Versicherung ist ein Baustein, kein Rundum-sorglos-Paket. Wer eine Police abschließt oder verlängert, sollte die Obliegenheiten genau lesen, die zugesicherten Maßnahmen dokumentieren und im Zweifel fachkundigen Rat einholen. Denn im Ernstfall zählt nicht, was auf dem Deckblatt steht, sondern was im Betrieb tatsächlich umgesetzt wurde.


Dieser Beitrag ist eine redaktionelle Einordnung eines allgemeinen Branchentrends und stellt keine Rechts-, Versicherungs- oder Steuerberatung dar. Für die Bewertung eines konkreten Vertrags oder Schadensfalls sollten fachkundige Beraterinnen und Berater hinzugezogen werden.

Mehr zum Thema

  • Wenn der Versicherungsmakler in Rente geht: Was der Verkauf des Kundenbestands für Versicherte bedeutet
  • Ende der offenen Ladenkasse? Was hinter der geplanten Registrierkassenpflicht ab 2027 steckt
  • Cyberpolice abgeschlossen – und im Ernstfall trotzdem ohne Schutz?
  • Der freundliche Anruf beim Ex-Chef: Warum das klassische Referenzgespräch unter Druck gerät
  • Nachtschicht vergessen, Geld verloren: Warum Zuschläge am Bau so oft auf der Strecke bleiben
  • Abmahnung wegen Werbe-E-Mail: Was hinter der neuen Welle steckt – und wie sich Betriebe schützen