27 Prozent der kleinen und mittelständischen Unternehmen wurden laut Hiscox Cyber Readiness Report 2025 innerhalb eines Jahres von Ransomware getroffen. Die finanziellen Folgen für betroffene Unternehmen: durchschnittlich 95.000 Euro Schaden durch Cyberkriminalität. Trotzdem haben drei von vier KMU keine Cyberversicherung abgeschlossen — und stehen im Schadenfall ohne Absicherung da.
Das ist, als würde man ohne Feuerversicherung ein Lagerhaus betreiben. Klingt übertrieben? Fragen Sie mal den Schweizer Fensterbauer Swisswindows. Nach einem Cyber-Angriff mit Schadsoftware auf 120 Server stand die Produktion über einen Monat still. Datenverlust, Betriebsunterbrechungen und die Kosten für die Wiederherstellung — nichts war abgesichert. Sieben Monate später: Konkurs. Der Schaden: mehrere Milliarden Euro in der Branche jährlich.
Eine Cyberversicherung schützt nicht vor Cyberangriffen. Sie federt die finanziellen Folgen ab, wenn es trotz aller Vorsicht passiert. Der Cyberschutz durch eine Cyber-Versicherung umfasst typischerweise:
Eigenschäden: IT-Forensik, Datenwiederherstellung, Betriebsunterbrechung, Kosten für die Wiederherstellung von IT-Systemen, Krisenkommunikation und PR-Maßnahmen.
Drittschäden: Schadensersatzforderungen von Kunden oder Geschäftspartnern bei Datenverlust, Haftpflichtansprüche bei Datenschutzverletzungen, Vertragsstrafen.
Serviceleistungen: 24/7-Notfall-Hotline, Rechtsberatung, Krisenmanagement, Lösegeldzahlungen (je nach Police) und Unterstützung durch spezialisierte Incident-Response-Teams. Im Schadenfall aktiviert der Versicherer ein Krisenteam mit Expertinnen und Experten, das sofort eingreift. Versicherte Unternehmen erhalten damit auch IT-Sicherheitsmaßnahmen und Präventionsmaßnahmen als Teil des Versicherungsschutzes.
Vorsätzliche Handlungen, Krieg und staatlich gesteuerte Cyberangriffe sind bei den meisten Versicherern ausgeschlossen. Jede Schwachstelle, die Sie nicht dokumentiert haben, kann zum Risiko im Schadenfall werden. Prüfen Sie die Ausschlussklauseln Ihrer Police genau.
Hier wird es für viele KMU und kleine und mittlere Unternehmen unbequem. Versicherer vergeben heute keine Policen mehr nach dem Gießkannenprinzip. Sie prüfen detailliert, welche technischen und organisatorischen Maßnahmen ein Unternehmen gegen Cyberrisiken bereits implementiert hat.
Die wichtigsten Obliegenheiten im Überblick:
| Anforderung | Was Versicherer erwarten | Erfüllungsgrad KMU |
|---|---|---|
| MFA | Multi-Faktor-Authentifizierung auf E-Mail, VPN, Cloud, Admin-Konten | 95 % der Versicherer verlangen das |
| Patch-Management | Kritische Updates innerhalb von 14–30 Tagen | Oft mangelhaft |
| Backup-Konzept | Regelmäßige Sicherung, getrennte Aufbewahrung, Restore-Tests | 68 % der KMU testen nie |
| Berechtigungskonzept | Dokumentierte Zugriffsrechte, Least-Privilege-Prinzip | Selten vorhanden |
| Mitarbeiterschulungen | Nachweisbare Security-Awareness-Trainings | Jährlich minimum |
| IT-Dokumentation | Netzwerkplan, Inventar, Notfallplan | Basis für jeden Antrag |
Wer die Obliegenheiten nicht einhält, riskiert im Schadenfall die komplette Leistungsverweigerung. Der Versicherer darf kürzen oder ablehnen — und das Unternehmen trägt die Beweislast, dass es alle Pflichten erfüllt hat.
Die ehrliche Antwort: Wenn Ihr Unternehmen E-Mails nutzt, sensible Daten speichert oder auf IT-Systeme angewiesen ist — ja. Das Risiko durch Cyberangriffe und Schadsoftware betrifft praktisch jede Branche. 84 Prozent der Unternehmen in Deutschland waren laut Bitkom bereits von einem Cyber-Angriff betroffen. Gutes Risikomanagement und Informationssicherheit allein reichen als Absicherung nicht aus — Cyberversicherungen ergänzen die Präventionsmaßnahmen für den Ernstfall.
Besonders gefährdet sind:
Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern — die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz. Und genau diese kleinen Unternehmen sind auch für Cyberangriffe interessant, weil sie oft schlechter abgesichert sind.
Nils OehmichenDatenschutzberater bei frag.hugo
Ein Mandant von uns — ein Dienstleister mit 35 Mitarbeitern — wurde Opfer einer Cyberattacke per Phishing-Mail. Der Angreifer verschlüsselte die Fileserver und forderte 80.000 Euro Lösegeld. Die Cyberversicherung übernahm IT-Forensik, Datenrettung und den Ertragsausfall für drei Wochen Betriebsunterbrechung. Gesamtschaden: über 120.000 Euro. Eigenanteil des Unternehmens: 5.000 Euro Selbstbeteiligung.
Ohne Versicherungsschutz wäre das für dieses betroffene Unternehmen existenzbedrohend gewesen.
Die Kosten hängen von Branche, Unternehmensgröße und IT-Reifegrad ab. Kleine und mittelständische Unternehmen zahlen typischerweise:
| Unternehmensgröße | Jahresumsatz | Jahresprämie (ca.) |
|---|---|---|
| 5–10 Mitarbeiter | bis 1 Mio. € | 500–1.500 € |
| 10–50 Mitarbeiter | 1–5 Mio. € | 1.500–3.500 € |
| 50–250 Mitarbeiter | 5–25 Mio. € | 3.500–10.000 € |
Zum Vergleich: Eine einzige Ransomware-Attacke kostet betroffene Unternehmen im Schnitt 95.000 Euro — plus 21 Tage Betriebsunterbrechung. Die Absicherung durch eine Cyber-Versicherung kostet einen Bruchteil davon.
Lesetipp: Dieses Thema wird in unserem kostenlosen E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand" (47 Seiten, 2026-Edition) ausführlich behandelt. Jetzt herunterladen →
IT-Sicherheit auf Versicherungsniveau bringen
Wir prüfen Ihren aktuellen IT-Sicherheitsstand und zeigen Ihnen, welche Maßnahmen Sie für eine bezahlbare Cyberversicherung noch umsetzen müssen. Kostenloses Erstgespräch — 15 Minuten, konkrete Empfehlungen.
Erstgespräch buchen →Für kleine und mittelständische Unternehmen mit 10 bis 50 Mitarbeitern liegen die Jahresprämien zwischen 500 und 5.000 Euro. Der genaue Preis hängt von Branche, Umsatz, IT-Reifegrad und gewählter Versicherungssumme ab.
Nein, es gibt in Deutschland keine gesetzliche Pflicht zum Abschluss einer Cyberversicherung. Allerdings verlangen NIS2 und die DSGVO nachweisbare Schutzmaßnahmen — und immer mehr Geschäftspartner setzen eine Cyber-Versicherung vertraglich voraus.
Die meisten Versicherer verlangen 2026 mindestens Multi-Faktor-Authentifizierung, regelmäßige Backups, aktuelles Patch-Management, ein dokumentiertes Berechtigungskonzept und nachweisbare Mitarbeiterschulungen.
Typische Leistungen umfassen IT-Forensik, Datenwiederherstellung, Betriebsunterbrechungsschäden, Krisenkommunikation, Rechtsberatung bei Datenschutzverletzungen und Drittschäden gegenüber Kunden oder Partnern.
Bei Verletzung der Obliegenheiten — etwa fehlende MFA, veraltete Software oder nicht durchgeführte Backups — kann der Versicherer die Leistung kürzen oder komplett verweigern. Im Schadenfall trägt das Unternehmen die Beweislast.
Inhaltsverzeichnis
NIS2 umsetzen: Der praktische Schritt-für-Schritt-Plan mit Timeline, Maßnahmen und Checkliste – auch für betroffene Hamburger Unternehmen.
WeiterlesenRansomware-Schutz für Hamburger KMU: 8 Sofortmaßnahmen gegen Verschlüsselungstrojaner – BSI-empfohlen, praxiserprobt und sofort umsetzbar.
WeiterlesenMalware Schutz Unternehmen: Aktuelle Bedrohungen, Schutzmaßnahmen und Notfallplan für KMU. BSI-Empfehlungen praxisnah umgesetzt.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
