Cyberangriffe gehören mittlerweile zu den größten operativen Risiken für Unternehmen jeder Größe. Ob Ransomware-Attacke, Datendiebstahl oder E-Mail-Betrug – die Angriffsflächen wachsen, während die rechtlichen und finanziellen Folgen eines erfolgreichen Angriffs für viele Unternehmen kaum noch kalkulierbar sind.
Cyberversicherungen versprechen hier finanziellen Schutz und operative Unterstützung im Schadenfall. Doch welche Risiken sind tatsächlich abgedeckt? Was leisten die Policen – und wo bestehen Lücken? Bisher gibt es dazu auch nur vereinzelt Rechtsprechung, an der man sich orientieren kann.
In diesem Artikel geben wir einen Überblick über die versicherbaren Gefahren, den konkreten Leistungsumfang von Cyberversicherungen und typische Fallstricke bei der Vertragsgestaltung.
Gerechtigkeit ist unser Antrieb
Was sind Cyberversicherungen?
Cyberversicherungen sind spezielle Versicherungspolicen, die finanzielle Schäden abdecken, die im Zusammenhang mit einem Cybervorfall stehen. Anders als klassische Sachversicherungen (z. B. Elektronikversicherungen) oder Haftpflichtversicherungen (z. B. Betriebshaftpflicht) zielen Cyberpolicen auf digitale Risiken ab – also auf Schäden, die durch Datenverluste, IT-Ausfälle, Hackerangriffe oder den Missbrauch von digitalen Identitäten entstehen.
Entstanden sind die Produkte als Reaktion auf die wachsende Bedrohungslage durch organisierte Cyberkriminalität, technischen Systemausfall und gesetzliche Haftungsrisiken im Datenschutz. Heute gehören Cyberversicherungen zu den dynamischsten Produktgruppen in der Industrieversicherung.
Zielgruppen sind neben Großunternehmen zunehmend auch kleine und mittlere Unternehmen (KMU), die häufig über weniger ausgereifte IT-Sicherheitsstrukturen verfügen – dafür aber genauso auf digitale Prozesse angewiesen sind wie große Konzerne.
Welche Risiken sind versichert?
Einige der häufigsten Cyberrisiken, die über entsprechende Policen versicherbar sind, umfassen:
- Angriffe durch Schadsoftware (z. B. Ransomware, Verschlüsselungstrojaner) mit Betriebsunterbrechung, Datenverlust oder Lösegeldforderung
- Datenschutzverletzungen mit Meldepflicht gegenüber Behörden (z. B. DSGVO-Verstoß) und daraus resultierenden Bußgeldern oder Schadensersatzforderungen
- Social-Engineering-Angriffe (z. B. CEO Fraud, Fake President), bei denen Mitarbeiter zu rechtswidrigen Transaktionen verleitet werden
- IT-Ausfälle aufgrund von Systemfehlern, DDoS-Attacken oder Sabotage
Abgedeckt sind dabei nicht nur direkte Eigenschäden, sondern – je nach Police – auch Drittschäden, etwa wenn Kundendaten gestohlen oder vertrauliche Informationen veröffentlicht wurden.
Besonders wichtig für Unternehmen: Viele Policen leisten nicht nur finanziellen Ersatz, sondern organisieren auch Soforthilfe – etwa durch spezialisierte IT-Forensiker, Krisenkommunikation oder rechtliche Erstberatung nach einem Vorfall. Bereits an dieser Stelle sollten Versicherungsnehmer ihre Versicherung kennen. Denn häufig sind diese Soforthilfen als Obliegenheit geregelt. Im Schadenfall sollen versicherte Unternehmen daher verpflichtet sein, diese Soforthilfen in Anspruch zu nehmen oder dem Cyberversicherer zumindest diese Soforthilfe zu ermöglichen. Eine schnelle Schadenmeldung ist daher in der Cyberversicherung um so wichtiger.
Was leisten Cyberversicherungen konkret?
Der konkrete Leistungsumfang hängt stark vom jeweiligen Versicherer und der gewählten Produktvariante ab. Standardisierungen gibt es in diesem Markt bislang kaum. Dennoch haben sich bestimmte Leistungsbausteine etabliert, die in vielen Verträgen enthalten sind.
Versichert sind in der Regel Kosten für Sofortmaßnahmen nach einem Vorfall, darunter die Beauftragung externer IT-Forensik zur Ursachenklärung, Kommunikationsberatung im Fall negativer Medienberichterstattung sowie spezialisierte Anwaltskanzleien zur rechtlichen Einschätzung von Datenschutzverletzungen.
Häufig enthalten die Policen auch eine Betriebsunterbrechungsdeckung, wenn IT-Systeme vorübergehend nicht mehr nutzbar sind – sei es durch Schadsoftware oder technische Störung. Die Erstattung orientiert sich hier am entgangenen Gewinn oder den fortlaufenden Betriebskosten während der Ausfallzeit.
Ein weiterer wichtiger Baustein ist die Haftpflichtkomponente: Kommt es durch einen Cybervorfall zu Schäden bei Dritten, etwa durch den Verlust sensibler Kundendaten, übernimmt die Versicherung – je nach Vertragsgestaltung – auch mögliche Schadenersatzforderungen oder Verteidigungskosten.
Umstritten bleibt nach wie vor die Frage, ob und in welchen Fällen Lösegeldzahlungen im Rahmen von Ransomware-Angriffen versichert sind. Einige Versicherer schließen die Zahlung grundsätzlich aus, andere verlangen eine vorherige Genehmigung oder zahlen nur unter bestimmten Bedingungen. Aus rechtlicher Sicht ist die Zahlung von Lösegeld an Kriminelle mit erheblichen Risiken verbunden – nicht zuletzt im Hinblick auf mögliche Verstöße gegen das Außenwirtschaftsrecht oder Terrorismusfinanzierungsverbote.
Vertragsgestaltung und typische Probleme
Einer der größten Praxisprobleme im Bereich der Cyberversicherung liegt in der fehlenden Standardisierung. Anders als bei klassischen Haftpflicht- oder Sachversicherungen gibt es bislang keine marktweit einheitlichen Bedingungswerke.
Jeder Versicherer definiert Begriffe wie „Cybervorfall“, „Betriebsunterbrechung“ oder „Datenschutzverletzung“ auf eigene Weise. Für Versicherungsnehmer bedeutet das: Ein inhaltlicher Vergleich der Policen ist oft nur mit juristischer oder fachlicher Unterstützung möglich.
Ein weiteres Problem: Viele Policen enthalten zahlreiche Ausschlüsse oder sehr weit gefasste Obliegenheiten. Häufig ausgeschlossen sind etwa Schäden durch bekannte Sicherheitslücken, die nicht gepatcht wurden, oder solche, die auf grobe Fahrlässigkeit bei der Systemadministration zurückgehen.
Auch die Einhaltung bestimmter Sicherheitsvorgaben – etwa die Verpflichtung zur Zwei-Faktor-Authentifizierung oder die regelmäßige Schulung von Mitarbeitenden – ist häufig Vertragsbestandteil. Kommt es hier zu Verstößen, droht der Verlust des Versicherungsschutzes.
Nicht selten erleben wir in der Beratungspraxis, dass Unternehmen zwar eine Cyberversicherung abgeschlossen haben, sich aber der tatsächlichen Verpflichtungen und Ausschlüsse nicht bewusst sind – mit dem Ergebnis, dass im Schadenfall böse Überraschungen drohen.
Beratungspflichten und Haftungsrisiken für Vermittler
Die Vermittlung von Cyberversicherungen ist mit erheblichen Beratungspflichten verbunden. Die Komplexität der Produkte, die fehlende Standardisierung und die stark variierenden Bedingungswerke führen dazu, dass eine einfache „Produktpräsentation“ nicht ausreicht.
Vermittler müssen vielmehr den individuellen Bedarf des Unternehmens ermitteln, die vorhandenen Risiken analysieren und die angebotenen Policen im Detail vergleichen. Auch die Pflicht zur Dokumentation der Beratungsgespräche ist in diesem Kontext besonders relevant – nicht zuletzt mit Blick auf mögliche Haftungsfragen.
In der Praxis sehen wir zunehmend Fälle, in denen Unternehmen nach einem Cybervorfall feststellen, dass ihre Versicherung wesentliche Risiken nicht abdeckt – etwa Social-Engineering-Schäden oder Haftpflichtansprüche aus DSGVO-Verstößen. Wird dem Vermittler vorgeworfen, hier nicht ausreichend beraten oder falsch aufgeklärt zu haben, kann dies zu Schadensersatzansprüchen führen.
Auch Pools und Versicherer, die mit Maklern oder Ausschließlichkeitsvermittlern zusammenarbeiten, sollten die Risiken kennen. Unklare Zielgruppenansprachen, mangelhafte Produktschulungen oder fehlende Risikohinweise können im Zweifel zur Mitverantwortung führen.
