Eine Autowerkstatt mit 20 Mitarbeitern in München, spezialisiert auf Oldtimer-Restauration. Der Inhaber möchte eine Cyberversicherung abschließen – schließlich lagern Kundendaten, Werkstattplanung und Buchhaltung komplett digital. Die Antwort des Versicherers nach zwei Wochen: Ablehnung. Begründung: Keine Multifaktor-Authentifizierung, Backups zwar vorhanden aber nie getestet, keine dokumentierten Sicherheitsrichtlinien. Vor zwei Jahren hätte das noch gereicht. 2026 nicht mehr.
Fast jeder dritte Cyberversicherungsantrag wird mittlerweile in Deutschland abgelehnt. Was ist passiert? Warum
haben Versicherer ihre Anforderungen so drastisch verschärft? Und was bedeutet das konkret für kleine und mittlere Unternehmen?
Warum Versicherer die Notbremse ziehen
Die Zahlen sprechen eine klare Sprache: Die Schadenquoten bei Cyberversicherungen sind explodiert. Bei den Top-10-Anbietern in Deutschland liegen sie zwischen 20 Prozent und teilweise über 110 Prozent. Das bedeutet: Manche Versicherer zahlen mehr Schäden aus, als sie an Prämien einnehmen. Ein Verlustgeschäft, das sich kein Unternehmen lange leisten kann.
Gleichzeitig hat sich die Bedrohungslage massiv verschärft. 53 Prozent der KMUs in Deutschland wurden bereits Ziel von Cyberangriffen. Der durchschnittliche Schaden liegt bei über 200.000 Euro – eine Summe, die viele kleinere Betriebe in die Insolvenz treiben kann. Für Versicherer bedeutet das: höhere Risiken, häufigere Schäden, größere Schadenssummen.
Die Reaktion war vorhersehbar. Versicherer haben ihre Annahmekriterien drastisch verschärft. Was früher als ausreichend galt – eine Firewall, Antivirensoftware, gelegentliche Backups – reicht heute nicht mehr ansatzweise aus.
Die fünf Mindestanforderungen, an denen KMUs scheitern
In unseren Managed Services Projekten erleben wir immer wieder: KMUs scheitern an denselben fünf Anforderungen, die Versicherer mittlerweile als Mindeststandard voraussetzen.
Multifaktor-Authentifizierung für alle Zugänge. Das bedeutet: Nicht nur Passwort, sondern zusätzlich eine zweite Bestätigung per App, SMS oder Hardware-Token. Klingt simpel, scheitert aber oft an der Umsetzung. Ein Metallbaubetrieb mit 15 Mitarbeitern nutzte Office 365 – aber MFA war nicht aktiviert, weil „zu umständlich für die Monteure auf der Baustelle“. Versicherungsantrag: abgelehnt.
Regelmäßige und getestete Backups. Viele Unternehmen haben Backup-Systeme laufen. Aber wann wurde das letzte Mal geprüft, ob sich die Daten auch wirklich wiederherstellen lassen? Eine Steuerberatungskanzlei mit 8 Mitarbeitern machte täglich Backups – stellte aber beim Versicherungsantrag fest, dass niemand jemals eine Wiederherstellung getestet hatte. Das reicht nicht mehr.
Dokumentierte Mitarbeiterschulungen. Versicherer wollen Nachweise sehen: Wann wurde geschult? Welche Themen? Wer hat teilgenommen? Eine gut gemeinte mündliche Anweisung beim Montagsmeeting zählt nicht. Ein Sanitärbetrieb mit 25 Mitarbeitern konnte keine einzige dokumentierte Schulung zum Thema Phishing-Erkennung vorweisen. Resultat: höhere Prämie, eingeschränkte Deckung.
Aktuelle Sicherheitsrichtlinien. Was dürfen Mitarbeiter mit ihren Firmen-Accounts machen? Wie werden Passwörter vergeben? Wer hat Zugriff auf welche Daten? Diese Regeln müssen schriftlich vorliegen und eingehalten werden. Bei einem Elektroinstallationsbetrieb mit 18 Mitarbeitern gab es zwar irgendwo eine IT-Sicherheitsrichtlinie von 2019 – aber niemand konnte sie finden, geschweige denn sagen, was drinsteht.
Aktuelles Patch-Management. Sicherheitsupdates müssen zeitnah eingespielt werden. „Machen wir, wenn Zeit ist“ reicht nicht. Versicherer fordern dokumentierte Prozesse: Wer ist verantwortlich? In welchen Zeitabständen werden Updates geprüft? Ein Architekturbüro mit 12 Mitarbeitern hatte Server, die seit acht Monaten kein Sicherheitsupdate mehr gesehen hatten. Die Begründung: „Lief ja alles.“ Der Versicherer sah das anders.
Was Ablehnung konkret bedeutet
Die Ablehnung einer Cyberversicherung hat weitreichendere Folgen, als viele Inhaber zunächst denken. Erstens: Das finanzielle Risiko bleibt komplett beim Unternehmen. Ein erfolgreicher Ransomware-Angriff kann Wochen Produktionsausfall bedeuten, Kosten für IT-Forensik, Datenwiederherstellung und nicht zuletzt DSGVO-Bußgelder, wenn Kundendaten betroffen waren.
Zweitens: Immer mehr Geschäftspartner und Auftraggeber fordern den Nachweis einer Cyberversicherung. Besonders bei öffentlichen Ausschreibungen oder Projekten mit größeren Unternehmen wird dieser Nachweis zur Teilnahmebedingung. Ohne Versicherung, keine Auftragschance.
Drittens: Der Versicherungsmarkt ist klein. Eine Ablehnung bei einem Anbieter wird oft an andere weitergegeben. Beim nächsten Versuch wird es nicht einfacher, sondern komplizierter.
Der Weg zur Versicherbarkeit – günstiger als gedacht
Die gute Nachricht: Die Umsetzung der Mindestanforderungen ist meist günstiger, als Inhaber befürchten. Und sie rechnet sich doppelt – durch niedrigere Prämien und durch tatsächlich besseren Schutz.
Ein Beispiel aus unseren Managed Services Projekten: Ein Großhandel für Autozubehör mit 30 Mitarbeitern wurde zunächst abgelehnt. Innerhalb von drei Monaten haben wir gemeinsam umgesetzt: MFA für alle Microsoft 365-Konten aktiviert, automatisierte Backup-Tests eingerichtet, zwei Mitarbeiterschulungen durchgeführt und dokumentiert, eine einseitige Sicherheitsrichtlinie erstellt und das Patch-Management in unseren Service übernommen.
Kosten: 850 Euro monatlich für die Managed Services, die diese Anforderungen dauerhaft erfüllen. Versicherungsprämie beim zweiten Anlauf: 4.200 Euro jährlich statt der ursprünglich angebotenen 7.800 Euro. Ersparnis bei der Prämie: 3.600 Euro pro Jahr. Unterm Strich also deutlich günstiger – und das Unternehmen ist tatsächlich besser geschützt.
Warum gute IT-Sicherheit die Prämie senkt
Versicherer belohnen Unternehmen mit nachweislich guter IT-Sicherheit. Gut aufgestellte Betriebe können bis zu 50 Prozent bei den Versicherungskosten sparen. Der Grund ist einfach: Das Schadensrisiko sinkt massiv.
Unternehmen, die regelmäßige Backups testen, Mitarbeiter schulen und MFA einsetzen, fallen statistisch seltener Cyberangriffen zum Opfer. Und wenn doch, sind die Schäden deutlich geringer, weil Systeme schneller wiederhergestellt werden können.
Aus Versicherersicht bedeutet das: geringeres Risiko, niedrigere Prämie. Für Unternehmen ergibt sich eine Win-Win-Situation: besserer Schutz und niedrigere Kosten.
Was tun, wenn der Antrag abgelehnt wurde?
Wer eine Ablehnung erhalten hat, sollte nicht aufgeben. Fragen Sie nach den konkreten Gründen. Versicherer sind inzwischen verpflichtet, Ablehnungen zu begründen. Nutzen Sie diese Information als Roadmap für Verbesserungen.
Arbeiten Sie die kritischen Punkte systematisch ab. In vielen Fällen reichen schon wenige Maßnahmen, um die wichtigsten Anforderungen zu erfüllen. Ein erneuter Antrag nach drei bis sechs Monaten mit nachweislich umgesetzten Verbesserungen hat deutlich bessere Chancen.
Ziehen Sie professionelle Hilfe hinzu. Die Umsetzung von IT-Sicherheitsanforderungen muss nicht komplex sein – vorausgesetzt, man weiß, worauf es ankommt. Managed Services Anbieter kennen die Anforderungen der Versicherer und können gezielt unterstützen. Oft lohnt sich der Einsatz externer Expertise allein durch die Prämienersparnis.
Fazit: Sicherheit als Wettbewerbsvorteil
Die verschärften Anforderungen der Cyberversicherer sind zunächst eine Herausforderung. Für Unternehmen, die sie ernst nehmen, werden sie jedoch zum Wettbewerbsvorteil. Bessere IT-Sicherheit bedeutet weniger Ausfallrisiken, zufriedenere Kunden und neue Geschäftsmöglichkeiten.
Die Zeiten, in denen eine Cyberversicherung mit minimalen Sicherheitsmaßnahmen zu haben war, sind vorbei. Das ist frustrierend für Unternehmen, die den Versicherungsschutz schnell und unkompliziert haben wollten. Es ist aber letztlich eine positive Entwicklung: Versicherer zwingen KMUs dazu, IT-Sicherheit ernst zu nehmen – und schützen sie damit vor Schäden, die weitaus teurer wären als jede Prämie.
Kostenlose IT-Security-Erstberatung: Wir analysieren Ihre aktuelle Sicherheitssituation und zeigen konkrete Schritte zur Erfüllung von Versicherungsanforderungen auf – ohne Fachchinesisch, dafür mit klaren Handlungsempfehlungen und Kostenabschätzung. Kontakformular
