Cyberversicherungen bieten oft einen zügigen Vertragsabschluss, doch im Ernstfall kann es schnell kompliziert werden. Incident Response Retainer ermöglichen dagegen intensive Vorbereitung, kontinuierliche Anpassung und direkte Kontrolle durch definierte SLAs – mit Kompensation bei keinem Notfall.
Cyberversicherung oder Incident Response Retainer: Beide Ansätze haben Vor- und Nachteile. Eine sorgfältige Prüfung der eigenen Anforderungen ist entscheidend.
Cyberangriffe sind längst keine Ausnahmefälle mehr – sie gehören zum Alltag. Um auf den Ernstfall vorbereitet zu sein, stellen sich viele Unternehmen die Frage: Reicht eine Cyberversicherung aus oder ist ein Incident Response Retainer die bessere Wahl? Beide Ansätze haben ihre Vor- und Nachteile. Die folgende Übersicht hilft bei der Entscheidungsfindung.
Der Abschluss einer Cyberversicherung ist meist schnell und unkompliziert. In der Regel genügt ein ausgefüllter Fragebogen, eventuell ergänzt durch einen Schwachstellenscan. Auf dieser Basis wird die Police erstellt – oft ohne tiefere Prüfung individueller IT-Strukturen. Die Angaben beruhen überwiegend auf Selbstauskünften.
Ganz anders beim Incident Response Retainer: Hier erfolgt das Onboarding durch erfahrene Fachleute, die gezielt nachfragen, bewerten und die IT-Landschaft des Unternehmens detailliert analysieren. Dieser intensive Austausch schafft früh ein realistisches Bild der „Incident Readiness“ und fördert die Zusammenarbeit zwischen IT-Teams und Dienstleister. Im Ernstfall zahlt sich das aus: Eine langwierige Lageeinschätzung entfällt, da der Dienstleister die Infrastruktur bereits kennt.
Laufzeit und Pflege: Stillstand oder kontinuierliche Anpassung
Incident Response Retainer beinhalten meist regelmäßige Workshops und Statusabgleiche. Neue Anforderungen, Veränderungen in der IT-Landschaft oder organisatorische Umstellungen fließen kontinuierlich in die Betreuung ein. Dadurch wird die IT-Sicherheitsstrategie laufend weiterentwickelt.
Cyberversicherungen hingegen werden oft stillschweigend „durchverlängert“ – ohne Aktualisierung oder Nachverhandlung. Das birgt Risiken: Wenn sich das Unternehmen vergrößert oder die Bedrohungslage sich verändert hat, kann es zu einer Unterversicherung kommen. Die Deckungssumme reicht im schlimmsten Fall nicht aus – und das merken Verantwortliche erst, wenn es zu spät ist.
Ein Blick auf branchenübliche Tagessätze für Incident Response lohnt sich: Für eine professionelle Reaktion auf einen Vorfall fallen im Schnitt mindestens 140 Personenstunden an – abhängig von Unternehmensgröße und Vorfalltyp kann sich der Aufwand leicht verdoppeln. Wer die Kosten gegen die Versicherungssumme rechnet, erkennt schnell potenzielle Lücken.
Im Schadensfall ist ein Incident Response Retainer klar im Vorteil. Dank definierter SLAs (Service Level Agreements) erhält das Unternehmen schnell eine fundierte Ersteinschätzung und konkrete Maßnahmen zur Eindämmung. Die Kommunikation läuft direkt, das Unternehmen bleibt Auftraggeber – mit voller Kontrolle über das Geschehen.
Bei Cyberversicherungen hängt die Reaktion vom Vertrag ab. Manche Versicherer schreiben einen festen Dienstleister vor, andere bieten eine Auswahl vorgegebener Anbieter. In wenigen Fällen kann das Unternehmen frei entscheiden – doch dann ist meist die Versicherung Vertragspartner des Dienstleisters. Das kann Einfluss auf Kommunikation, Abläufe und Prioritäten haben.
Zudem: Nach einem Incident kann es teuer werden. Versicherer behalten sich vor, Prämien deutlich anzuheben oder den Vertrag vorzeitig zu kündigen – ein Risiko, das Unternehmen im Blick behalten sollten. Im Zuge der aktuellen geopolitischen Situation besteht auch die Wahrscheinlichkeit, dass die Versicherung einen Vorfall als Teil einer kriegerischen Handlung ansieht – und diese sind in der Regel von einer Deckung ausgeschlossen. Versicherte sehen also schlimmstenfalls keinen Cent.
Ein Beispiel für einen solchen Fall war die Mondelez-Unternehmensgruppe. Diese war von der NotPetya-Angriffswelle betroffen und hatte versucht, den entstandenen Schaden bei ihrem Versicherer (Zürich Gruppe) geltend zu machen. Mit Verweis auf den Ausschluss für die Deckung von Folgen kriegerischer Handlungen lehnte diese eine Zahlung jedoch ab – Mondelez zog daraufhin vor Gericht. Der Prozess endete 2022 mit einem Vergleich in ungenannter Höhe. Details wurden nicht öffentlich gemacht.
Im ungünstigsten Fall für das versicherte Unternehmen kann eine Zahlung also auch bedingt durch Gerichtsprozesse mehrere Jahre auf sich warten lassen und geringer ausfallen als erwartet – wenn sie nicht gar komplett entfällt. Dazu kommen noch die Verfahrenskosten sowie die Kosten für Gutachten, Rechtsbeistände etc. Derlei langwierige Gerichtsprozesse können sich jedoch nur die wenigsten Unternehmen wirklich leisten.
Ob Versicherung oder Retainer – die Wahl will gut überlegt sein. Auch bei Retainern gilt: Nicht jeder Vertrag bietet denselben Leistungsumfang. Eine sorgfältige Prüfung ist unerlässlich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein Vorteil von Incident Response Retainern: Viele Anbieter bieten am Jahresende eine Kompensation, wenn keine Notfalleinsätze erforderlich waren – etwa in Form von kostenfreien Beratungsstunden. Diese lassen sich für die Umsetzung neuer Sicherheitsmaßnahmen nutzen und stärken die langfristige Sicherheitsarchitektur des Unternehmens. Solche Mehrwerte sucht man bei klassischen Cyberversicherungen meist vergeblich.
Über den Autor: Tim Berghoff ist Security Evangelist bei der G DATA CyberDefense AG in Bochum.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/fb/79fb569f08e89e72c83e2dd670d2d2df/0130010051v2.jpeg "Cyberversicherung oder Incident Response Retainer: Beide Ansätze haben Vor- und Nachteile. Eine sorgfältige Prüfung der eigenen Anforderungen ist entscheidend. (Bild: © Sarfraz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/91/9191c142c555f9ff2ea0bbdf711631e5/0130008924v2.jpeg "Cyber-Resilienz erfordert einen systematischen Ansatz: Fünf Schichten von API-Schutz bis Multi-Site-Redundanz bilden ein vollständiges Verteidigungssystem. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/b8/74b8bcd9ee280c5eec09f62b865876d4/0130035577v2.jpeg "Der Entwickler versäumte es, eine Statusdatei korrekt zu verwenden und die Infrastrukturen von verschiedenen Projekten getrennt zu halten. Claude Code machte daraufhin den Fehler, die aktuelle Statusdatei von einer bestehenden Terraform-Konfiguration durch eine ältere zu ersetzen und löschte mit dem Befehl „terraform destroy“ eine komplette Datenbank und alle Snapshots. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/d8/add8f6a98ffe40d92e4d067a3b45a183/0130006049v2.jpeg "Die Zahl der Sicherheitsvorfälle in der Cloud nimmt weiter zu. Gleichzeitig fehlt es vielen Teams an Zeit, Kontext und Ressourcen für fundierte Untersuchungen. (Bild: © Jack - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/06/4b06c8e4cd501c4799d85f1df4e3c38a/0130040891v2.jpeg "Betroffen von den Sicherheitslücken sind die Apple-Produkte macOS, iOS, iPadOS, tvOS, watchOS und visionOS. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/0b/ec0b8f2bdd27186e3bce63a3227e4717/0129575193v2.jpeg "Mit dem „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ gewinnt nun auch die physische und organisatorische Widerstandsfähigkeit einzelner Anlagen an Bedeutung. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/da/4a/da4a7442644b36fe66987c3b82e48e66/0126347066v2.jpeg "In Deutschland passieren täglich Cyberangriffe – deswegen haben viele Unternehmen eine Cyberversicherung. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/32/0232a570ab80bb488490455cb2307759/0122118748v6.jpeg "Cyberversicherungen sind heutzutage eine wichtige Säule im IT-Security-Konzept vieler Unternehmen. (Bild: Phonlasit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/a9/42a9e6ab8f26e608799fc59ee7eb6eaa/0112150345.jpeg "Dieser Podcast eskaliert! Vom sukzessiv minimierten Restrisiko nähern wir uns schließlich doch noch dem verheerenden Katastrophenfall an. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2c/5d/2c5d5574243b3f8f5742ebfba147bb0a/0121658866v2.jpeg "Aus den Risikofragen von 17 Cyberversicherungs-Anbietern hat Cyberdirekt abgeleitet, welche IT-Sicherheitsmaßnahmen zum Standard gehören sollten. (Bild: VisualProduction - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/ff/13ff0e0cbda89152ba47611932766441/0124622926v1.jpeg "Gut versichert ist halb gemanaged – mit der richtigen Cyberversicherung schützen Sie nicht nur Ihre Daten, sondern auch Ihre Zukunft. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/4d/1d4d18230dd6ea00a5b56151d22e7c09/0124273433v2.jpeg "Same Mistake, Different Company; Ransomware-Opfer sind sich oft so ähnlich, weil die selben Fehler in vielen unternehmen begangen werden. (Bild: zephyr_p - stock.adobe.com)")