Sie sind auf der Suche nach einer Cyberversicherung? Statt nur Preise zu vergleichen, sollten Sie auch den Risikofragen der Versicherungsanbieter Beachtung schenken – selbst, wenn Sie gar keine Versicherung abschließen möchten.
Aus den Risikofragen von 17 Cyberversicherungs-Anbietern hat Cyberdirekt abgeleitet, welche IT-Sicherheitsmaßnahmen zum Standard gehören sollten.
(Bild: VisualProduction - stock.adobe.com)
Auf 148,2 Milliarden Euro beliefen sich laut Bitkom im Jahr 2023 die Schäden, die durch Cyberattacken verursachten wurden. Besonders kleine und mittelständische Unternehmen (KMU) sorgen sich um die Kosten, die bei einer erfolgten Cyberattacke auf sie zukommen könnten. Vor diesem Hintergrund kann eine Cyberversicherung das tatsächliche oder zumindest scheinbare Gefühl von Sicherheit geben. Seit einigen Jahren gehören Investitionen in eine Cyberversicherung für viele Unternehmen genauso zur Sicherheitsstrategie, wie in die IT-Infrastruktur oder Security-Lösungen. Cyberdirekt hat sich auf den Vertrieb von Cyberversicherungen für KMU spezialisiert und in diesem Jahr eine Marktanalyse in Deutschland durchgeführt. Hierbei hat das Unternehmen die Risikoprüfungen von 17 führenden Anbietern von Cyberversicherungen analysiert und daraus abgeleitet, welche IT-Sicherheitsstandards für Unternehmen besonders relevant sind, um den bestmöglichen Versicherungsschutz einkaufen zu können.
Zufolge dieser Marktanalyse haben etwa 85 Prozent der Anbieter von Cyberversicherungen im Jahr 2024 ihre Produktkonzepte aktualisiert. Cyberdirekt beobachtete Anpassungen in entgegengesetzte Richtungen: Einige Versicherer haben sich fast vollständig aus dem Markt zurückgezogen oder fahren eine strengere Zeichnungspolitik, um Risiken zu bewerten und dann Anträge zu akzeptieren oder abzulehnen. Andererseits gebe es ebenso Akteure, die die Preise ihrer Produkte gesenkt hätten und sich mit besseren Bedingungen am Markt zu positionieren.
Darüber hinaus gebe es auch neue Versicherer, „die mit ihren jungen Produktkonzepten frischen Wind in den deutschen Markt bringen“. Dies ist laut Cyberdirekt ebenfalls ein Grund dafür, dass etablierte Anbieter ihre Konzepte neu denken und anpassen. Die zusätzlichen Kapazitäten würden den Wettbewerb steigern und das breite Angebotsspektrum weiche den Markt weiterhin zugunsten von kleinen und mittleren Unternehmen auf.
Bei Versicherungen kommt es nicht nur auf den Preis an
Daraus schließt Cyberdirekt, dass der Markt für Cyberversicherungen noch heterogener wird. Einzelne Produkte würden sich nicht nur deutlich in ihren Leistungen und Preisen unterscheiden. Versicherer würden darüber hinaus in ihren Risikofragen extrem unterschiedliche Anforderungen an die IT-Mindeststandards von Unternehmen stellen. „Aus unserer Sicht wird gerade den Risikofragen bei der Wahl einer Cyberversicherung zu wenig Beachtung geschenkt, obwohl dies entscheidend für eine reibungslose Regulierung im Schadenfall ist“, sagt Ole Sieverding, Geschäftsführer von Cyberdirekt. „Aktuelle Gerichtsentscheidungen haben gezeigt, dass die Falschbeantwortung zu großen Haftungsrisiken führen kann. Der Fokus liegt meist zu stark auf einem reinen Preisvergleich. Mit unserer Analyse wollen wir erreichen, dass neben Preis und Leistung vor allem auch die Risikofragen stärker in die Entscheidungsfindung einfließen.“
Diese Fragen stellen Cyberversicherer
Alle Versicherungsanbieter stellen möglichen Neukunden vor Vertragsschluss sogenannte Risikofragen, um den IT-Reifegrad der Antragsteller zu überprüfen. Dieser bestimmt den Umfang und den Preis der Cyberversicherung. Viele Anbieter gestalten die Risikofragen branchenspezifisch. Insbesondere gelte dies für die Branchen Produktion und Handel, wie Cyberdirekt berichtet. 18 Prozent der produzierenden Unternehmen wurden den Ergebnisse der Marktanalyse von Cyberdirekt zufolge gefragt, ob sie ihre Informationstechnologie von der operativen Technologie abtrennen. Außerdem wurde gefragt, ob der Zugriff auf die entsprechenden Systeme über eine Multifaktor-Authentifizierung (MFA) gesichert ist.
In den untersuchten Risikofragen konzentrierten sich die Versicherungsanbieter auf zwei Kategorien: technische und allgemeine Risikofragen.
Technische Risikofragen
Allgemeine Risikofragen
Firewall und Antivirenlösung
Online-Umsatz
Datensicherung
Auslands-Umsatz
Patchmanagement
Mitzuversichernde Gesellschaften
Berechtigungskonzept
Anzahl der Mitarbeitenden
Fernzugriffe
Personenbezogene Daten
Mitarbeiterschulungen
Kreditkartendaten
Passwortsicherheit
Ausschlussbranchen
Altsysteme
URL
4-Augen-Prinzip
Vorschäden
Notfalldokumentation
Bekannte Umstände
Operational Technology
Vorversicherer-Fragen
E-Mail-Sicherheit
Sonstige Fragen
IT-Dienstleister
Netzwerksegmentierung
Bring your own device
Mobile Device Management
Überwachung und Reaktion
Optionale Bausteine
Sonstige technische Fragen
Anforderungen an Unternehmen sind gering
Hierbei ist Cyberdirekt aufgefallen, dass die Mindestanforderungen der Cyberversicherer teils überraschend gering sind. Zudem gebe es keine Risikofrage, die von allen Versicherern gestellt würde. Einer der untersuchten Versicherer ermögliche den Abschluss einer Police sogar dann, wenn keine der Anforderungen erfüllt seien. Und ein weiterer Versicherer stelle lediglich eine Risikofrage zu den Vorschäden des Antragstellers.
Stellt ein Versicherungsanbieter viele Risikofragen, ermöglicht dies eine präzisere Analyse des Risikos des antragstellenden Unternehmens. Dadurch kann die Police besser auf die tatsächlichen Bedürfnisse des Kunden zugeschnitten werden. Auch hilft ein detaillierter Fragenkatalog, potenzielle Risiken und Sicherheitslücken zu identifizieren, die der Cyberversicherer dann in der Regel bei der Deckung berücksichtigt. Somit schafft eine umfassende Risikoprüfung Transparenz für beide Seiten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Diese Lösungen sind für eine Police entscheidend
Fünf Anforderungen an die IT-Sicherheit von Unternehmen werden von der Mehrheit der Versicherer abgefragt. Cyberdirekt merkt an, dass sich teils große Unterschiede in der Fragestellung zeigen. Während einige Anbieter dabei vage und oberflächlich blieben, würden andere konkrete und detaillierte Informationen zu bestehenden Sicherheitslösungen fordern.
94 Prozent der Versicherer fordern von ihren potenziellen Kunden eine aktive Firewall und eine Antiviren-Lösung. Zwei Versicherer nannten in ihren Anforderungen sogar explizit die Notwendigkeit einer EDR-Lösung (Endpoint Detection and Response).
88 Prozent der Anbieter stellen eine Risikofrage zur Datensicherung. Auch hier zeigten sich laut Cyberdirekt deutliche Unterschiede in der Komplexität der Fragestellung. Manche Anbieter hätten genau wissen wollen, welche Daten wo und wie häufig gespeichert würden, andere forderten hierzu kaum Informationen an.
71 Prozent der Cyberversicherer stellen laut Cyberdirekt Anforderungen an regelmäßige Softwareupdates. Manche von ihnen würden die Updates in einem bestimmten zeitlichen Rahmen verlangen.
53 Prozent prüfen über Risikofragen, ob der Antragsteller ein Berechtigungskonzept etabliert hat. Viele Versicherer fordern Cyberdirekt zufolge abgestufte Rechtekonzepte mit administrativen Zugängen ausschließlich für IT-Verantwortliche sowie separate Benutzerkonten für administrative Aufgaben.
47 Prozent der Anbieter fordern die Absicherung von Systemen mithilfe einer MFA. Manche Anbieter hätten konkret gefordert, dass die MFA für den externen Zugriff auf Unternehmens-E-Mails via Webportale oder Applikationen bestehen muss. Die Verbindung zu Firmennetzwerken über abgesicherte Zugangsmöglichkeiten wie VPN hätten lediglich zwei Anbieter gefordert.
Auch externe Sicherheitsüberprüfungen nehmen den Ergebnissen der Marktanalyse zufolge immer mehr an Bedeutung zu. Cyberdirekt betont, dass Schwachstellen, die im Zuge dieser Scans entdeckt werden, die Qualität des Versicherungsschutzes beeinflussen und womöglich Nachbesserungen notwendig machen können. Unternehmen, die hier ein gutes Ergebnis erzielen, haben in der Regel eine größere Auswahl und eine bessere Verhandlungsposition hinsichtlich der Versicherungsbedingungen. Des Weiteren legen Cyberversicherer steigenden Wert auf regelmäßige Schulungen der Mitarbeitenden beziehungsweise Maßnahmen zur Erhöhung der Security Awareness. 41 Prozent der Anbieter hätten eine entsprechende Risikofrage gestellt.
In diesem sehr heterogenen Markt mit viele Anbietern, empfiehlt Cyberdirekt Unternehmen, die ein Cyberversicherung suchen, sich nicht von einer hohen Zahl an Risikofragen abschrecken zu lassen. Denn obwohl die meisten Anbieter ihre Anforderungen sowie den Fragenkatalog erweitert hätten, seien viele dieser Fragen verhältnismäßig einfach zu beantworten.
In jedem Fall sollten Unternehmen die Risikofragen mit Sorgfalt beantworten, um Konflikte mit dem Versicherer zu vermeiden. Fahrlässige Angaben oder Täuschung können zu erheblichen Nachteilen oder gar Gesetzesverstößen führen. Folgen können eine sofortige Kündigung des Vertrages, Wegfall der Leistungspflicht, Rückforderung bereits gezahlter Leistungen und gegebenenfalls strafrechtliche Verfolgung im Falle von Betrugsverdacht sein.
Letztendlich lohnt sich ein Blick auf die Risikofragen auch für Unternehmen, die keine Cyberversicherung abschließen möchten. Denn aus den Fragen lassen sich Maßnahmen für eine besser IT-Sicherheit ableiten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/7b/16/7b16a005383b5f4bb0df5eee0f26264f/0104873857.jpeg "Sind Cyber-Versicherungen verantwortlich für einen Kreislauf, der dazu führt, dass die Anzahl der Ransomware-Attacken immer weiter zunimmt? (Bild: Inna - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b6/85b6004c0eb7b51a4c3af048b70eabe6/0120092479v3.jpeg "Gefährden wütende oder frustrierte Mitarbeiter die Cybersicherheit in Unternehmen? 56,7 Prozent der befragten Manager aus Deutschland schätzen die Gefahr als gering oder sehr gering ein. (Bild: stokkete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/1d/b81dd82e19df7a55d8953da7b4c30800/0114868455.jpeg "CISOs sollten die durch Rechts- und Compliance-Experten entstehenden Mehrwerte in einem unternehmensweiten Ansatz nutzen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/ff/13ff0e0cbda89152ba47611932766441/0124622926v1.jpeg "Gut versichert ist halb gemanaged – mit der richtigen Cyberversicherung schützen Sie nicht nur Ihre Daten, sondern auch Ihre Zukunft. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e0/b5/e0b5bf1c73e51d1c7da250b743e3dd82/0122737369v2.jpeg "Cyberversicherungen sind inzwischen eine wichtige Säule im IT-Security-Konzept von Unternehmen. (Bild: Phonlasit - stock.adobe.com)")