Jessica A.,
TLDR;
Eine Cyber Versicherung schützt dich nicht, sie zahlt dir Geld. Und selbst das nur, wenn du die Ausschlüsse kennst, den Fragebogen ehrlich beantwortest und deine Sicherheitslage dem entspricht, was du dem Versicherer erklärt hast. Lies die Ausschlüsse vor der Deckung, prüfe deine Angaben technisch, und bau zürst die Basis, bevor du die Police unterschreibst.
Du hast eine Cyber Versicherung abgeschlossen. Du zahlst deine Prämie. Du fühlst dich sicher.
Genau das ist das Problem.
Denn eine Cyber Versicherung schützt dich nicht. Sie zahlt dir Geld, nachdem etwas passiert ist. Und selbst das nur, wenn du eine lange Liste von Bedingungen erfüllst, die du vermutlich nie vollständig gelesen hast. Wir begleiten Unternehmen durch Cyber-Incidents. Manche bekommen ihr Geld. Viele nicht. Der Unterschied hat selten mit dem Angriff zu tun, sondern fast immer mit dem Kleingedruckten.
Was deine Police nicht abdeckt
Fangen wir mit dem an, was die meisten überspringen: die Ausschlüsse. Nicht die Deckung. Die Ausschlüsse.
Bekannte Schwachstellen. Wenn der Angreifer über eine CVE reingekommen ist, die seit Monaten öffentlich bekannt war und auf deiner Patchliste stand, wird dein Versicherer argumentieren, dass du es hättest wissen müssen. Und er hat recht.
Fahrlässigkeit. Breiter definiert als du denkst. Ein System mit einer kritischen Lücke, das du bewusst nicht gepatcht hast? Das reicht. Kein Vorsatz nötig, nur Untätigkeit.
Staatliche Akteure. Seit NotPetya haben Versicherer ihre Kriegsausschluss-Klauseln massiv erweitert. Wenn ein Angriff einem staatlichen Akteur zugeordnet wird, kann die gesamte Deckung entfallen. Und die Zuordnung liegt nicht bei dir.
Dein Cloud-Provider fällt aus. Dein SaaS-Anbieter wird gehackt, dein Betrieb steht still. Aber du wurdest nicht direkt angegriffen. Je nach Formulierung: nicht gedeckt. Das ist einer der Gründe, warum wir bei Kunden immer die Abhängigkeiten von Drittanbietern durchleuchten. Nicht nur wegen Sicherheit, sondern weil Versicherungslücken genau dort beginnen.
Insider-Bedrohungen. Schaden durch eigene Mitarbeiter? Teilweise gedeckt, oft gar nicht. Bei gezieltem internem Betrug wird es richtig kompliziert.
Der Fragebogen, der dich im Ernstfall erledigt
Beim Abschluss bekommst du einen langen Fragebogen. Security Controls, Infrastruktur, Prozesse. Die meisten beantworten ihn nach bestem Wissen.
Hier ist das Ding: "Nach bestem Wissen" schützt dich nicht.
Du gibst an, MFA auf allen Remote-Zugängen zu haben. Beim Incident stellt sich heraus, dass ein altes VPN ohne MFA noch aktiv war. Nicht weil du gelogen hast. Aber die Angabe war falsch. Und der Versicherer verweigert die Zahlung.
Das passiert ständig. Nicht aus Bösartigkeit, sondern weil die Realität in der IT sich schneller ändert als Formulare. Was im Januar stimmte, stimmt im September nicht mehr. Die Police läuft aber weiter.
Deshalb: Bevor du einen Fragebogen ausfüllst, mach eine ehrliche technische Prüfung. Was haben wir wirklich? Nicht was steht in der Dokumentation, sondern was ist tatsächlich konfiguriert? Wo klaffen Absicht und Realität auseinander? Wir haben dazu mehr in unserem Artikel zu warum die meisten Risikoanalysen scheitern geschrieben.
Warum du trotzdem zu viel zahlst
Die Prämie ist nicht zufällig. Sie basiert auf dem, was der Versicherer über dein Risikoprofil weiss. Und meistens weiss er mehr, als du denkst.
Fehlende MFA treibt die Prämie hoch. Das ist inzwischen der Rauchmelder der Cyber Versicherung. Wer MFA nicht konsequent einsetzt, zahlt spürbar mehr.
Backups, die über dasselbe Netzwerk erreichbar sind wie die produktiven Systeme, gelten als wertlos. Versicherer wollen Offline- oder Immutable-Backups sehen.
Legacy-Systeme ohne Hersteller-Support sind rote Flaggen. Windows Server 2012 noch im Netz? Die Prämie steigt.
Und dann die Branche. Gesundheitswesen, Finanzdienstleistungen, kritische Infrastruktur: höhere Prämien, engere Ausschlüsse. Nicht aus Willkür, sondern weil die Angriffsraten dort tatsächlich höher sind.
Wer in den letzten drei bis fünf Jahren bereits einen Incident hatte, zahlt deutlich mehr. Oder bekommt gar keine Police. Transparenz beim Abschluss ist dabei wichtig, denn wer etwas verschweigt, riskiert die Ablehnung im Schadensfall.
Die unbequeme Wahrheit über Prämien senken
Versicherer wollen versichern. Sie wollen Vorhersagbarkeit. Je kontrollierbarer dein Risiko aussieht, desto bessere Konditionen bekommst du. Aber das erfordert echte Arbeit, nicht nur ein PDF mit Sicherheitsrichtlinien.
Was tatsächlich wirkt: Dokumentierte Kontrollen. Nicht Marketing-Text, sondern echte Konfigurationen und nachweisbare Tests. Wenn du zeigen kannst, dass MFA überall aktiv ist und Backups regelmässig getestet werden, ändert sich das Gespräch mit dem Versicherer.
Ein laufender Security-Betrieb hilft ebenfalls. Ein SIEM oder SOC-Anschluss signalisiert, dass Anomalien erkannt werden, bevor sie eskalieren. Nicht günstig, aber der Prämienunterschied ist oft deutlich spürbar.
Regelmässige Awareness-Trainings machen einen Unterschied. Phishing bleibt der häufigste Einstiegsvektor, und Versicherer honorieren dokumentierte Phishing-Simulationen.
Und ein Incident Response Plan. Kein Schubladendokument, sondern ein getestetes Verfahren. Das reduziert die Schadenshöhe im Ernstfall, und Versicherer wissen das statistisch.
Wir haben mit Mandanten erlebt, dass ein strukturierter Verbesserungsplan vor dem Abschluss zu sechzehn bis zwanzig Prozent niedrigeren Prämien geführt hat. Das rechnet sich, selbst wenn das Assessment Geld kostet. (Im Beitrag über Security Budgets richtig verteilen zeigen wir, welche Massnahmen den grössten Hebel auf Versicherungskosten haben.)
Was bedeutet das für dich?
Eine Cyber Versicherung ist ein Fangnetz, kein Schutzschild. Sie zahlt Schäden, sie verhindert keine Angriffe, sie hält den Betrieb nicht am Laufen, sie rettet keinen Ruf. Und sie zahlt am zuverlässigsten, wenn du sie am wenigsten brauchst, weil du solide aufgestellt bist. Die grundlegenden Kontrollen kommen zürst: MFA, Patching, Backups, Zugriffsmanagement. Dann die Prozesse: Incident Response, Awareness, Monitoring. Und dann die Police, die das verbleibende Restrisiko auffängt. Wir sehen das auch als Kerngedanken hinter pragmatischer Cybersicherheit: weniger Tools, solide Basis, die Versicherung als Sicherheitsnetz. Wenn du unsicher bist, wo deine Sicherheitslage steht und was das für deinen Versicherungsabschluss bedeutet, sprechen wir gern darüber.
