Cyberversicherung 2026: Diese IT-Maßnahmen verlangen Versicherer von KMU

Eine Cyberversicherung war lange ein Häkchen auf der Liste: Antrag ausfüllen, Beitrag zahlen, fertig. Das ist vorbei. Nach Jahren teurer Schadenfälle prüfen Versicherer heute sehr genau, wie gut ein Unternehmen wirklich geschützt ist – und knüpfen den Versicherungsschutz an konkrete technische Mindest­- anforderungen. Wer sie nicht erfüllt, bekommt entweder keine Police, einen spürbar höheren Beitrag oder im Schadenfall Ärger bei der Leistung.

Hinweis: Dieser Beitrag ist keine Rechts- oder Versicherungsberatung. Er ordnet die übliche Praxis ein. Was am Ende gilt, steht ausschließlich in Ihrem individuellen Versicherungsvertrag und dessen Bedingungen.

Warum Versicherer plötzlich so genau hinsehen

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) gibt für die Cyberrisiko-Versicherung sogenannte Musterbedingungen heraus – inklusive eines Risikofragebogens, der sich an Unternehmen bis rund 50 Mio. € Umsatz richtet. Genau dieser Fragebogen ist der Knackpunkt: Er fragt das IT-Sicherheitsniveau ab, das ein Betrieb mindestens nachweisen muss, um überhaupt versicherbar zu sein. Wichtig zu wissen: Es sind Musterbedingungen – jeder Versicherer weicht in der Praxis davon ab, mal strenger, mal milder. Was zählt, ist Ihr konkreter Vertrag.

Der GDV dokumentiert zugleich, dass viele mittelständische Betriebe selbst grundlegende IT-Sicherheitskriterien nicht erfüllen. Genau diese Lücke wollen Versicherer vor Vertragsabschluss geschlossen sehen.

Die typischen Anforderungen im Überblick

Die folgenden sechs Punkte tauchen bei nahezu jedem Antrag auf. Sie sind keine gesetzliche Pflichtliste, sondern das, was Versicherer in Fragebögen und Bedingungen regelmäßig verlangen.

1. Mehr-Faktor-Authentifizierung (MFA)

MFA ist faktisch zur Eintrittskarte geworden. Der GDV empfiehlt Zwei- bzw. Mehr-Faktor-Authentifizierung ausdrücklich, und in der Praxis verlangen Versicherer sie für alle externen Zugänge (Fernzugriff, VPN, Webmail) und besonders für administrative Konten. Ohne MFA scheitern viele Anträge bereits an dieser Stelle. Die gute Nachricht: In Microsoft 365 oder Google Workspace ist MFA ohne Zusatzkosten aktivierbar.

2. Geprüfte Backups nach dem 3-2-1-Prinzip

Backups allein genügen nicht – sie müssen getestet sein. Der GDV-Fragebogen will wissen, ob Datensicherungen regelmäßig erstellt, getrennt aufbewahrt, geschützt und im Ernstfall auch wiederherstellbar sind. Das deckt sich mit der 3-2-1-Regel: drei Kopien, zwei Medien, eine außer Haus und offline. Entscheidend ist der dokumentierte Wiederherstellungstest – ein Backup, das noch nie zurückgespielt wurde, ist im Schadenfall ein Risiko.

3. Zeitnahes Patch- und Update-Management

Sicherheitsupdates gehören zu den Basisanforderungen: zeitnah einspielen, nicht erst Wochen später. Versicherer fragen, ob Betriebssysteme und Software aktuell gehalten werden und ob es dafür einen geregelten Prozess gibt. Veraltete, nicht mehr unterstützte Systeme sind ein klassischer Ablehnungs­- grund.

4. Endpunkt-Schutz (Virenschutz bis EDR)

Die GDV-Basis nennt klassischen Virenschutz und Firewalls. Der Markt geht inzwischen weiter: Moderne Versicherer erwarten zunehmend professionellen Endpunkt-Schutz bis hin zu EDR (Endpoint Detection and Response), der Angriffe nicht nur blockiert, sondern auch erkennt und meldet. Sehen Sie das als Trend, nicht als feste GDV-Vorgabe – aber als einen, der bei größeren Deckungssummen immer öfter zur Bedingung wird.

5. Sensibilisierte Mitarbeitende

Die häufigste Eintrittstür für Angreifer ist nach wie vor der Mensch – Phishing-Mails und gefälschte Rechnungen. Versicherer honorieren regelmäßige Schulungen und Sensibilisierungsmaßnahmen, weil sie das Schadenrisiko nachweislich senken. Schon kurze, wiederkehrende Trainings und klare Meldewege machen einen Unterschied.

6. E-Mail-Sicherheit: SPF, DKIM und DMARC

Das BSI hat im Mai 2025 seine Empfehlungen zur E-Mail-Sicherheit verschärft und rät allen Unternehmen, die von der eigenen Domain Mails versenden, die drei Verfahren SPF, DKIM und DMARC korrekt einzurichten. Sie verhindern, dass Kriminelle im Namen Ihres Unternehmens täuschend echte E-Mails verschicken. Genau diese E-Mail-Authentifizierung fragen Versicherer zunehmend ab – und sie schützt nebenbei Ihre Reputation bei Kunden und Lieferanten.

So gehen Sie es an

Der Antrag ist kein Hexenwerk, wenn Sie strukturiert vorgehen:

1. Ehrliche Bestandsaufnahme: Welche der sechs Punkte erfüllen Sie heute schon, wo gibt es Lücken? Schönen Sie nichts – falsche Angaben im Antrag können den Schutz im Schadenfall kosten.
2. Quick Wins zuerst: MFA aktivieren, ein Backup wiederherstellen und protokollieren, Update-Prozess festhalten. Das senkt das Risiko sofort und verbessert Ihre Verhandlungsposition.
3. Dokumentieren: Maßnahmen nachweisbar machen. Versicherer wie Prüfer wollen Belege, keine Beteuerungen.
4. Fragebogen sauber ausfüllen: Im Zweifel mit fachlicher Unterstützung – jede Angabe ist eine vertragliche Zusicherung.

Das Beste daran: Fast alle diese Maßnahmen sind ohnehin sinnvolle IT-Sicherheit. Wer den Versicherungsfragebogen besteht, ist auch im Alltag deutlich besser gegen Ransomware und Datenverlust geschützt. Die Police wird so vom Kostenpunkt zum Nebeneffekt einer soliden Sicherheitsstrategie.

Fazit

Eine Cyberversicherung ersetzt keine gute IT-Sicherheit – sie setzt sie voraus. MFA, geprüfte Backups, Patch-Routine, Endpunkt-Schutz, geschulte Mitarbeitende und saubere E-Mail-Authentifizierung sind heute die Eintritts­- karte. Der Aufwand lohnt sich doppelt: bessere Konditionen beim Versicherer und ein real geringeres Risiko.

Sie wollen wissen, wo Ihr Betrieb steht, bevor der Versicherungsfragebogen kommt? Für Unternehmen in Recklinghausen und dem Ruhrgebiet prüfen wir Ihre Lage in einem kostenlosen Erstgespräch – nüchtern, verständlich und ohne Fachchinesisch.