Cyber-Versicherung 2026: Was Versicherer wirklich prüfen - und wie IT-Dienstleister ihre Kunden vorbereiten

Von David Oberholzner | CompliantDesk | Mai 2026

Der deutsche Cyber-Versicherungsmarkt wächst weiter. Der Gesamtverband der Versicherer (GDV) meldete für 2023 bereits 309 Millionen Euro Bruttoprämien, ein Plus von rund 23 Prozent gegenüber dem Vorjahr. Gleichzeitig zeigt sich ein paradoxes Bild: fast jeder dritte Antrag wird abgelehnt oder nur mit erheblichen Auflagen angenommen.

Der Grund liegt selten am Risikoprofil selbst, sondern fast immer an der gleichen Stelle: Unternehmen können die geforderten technischen und organisatorischen Maßnahmen nicht ausreichend nachweisen. MFA, Backup-Strategie, Patch-Management - vieles ist umgesetzt, nur eben nicht dokumentiert. Versicherer sehen darin ein nicht kalkulierbares Risiko und steigen entweder aus oder verlangen Nachbesserungen, die der Kunde alleine selten leisten kann.

Für IT-Dienstleister, MSPs und IT-Security-Berater ist das eine doppelte Chance. Erstens lassen sich die Anforderungen der Cyber-Versicherer in konkrete Servicepakete übersetzen. Zweitens entsteht durch die Pflicht zur Nachweisführung ein laufender Beratungsbedarf, der genau in das Geschäftsmodell vieler Partner passt.

Was Versicherer 2026 wirklich prüfen

Wer einen Cyber-Versicherungsantrag stellt, bekommt einen Fragebogen, der oft 40 bis 80 Punkte umfasst. Die Antworten sind verbindlich. Falsche Angaben können später zur Leistungsverweigerung führen, auch wenn die Police bereits läuft.

Im Zentrum stehen acht technisch-organisatorische Bausteine, die mittlerweile in fast jedem Underwriting-Prozess auftauchen:

• Multi-Faktor-Authentifizierung auf allen Admin- und Remote-Zugriffen, inzwischen bei den meisten Anbietern verpflichtend
• Backup-Strategie nach 3-2-1-Regel mit getesteten Wiederherstellungsverfahren, nicht nur einer Konfiguration auf dem Papier
• Patch-Management als dokumentierter Prozess mit Verantwortlichen und definierten Zyklen
• Berechtigungskonzept mit Need-to-Know-Prinzip und regelmäßigen Reviews
• Awareness-Schulungen mit Nachweis pro Mitarbeiter, idealerweise zeitlich versioniert
• Incident-Response-Plan, schriftlich, getestet und im Unternehmen bekannt
• Netzwerksegmentierung zwischen Office, Server und kritischen Systemen
• Endpoint-Security mit zentraler Konsole und aktiver Überwachung

Was im Fragebogen oft fehlt, sind dagegen die wirklich kritischen Punkte. Versicherer fragen selten nach offen erreichbaren Datenbank-Konfigurationen, hartcodierten API-Schlüsseln im Frontend oder fehlender Row-Level-Security in modernen Cloud-Anwendungen. Genau diese Lücken führten zuletzt zu mehreren spektakulären Datenabflüssen, bei denen Konfigurationsfehler ganze Plattformen offenlegten - keine Hacks, sondern simple Versäumnisse beim Setup.

Für IT-Dienstleister bedeutet das: Der Fragebogen deckt das Pflichtprogramm ab. Ein guter MSP geht darüber hinaus und prüft strukturell, was Versicherer übersehen. Genau in dieser Lücke entsteht 2026 wertvolle Compliance-Beratung.

Wichtig zu wissen: Versicherer arbeiten zunehmend mit standardisierten Risiko-Scores. Anbieter wie Cowbell, Coalition oder etablierte deutsche Versicherer ziehen externe Daten heran (DNS-Konfiguration, offene Ports, bekannte Schwachstellen, Datenleak-Datenbanken). Ein Unternehmen, dessen Außenangriffsfläche sichtbar nicht den Mindeststandards entspricht, bekommt selbst dann keinen guten Tarif, wenn der Fragebogen lückenlos beantwortet ist. Auch das ist ein Punkt, an dem MSPs ansetzen können: Externe Sichtbarkeit prüfen, bevor der Kunde den Antrag stellt.

Warum so viele Anträge scheitern

Laut GDV-Erhebungen hat nur knapp jedes zehnte kleine Unternehmen unter 20 Mitarbeitern eine Cyberversicherung abgeschlossen. Bei mittelgroßen Firmen sieht das Bild etwas besser aus, doch auch hier scheitert nach Branchenangaben fast jeder dritte Erstantrag.

Der Hauptgrund ist nicht mangelnde IT-Sicherheit, sondern fehlende Dokumentation. Viele Unternehmen erfüllen die Anforderungen technisch, können aber nicht belegen, dass sie es tun. Versicherer reagieren konservativ: Was nicht dokumentiert ist, gilt als nicht vorhanden.

Hinzu kommt §81 VVG. Das Versicherungsvertragsgesetz erlaubt der Versicherung, im Schadensfall die Leistung zu kürzen oder vollständig zu verweigern, wenn der Schaden grob fahrlässig herbeigeführt wurde. Ein Beispiel aus der Praxis: Ein Unternehmen hat eine bestehende Cyber-Police, betreibt aber eine öffentlich erreichbare Datenbank ohne Zugriffsschutz. Tritt darüber ein Datenleck ein, kann der Versicherer nach §81 die Zahlung verweigern, obwohl die Police aktiv ist.

Für KMU ist das ein doppeltes Risiko. Sie zahlen Prämien, glauben sich abgesichert und stellen im Ernstfall fest, dass die Versicherung nicht greift. Viele Geschäftsführungen sind sich dieser Konstellation nicht bewusst. IT-Dienstleister können hier aufklären und als Brücke zwischen Technik und Versicherung agieren.

Was IT-Dienstleister jetzt tun können

Die gute Nachricht: Cyber-Readiness lässt sich strukturiert aufbauen, und IT-Dienstleister sind oft die einzigen Partner, die alle dafür notwendigen Bausteine liefern können. Fünf Schritte haben sich in der Praxis bewährt.

Zuerst ein Readiness-Assessment beim Kunden, idealerweise an den typischen Versicherer-Fragebögen orientiert: MFA-Abdeckung, Backup-Strategie, Patch-Stand, Berechtigungen, Awareness-Status, Incident-Response-Reife. Das Ergebnis ist eine Lücken-Analyse, die direkt konkrete Beratungsanlässe erzeugt.

Zweitens die Umsetzung der technischen Maßnahmen. MFA über Conditional Access erzwingen, Endpoint-Security ausrollen, Backup-Konzept dokumentieren. Diese Arbeit machen viele MSPs ohnehin. Der Unterschied liegt im dritten Schritt.

Drittens die Dokumentation. Jede Maßnahme muss audit-fähig nachweisbar sein: wer wann eine Richtlinie freigegeben hat, wer eine Schulung abgeschlossen hat, wann ein Backup-Test gelaufen ist. Genau hier scheitern viele KMU. Tools wie CompliantDesk helfen dabei nicht nur die Maßnahmen umzusetzen, sondern sie audit-fähig zu dokumentieren - genau das, was Versicherer im Schadensfall sehen wollen.

Viertens die Richtlinien-Bestätigung durch Mitarbeiter. Eine Passwortrichtlinie nützt im Schadensfall wenig, wenn niemand belegen kann, dass die Belegschaft sie kennt. Digitale Bestätigungen pro Mitarbeiter mit Zeitstempel und Versionsstand sind heute der Standard.

Fünftens der Incident-Response-Plan. Schriftlich, getestet, im Unternehmen bekannt. Versicherer fragen oft konkret nach Tabletop-Übungen oder dokumentierten Lessons Learned aus simulierten Vorfällen. Wer hier substanzlos antwortet, wird auffallen.

Diese fünf Schritte lassen sich als wiederholbares Servicepaket anbieten. Für den Kunden entsteht Versicherbarkeit zu besseren Konditionen. Für den IT-Dienstleister entsteht ein klar beschreibbarer Service mit Erstprojekt, laufender Betreuung und konkretem Anschlussgeschäft. Beides skaliert.

Inhaltlich überschneiden sich Cyber-Versicherbarkeit und NIS2-Pflichten zu großen Teilen, ebenso die Anforderungen aus DSGVO und ISO 27001. Wer einmal eine saubere Dokumentationsbasis aufgebaut hat, bedient mehrere regulatorische Themen gleichzeitig. Für KMU bedeutet das: ein einziger strukturierter Aufwand und mehrere Probleme gelöst. Für MSPs bedeutet es: ein Fundament, auf dem sich Pakete für NIS2-Vorbereitung, Datenschutzaudits, ISO-Readiness und eben Versicherungs-Readiness aufeinander aufbauen lassen.

Fazit

Der Cyber-Versicherungsmarkt zwingt KMU zu einem Reifegrad, den viele alleine nicht erreichen. Genau hier liegt das Gestaltungsfeld für IT-Dienstleister. Wer Kunden bei der Vorbereitung begleitet, schafft messbaren Mehrwert: bessere Konditionen, geringeres Ablehnungsrisiko, im Ernstfall eine zahlende Versicherung. Gleichzeitig entsteht ein neues Servicefeld, und der MSP schützt sich selbst vor Haftungsrisiken aus mangelhafter Beratung.

Wer prüfen möchte, wo der eigene Kunde heute steht, kann mit einem strukturierten Sicherheits-Check starten. CompliantDesk bietet diesen kostenlos unter compliantdesk.de/sicherheits-check - 45 Fragen, ein Maßnahmenplan in Minuten und damit eine belastbare Grundlage für jedes Versicherungsgespräch.