Für kleine Unternehmen lautet die Frage nicht mehr, ob Cyberangriffe passieren, sondern wann und wie teuer sie werden. In Deutschland berichtet Bitkom regelmäßig über eine hohe Betroffenheit von Unternehmen durch Datendiebstahl, Spionage und Sabotage sowie sehr hohe volkswirtschaftliche Schäden. Internationale Lagebilder zeigen zudem: Ransomware und E-Mail-basierte Angriffe treffen auch kleine Organisationen häufig. Eine Cyberversicherung kann dabei helfen, Liquiditätsrisiken abzufangen und im Ernstfall schnell Experten zu bekommen.

Wichtig: Cyberversicherung ersetzt keine IT-Sicherheit. Sie ist ein Risikotransfer (Kostenübernahme) plus Incident-Services (Hotline, Forensik, Juristen, Kommunikation), je nach Tarif.

---

Inhaltsverzeichnis

• Kurzantwort nach Unternehmensprofil
• Was deckt eine Cyberversicherung typischerweise ab?
• Zahlen & Statistiken, die für KMU zählen
• Vergleich realer Cyberversicherungen (Beispiele)
• Was kostet eine Cyberversicherung?
• Entscheidungsbaum: Brauche ich sie wirklich?
• Typische Fallen: Ausschlüsse, Obliegenheiten, Unterversicherung
• Checkliste: So wählst Du eine Police, die im Schadenfall hilft
• FAQ
• Quellen

---

Kurzantwort nach Unternehmensprofil

Sehr wahrscheinlich sinnvoll, wenn …

• Du personenbezogene Daten verarbeitest (Kunden, Mitarbeiter, Newsletter, Bewerbungen, Support-Tickets).
• Dein Betrieb ohne IT nicht läuft (E-Mail, Warenwirtschaft, Terminbuchung, VoIP, Cloud, Kassensysteme, Fernzugriff).
• Du kein internes Incident-Team hast und im Notfall externe Forensik/IT einkaufen musst.
• Du stark von Dienstleistern/SaaS abhängig bist (Microsoft 365/Google Workspace, DATEV, Shopify, Lexoffice, Branchen-Tools).

Kannst Du eventuell aufschieben (nicht ignorieren), wenn …

• Du sehr wenig digital arbeitest, kaum Daten verarbeitest und Dein Geschäft auch bei IT-Ausfall weitgehend fortführbar ist.
• Du ein kleines, gut abgesichertes System hast (MFA überall, Patchmanagement, Offline/immutable Backups, Restore-Tests, Rechtekonzept).

---

Was deckt eine Cyberversicherung typischerweise ab?

1) Eigenschäden (First-Party)

• Incident Response / Forensik: Analyse, Eindämmung, Ursachenklärung.
• Wiederherstellung: Daten- und System-Recovery, Neuaufsetzen, externe IT-Leistungen.
• Betriebsunterbrechung: Ertragsausfall und fortlaufende Kosten, wenn Systeme stillstehen (abhängig von Wartezeit/Trigger).
• Krisenkommunikation: PR-Beratung, ggf. Kundenkommunikation/Hotlines (tarifabhängig).

2) Drittschäden (Third-Party / Haftpflicht)

• Ansprüche Dritter nach Sicherheits- oder Datenschutzvorfällen (Schadenersatz, Abwehrkosten).
• Rechtliche Unterstützung (Anwälte, Gutachten, Verfahrenskosten – je nach Bedingung).

3) Assistance / Services (für KMU oft entscheidend)

• 24/7 Hotline mit gesteuerter Beauftragung von Forensik, IT und Recht (je nach Anbieterprozess).
• Partnernetzwerk (Forensik, Anwälte, PR) oder freie Dienstleisterwahl – je nach Police.
• Prävention wie Awareness-Trainings oder Checklisten (tarif-/anbieterabhängig).

---

Zahlen & Statistiken, die für KMU zählen

• Deutschland: Bitkom beziffert die Schäden durch Angriffe auf Unternehmen in Deutschland in seinen Studien in sehr hoher Größenordnung (zuletzt im dreistelligen Milliardenbereich pro Jahr).
• SMB & Ransomware: Der Verizon Data Breach Investigations Report (DBIR) zeigt regelmäßig, dass Ransomware und gestohlene Zugangsdaten zentrale Treiber von Sicherheitsvorfällen sind – auch bei kleineren Organisationen.
• Kosten pro Datenpanne: IBMs “Cost of a Data Breach”-Berichte nennen global sehr hohe durchschnittliche Gesamtkosten pro Datenschutzvorfall. Für KMU ist der Durchschnittswert nicht 1:1 übertragbar, aber als Größenordnung nützlich: Ein Vorfall kann schnell externe Dienstleister, Ausfallzeiten und rechtliche Kosten auslösen.

Wichtig für Deine Entscheidung: Für KMU ist nicht der “Durchschnitt” ausschlaggebend, sondern ob Du einen Worst-Case (z. B. 3–10 Tage Stillstand plus externe IT plus Rechts-/Kommunikationskosten) kurzfristig aus Liquidität stemmen kannst.

---

Vergleich realer Cyberversicherungen für kleine Unternehmen

Wichtiger Hinweis: Bedingungen, Deckungssummen, Selbstbehalte und Services hängen vom konkreten Vertrag, der Risikoeinschätzung und Deiner IT-Struktur ab. Der Vergleich dient zur Orientierung und ersetzt keine individuelle Beratung.

---

Hiscox – Cyberversicherung (z. B. CyberClear)

Geeignet für: Kleinstunternehmen und KMU, die einen strukturierten Einstieg in Cyberabsicherung suchen und Wert auf Prävention legen.

Öffentlich bekannte Eckpunkte:

• Hiscox kommuniziert Einstiegstarife „ab einem monatlichen Betrag“, abhängig von Umsatz, Branche und IT-Risiko.
• Awareness- und Präventionsangebote (z. B. Schulungen, Leitfäden) sind je nach Tarif enthalten.

Worauf Du achten solltest:

• Technische Obliegenheiten wie MFA, regelmäßige Updates und getestete Backups.
• Ausschlüsse, z. B. bei Vorsatz oder bestimmten Infrastrukturereignissen.
• Ob Social Engineering / CEO-Fraud mitversichert ist oder einen Zusatzbaustein erfordert.

---

AXA – Cyberversicherung

Geeignet für: Kleine und mittlere Unternehmen, die Mitarbeitersensibilisierung und Schulung als festen Bestandteil der Cyberstrategie sehen.

Öffentlich bekannte Eckpunkte:

• AXA bewirbt je nach Produktlinie Awareness- und Schulungsangebote für Mitarbeitende.
• Incident-Hotline und Unterstützung im Schadenfall werden als zentrale Leistungen genannt.

Worauf Du achten solltest:

• Welche Kosten bei Datenschutzvorfällen konkret übernommen werden (IT, Recht, Kommunikation).
• Ob Cloud-Dienste, Homeoffice und BYOD explizit mitversichert sind.

---

HDI – Cyberversicherung

Geeignet für: KMU, die eine Kombination aus Eigenschadenabsicherung und Haftpflicht mit strukturierter Assistance suchen.

Öffentlich bekannte Eckpunkte:

• Produkte zielen auf die Absicherung von Eigenschäden und Ansprüchen Dritter ab.
• Notfall-Hotline und Koordination externer Dienstleister werden beworben.

Worauf Du achten solltest:

• Welche Version der Versicherungsbedingungen tatsächlich Vertragsbestandteil ist.
• Wartezeiten, Trigger und Höchstentschädigungen bei Betriebsunterbrechung.

---

Einordnung für die Praxis: Der entscheidende Unterschied zwischen Cyberversicherungen liegt selten im Namen des Anbieters, sondern in der Qualität der Incident Response, der Reaktionsgeschwindigkeit und der realen Unterstützung in den ersten Stunden nach einem Angriff.

---

Was kostet eine Cyberversicherung?

Prämien hängen ab von Branche, Umsatz, IT-Abhängigkeit, Sicherheitsniveau, Deckungssumme und Selbstbehalt. Einige Anbieter nennen öffentlich Einstiegspreise “ab …/Monat”. Für belastbare Zahlen brauchst Du ein Angebot auf Basis Deiner Risikofragen.

Mach Dir eine einfache Rechnung: Wenn ein Vorfall 3–7 Tage Betriebsausfall auslösen kann, plus externe IT/Forensik und ggf. Rechtskosten, ist die Frage, ob Du diese Summe kurzfristig aus Cashflow/Rücklagen zahlen kannst. Wenn nicht, ist die Police häufig ein Liquiditätsschutz.

---

Entscheidungsbaum: Brauche ich sie wirklich?

Schritt 1: Worst-Case-Kosten grob berechnen

• Stillstand pro Tag: Umsatzverlust + Lohnkosten + Vertragsstrafen (falls relevant)
• Externe Hilfe: IT-Dienstleister + Forensik + ggf. Spezialisten
• Recht/Datenschutz: Anwälte, Meldungen, Benachrichtigungen
• Recovery: Neuaufsetzen, Ersatzgeräte, Cloud-Absicherung, Wiederanlauf

Schritt 2: Eintrittswahrscheinlichkeit bei Dir

• Viele E-Mail-Postfächer + Zahlungsfreigaben + wenig Kontrolle = hohes BEC-Risiko.
• Remote-Zugänge ohne MFA = hohes Risiko.
• Backups ohne Restore-Test = Ransomware wird kritisch.
• Viele SaaS/Partnerzugänge = Third-Party-Risiken.

Schritt 3: Reaktionsfähigkeit

Wenn Du keinen Incident-Plan hast, keine klaren Ansprechpartner und keine Übung, sind Assistance-Leistungen oft der Hauptnutzen einer Cyberversicherung.

---

Typische Fallen: Ausschlüsse, Obliegenheiten, Unterversicherung

1) Obliegenheiten nicht erfüllen

Viele Verträge setzen Sicherheitsmaßnahmen voraus: MFA, Patchmanagement, Backup-Regeln, Rechtekonzept. Wenn Angaben im Antrag nicht stimmen oder Mindeststandards fehlen, riskierst Du Kürzungen oder Ablehnung im Schadenfall.

2) Betriebsunterbrechung falsch einschätzen

Prüfe Wartezeiten (z. B. 8/12/24 Stunden), Trigger (welches Ereignis zählt?) und Abrechnungslogik. Wenn Stillstand Dein größter Kostentreiber ist, muss dieser Teil sitzen.

3) Unterversicherung

Zu niedrige Deckungssumme ist häufig. Setze die Summe anhand Deines Worst-Case an, nicht anhand “klingt viel”.

4) Cloud-Realität nicht abbilden

Klär schriftlich:

• Account-Übernahme (M365/Google): abgedeckt?
• Welche Systeme gelten als “mitversichert”?
• Third-Party-Vorfälle: was ist abgedeckt, was nicht?

---

Checkliste: So wählst Du eine Police, die im Schadenfall hilft

A) Muss-Leistungen

• Incident Response/Forensik inkl. Koordination
• Betriebsunterbrechung mit passenden Triggern/Wartezeiten
• Wiederherstellung (auch Cloud/SaaS, wenn relevant)
• Haftpflicht/Abwehrkosten
• Krisenkommunikation (wenn Du stark von Vertrauen abhängst)

B) Muss-Fragen an Anbieter/Makler (schriftlich)

• Ist Social Engineering/CEO-Fraud abgedeckt? Wenn ja: bis zu welcher Summe?
• Welche Mindestanforderungen gelten (MFA, Backups, Patchfenster, EDR)?
• Wie läuft die Schadenmeldung ab (Hotline, Reaktionszeiten, Partnerbindung)?
• Wie wird Betriebsunterbrechung berechnet (Wartezeit, Maximaldauer, Limits)?
• Gilt Deckung bei Homeoffice und privaten Geräten (BYOD)?
• Gilt Deckung bei Cloud-Account-Übernahmen und kompromittierten Admin-Konten?

---

FAQ

Reicht eine Betriebshaftpflicht statt Cyberversicherung?

Meist nicht. Betriebshaftpflicht ist typischerweise nicht für Incident Response, Wiederherstellung und IT-bedingte Betriebsunterbrechung gebaut. Cyberpolicen sind dafür konstruiert.

Ich habe Backups – brauche ich trotzdem eine Cyberversicherung?

Backups sind Pflicht, aber nicht alles: Du brauchst Ursachenklärung (Forensik), Eindämmung, sichere Wiederinbetriebnahme und oft rechtliche/kommunikative Unterstützung. Außerdem sind Backups ohne Restore-Test kein Sicherheitsnetz.

Was sind häufige Gründe für nicht oder teilweise gezahlte Schäden?

• Obliegenheiten nicht erfüllt (z. B. MFA/Updates/Backups entgegen Antrag)
• Ausschlüsse greifen (tarifabhängig)
• Deckungssumme reicht nicht

---

Fazit

Wenn Dein Betrieb digital arbeitet, Daten verarbeitet oder ohne IT nicht liefern kann, ist Cyberversicherung für viele kleine Unternehmen sinnvoll. Entscheidend ist nicht der Anbietername, sondern ob die Police Deinen tatsächlichen Betrieb abbildet, Incident Services schnell liefern kann und ob Du die Sicherheitsanforderungen sauber erfüllst.