Stellen Sie sich vor: Montagmorgen, 7:15 Uhr. Sie schalten Ihren Rechner ein und sehen eine Lösegeldforderung. Server verschlüsselt, Produktion steht still, Kundendaten kompromittiert. Ihr erster Gedanke: Gut, dass wir eine Cyber-Versicherung haben. Ihr zweiter Gedanke, drei Stunden später: Warum hilft uns die Versicherung nicht, unsere Systeme wiederherzustellen?
Genau das ist das Problem, das viele Unternehmer unterschätzen. Eine Cyber-Versicherung ist ein Finanzprodukt – sie kann Geld überweisen, aber sie kann keinen verschlüsselten Server entschlüsseln, keine verlorenen Daten wiederherstellen und keine Produktion wieder anlaufen lassen. Im besten Fall zahlt sie das Lösegeld – was das BSI (Bundesamt für Sicherheit in der Informationstechnik) ausdrücklich warnt: „Kein Lösegeld zahlen – es finanziert kriminelle Strukturen und garantiert keine Wiederherstellung.”
In diesem Artikel zeigen wir, warum Ihr Budget für IT-Sicherheit besser angelegt ist als für Versicherungsprämien, welche konkreten Maßnahmen wirklich schützen – und wann eine Cyber-Versicherung als Ergänzung trotzdem Sinn machen kann. Wichtiger Hinweis: Wir sind IT-Dienstleister, keine Versicherungsmakler. Unsere Expertise liegt darin, Ihre IT so aufzustellen, dass ein Angriff entweder gar nicht durchkommt oder innerhalb von Stunden statt Wochen behoben ist.
Das Problem: Was eine Cyber-Versicherung NICHT kann
Viele Unternehmer denken bei einer Cyber-Versicherung an eine Art „Vollkasko für die IT”. Die Realität sieht anders aus. Eine Cyber-Versicherung ist im Kern eine finanzielle Entschädigung nach dem Schaden – nicht mehr und nicht weniger.
Was passiert bei einem Ransomware-Angriff konkret? Ihre Systeme sind verschlüsselt. Die Versicherung kann Folgendes tun: Geld überweisen. Sie kann Folgendes nicht tun:
Daten entschlüsseln
Selbst wenn die Versicherung das Lösegeld zahlt: In 20–30 % der Fälle funktioniert der Entschlüsselungsschlüssel der Angreifer nicht oder nur teilweise. Ihre Daten bleiben verloren.
Produktion sofort wieder starten
Geld auf dem Konto bedeutet nicht, dass Ihre Server laufen. Ohne funktionierendes Backup dauert die Wiederherstellung Wochen – egal ob versichert oder nicht.
Kunden zurückgewinnen
Der Reputationsschaden nach einem Datenleck lässt sich nicht versichern. Kunden, die abspringen, kommen nicht zurück, weil die Versicherung gezahlt hat.
Den nächsten Angriff verhindern
Die Versicherung zahlt den Schaden – aber die Schwachstelle, über die der Angreifer reinkam, ist danach immer noch da. Ohne technische Verbesserung folgt der nächste Angriff.
⚠️ Wichtig: BSI-Warnung zu Lösegeldzahlungen: Das Bundesamt für Sicherheit in der Informationstechnik rät dringend von Lösegeldzahlungen ab. Wer zahlt, finanziert kriminelle Strukturen und hat trotzdem keine Garantie, dass die Daten wiederhergestellt werden. Einige Versicherer decken Lösegeldzahlungen dennoch ab — das klingt beruhigend, löst aber keines der tatsächlichen Probleme.
⚠️ Wichtig: Wer zahlt, wird zum Wiederholungsopfer. Angreifer führen sogenannte „Sucker Lists” — Listen mit Unternehmen, die bereits Lösegeld gezahlt haben. Diese Listen werden unter kriminellen Gruppen geteilt und gehandelt. Die Logik ist einfach: Wer einmal gezahlt hat, zahlt wahrscheinlich wieder. Studien zeigen: Rund 80 % der Unternehmen, die Lösegeld gezahlt haben, wurden innerhalb von 12 Monaten erneut angegriffen — häufig von derselben Gruppe. Eine Lösegeldzahlung löst also nicht nur das aktuelle Problem nicht zuverlässig, sondern macht Ihr Unternehmen zur dauerhaften Zielscheibe.
Der Kostenvergleich: Versicherungsprämie vs. echte IT-Sicherheit
Lassen Sie uns konkret rechnen. Ein typisches KMU in Südbaden mit 15–30 Mitarbeitern zahlt für eine Cyber-Versicherung 2.000 bis 5.000 Euro pro Jahr. Was bekommen Sie dafür? Ein Stück Papier, das im Schadensfall vielleicht zahlt – wenn Sie alle Obliegenheiten erfüllt haben.
Schauen wir uns an, was Sie für dasselbe Geld an echter Sicherheit bekommen können:
| Investition | Jährliche Kosten | Was es bringt |
|---|---|---|
| FortiGate Firewall (z.B. FortiGate 60F/80F) | 1.200–2.400 €/Jahr (inkl. UTM-Lizenz) | Next-Gen Firewall mit IPS, Antivirus, Webfilter, SSL-Inspection – stoppt Angriffe, BEVOR sie ins Netz kommen |
| Endpoint Security (Trend Micro / ESET) | 600–1.500 €/Jahr (15–30 Geräte) | Echtzeitschutz auf jedem Endgerät, Ransomware-Erkennung, verhaltensbasierte Analyse |
| Professionelles Backup mit Veeam / NAS | 800–1.500 €/Jahr (Hardware + Lizenz) | 3-2-1-Backup mit Offsite-Kopie – im Ernstfall Wiederherstellung in Stunden statt Wochen |
| MFA-Einrichtung (Microsoft 365 / VPN) | 300–800 € einmalig | Schließt das Einfallstor Nr. 1: gestohlene Zugangsdaten |
| Security Awareness Schulung | 400–1.000 €/Jahr | Mitarbeiter erkennen Phishing – der häufigste Angriffsvektor |
Das Paradox: Die Versicherung verlangt genau diese Technik
Hier wird es richtig absurd: Cyber-Versicherer sind nicht dumm. Sie wissen genau, dass ungeschützte Unternehmen ein schlechtes Risiko sind. Deshalb verlangen sie als Pflichtvoraussetzungen exakt die Maßnahmen, die einen Angriff verhindern oder begrenzen. Wer diese nicht hat, bekommt entweder keine Police – oder die Versicherung zahlt im Schadensfall nicht.
Das sind die Anforderungen, die nahezu alle Versicherer seit 2023/2024 als Pflicht voraussetzen:
Multi-Faktor-Authentifizierung (MFA)
MFA für alle Remote-Zugänge (VPN, RDP, Cloud-Dienste) und privilegierte Konten. Reine Passwort-Authentifizierung ist ein sofortiges Ausschlusskriterium bei praktisch allen Versicherern.
Backup-Strategie (3-2-1-Regel)
Mindestens 3 Kopien Ihrer Daten auf 2 verschiedenen Medien, davon 1 offline oder air-gapped. Regelmäßige Wiederherstellungstests müssen dokumentiert sein.
Patch-Management
Kritische Sicherheitsupdates müssen innerhalb von 14–30 Tagen eingespielt werden. Ein dokumentierter Patch-Management-Prozess wird erwartet.
Firewall und Netzwerksegmentierung
Professionelle Firewall mit aktueller Firmware, Segmentierung kritischer Netzwerkbereiche und Monitoring eingehenden und ausgehenden Traffics.
Endpoint-Protection
Aktuelle Antivirus-/EDR-Lösung auf allen Endgeräten – einschließlich Servern. Rein signaturbasierte Scanner reichen vielen Versicherern nicht mehr.
Mitarbeiterschulungen
Regelmäßige (mindestens jährliche) Security-Awareness-Schulungen, idealerweise mit Phishing-Simulationen. Dokumentation ist Pflicht.
Notfallplan (Incident Response Plan)
Ein schriftlicher, getesteter Notfallplan für Cybervorfälle. Enthält Verantwortlichkeiten, Kommunikationswege und Eskalationsstufen.
Zugriffsmanagement
Prinzip der minimalen Berechtigung (Least Privilege). Admin-Rechte nur für Administratoren, kein Arbeiten mit lokalen Admin-Konten im Alltag.
⚠️ Wichtig: Erkennen Sie das Muster? Die Versicherung verlangt FortiGate-Firewall (oder vergleichbar), Endpoint Security, professionelles Backup, MFA und Schulungen. Wenn Sie all das umsetzen, haben Sie einen Schutzlevel erreicht, bei dem die Wahrscheinlichkeit eines erfolgreichen Angriffs drastisch sinkt. Die Frage wird dann: Brauchen Sie die Versicherung überhaupt noch so dringend?
Praxisbeispiel: Was wirklich passiert – mit und ohne Technik
Vergleichen wir zwei Szenarien für ein Handwerksunternehmen mit 30 Mitarbeitern bei einem Ransomware-Angriff – nicht „versichert vs. unversichert”, sondern „gut geschützt vs. nur versichert”:
| Situation | Nur Cyber-Versicherung (ohne gute Technik) | Gute IT-Sicherheit (ohne Versicherung) |
|---|---|---|
| Angriff kommt durch | Ja – keine Next-Gen Firewall, einfacher Antivirus umgangen | Unwahrscheinlich – FortiGate IPS blockiert bekannte Angriffsmuster, Endpoint Security erkennt verdächtiges Verhalten |
| Server verschlüsselt | Ja – 12 Server betroffen, alle Daten weg | Nein – Netzwerksegmentierung begrenzt Ausbreitung, maximal 1–2 Systeme betroffen |
| Daten wiederherstellbar? | Nur wenn Angreifer Schlüssel liefert (unsicher) | Ja – Veeam-Backup stellt aus Offsite-Kopie wieder her, RPO < 24h |
| Ausfallzeit | 2–4 Wochen (Forensik, Verhandlung, Neuaufbau) | 4–8 Stunden (Backup-Restore, betroffene Systeme isolieren) |
| Kosten | Versicherung zahlt ggf. 200.000 € – aber 3 Wochen Produktionsausfall, Reputationsschaden, Kundenabwanderung | Interner Aufwand: ca. 2.000–5.000 € für Incident Response und Nacharbeit |
| Ergebnis | Geld auf dem Konto, aber massiver Geschäftsschaden | Kurze Störung, Geschäftsbetrieb kaum beeinträchtigt |
Die 5 häufigsten Ablehnungsgründe: Warum die Versicherung oft nicht zahlt
Selbst wenn Sie eine Cyber-Versicherung haben – die Chance, dass sie im Ernstfall tatsächlich zahlt, ist geringer als gedacht. Laut Branchendaten werden rund 20–30 % aller Cyber-Schadensmeldungen ganz oder teilweise abgelehnt. Die häufigsten Gründe:
Fehlende oder deaktivierte MFA
Im Antrag wurde MFA für Remote-Zugänge bestätigt, im Schadensfall stellt der Forensik-Bericht fest: Der kompromittierte VPN-Zugang war nur mit Passwort geschützt. Ergebnis: Leistungskürzung oder vollständige Ablehnung.
Veraltete oder fehlende Backups
Backups existierten nur auf demselben Server, der verschlüsselt wurde. Oder: Letzte erfolgreiche Wiederherstellungstests liegen über ein Jahr zurück. Versicherer werten dies als grobe Fahrlässigkeit.
Ignorierte kritische Patches
Ein bekanntes Sicherheitsupdate (z.B. für Exchange Server oder Firewall-Firmware) wurde wochenlang nicht eingespielt. Der Angreifer nutzte genau diese Schwachstelle. Versicherer sehen hier eine Obliegenheitsverletzung.
Keine dokumentierte Incident Response
Es gab keinen Notfallplan, die ersten Stunden nach dem Angriff verliefen chaotisch. Mitarbeiter haben Beweise vernichtet (Systeme neugestartet), was die Forensik erschwert. Versicherer kürzen die Leistung.
Falsche Angaben im Versicherungsantrag
Im Antrag wurde angegeben, dass alle Mitarbeiter geschult werden und ein ISMS existiert. Beides war nicht der Fall. Bei arglistiger Täuschung kann der Versicherer den gesamten Vertrag anfechten – rückwirkend.
Das Ergebnis: Sie zahlen jahrelang Prämien, und wenn der Schaden eintritt, stellt der Versicherer fest, dass Sie eine Obliegenheit verletzt haben. Die Zahlung wird gekürzt oder verweigert. Hätten Sie das Prämienbudget in echte IT-Sicherheit investiert, wäre der Schaden wahrscheinlich gar nicht erst eingetreten.
NIS2 und Cyber-Versicherung: Pflichten, die ohnehin kommen
Die NIS2-Richtlinie der EU verschärft die Anforderungen an die IT-Sicherheit erheblich – auch für viele KMU in Südbaden, die als Zulieferer oder Dienstleister in den erweiterten Anwendungsbereich fallen. Interessant: Die NIS2-Pflichten decken sich fast vollständig mit dem, was Versicherer fordern. Das bestätigt unsere These:
Gesetzliche Pflicht = Versicherungsvoraussetzung
NIS2 verlangt Risikomanagement, Incident Response, Backup, Zugriffskontrollen. Also exakt die Maßnahmen, die auch Versicherer fordern. Sie müssen diese Technik SOWIESO umsetzen – ob mit oder ohne Versicherung.
Persönliche Geschäftsführer-Haftung
Unter NIS2 haften Geschäftsführer persönlich für mangelnde Cybersicherheit. Das beste Mittel gegen persönliche Haftung: Die Technik tatsächlich umsetzen – nicht nur eine Versicherung dagegen abschließen.
Meldepflichten bei Vorfällen
NIS2 fordert eine Erstmeldung innerhalb von 24 Stunden. Mit professionellem IT-Monitoring erkennen Sie Vorfälle sofort – statt sie erst zu bemerken, wenn alles verschlüsselt ist.
Audit- und Nachweispflichten
Dokumentierte IT-Sicherheitsmaßnahmen sind unter NIS2 Pflicht. Diese Dokumentation hilft Ihnen auch beim Versicherungsantrag – falls Sie sich zusätzlich absichern wollen.
Sind Sie als NIS2-betroffenes Unternehmen eingestuft? Viele KMU wissen nicht, dass sie als Zulieferer kritischer Infrastrukturen unter die NIS2-Pflichten fallen. Die gute Nachricht: Wenn Sie die IT-Sicherheitsmaßnahmen umsetzen, die wir in diesem Artikel beschreiben, erfüllen Sie einen Großteil der NIS2-Anforderungen gleich mit. Gerne prüfen wir, ob NIS2 auf Sie zutrifft.
Wann eine Cyber-Versicherung DOCH Sinn macht
Wir sind keine Versicherungsgegner. Eine Cyber-Versicherung kann als Restrisiko-Puffer durchaus sinnvoll sein – aber erst, wenn die technische Basis steht. Denn auch die beste IT-Sicherheit kann keinen 100-prozentigen Schutz garantieren. Es gibt Szenarien, in denen eine Versicherung ergänzend Sinn macht:
Zero-Day-Exploits
Gegen völlig neue, unbekannte Schwachstellen kann auch die beste Firewall nicht sofort schützen. Eine Versicherung federt das finanzielle Restrisiko ab.
Social Engineering auf Geschäftsführer-Ebene
Wenn ein CEO-Fraud trotz Schulungen gelingt und hohe Überweisungen ausgelöst werden, deckt eine Cyber-Versicherung den finanziellen Schaden.
DSGVO-Bußgelder und Rechtskosten
Selbst bei guter Technik kann eine Datenpanne DSGVO-Konsequenzen haben. Die Rechtsberatung und Bußgeld-Deckung einer Versicherung ist hier wertvoll.
Lieferketten-Angriff
Wenn Ihr Softwarelieferant kompromittiert wird und dadurch Schadsoftware in Ihr Netz gelangt, hilft die beste eigene Firewall wenig. Hier federt die Versicherung ab.
Die Formel lautet: Erst die Technik, dann optional die Versicherung als Restrisiko-Puffer. Nicht umgekehrt. Wer stattdessen eine Versicherung abschließt und die Technik vernachlässigt, hat weder Schutz noch Versicherungsschutz – weil die Versicherung im Schadensfall wegen Obliegenheitsverletzung nicht zahlt.
Ihr Fahrplan: IT-Sicherheit richtig aufbauen
Basierend auf unserer Erfahrung mit KMU in Südbaden empfehlen wir diese Reihenfolge. Die Maßnahmen sind nach Kosten-Nutzen-Verhältnis priorisiert – die wirksamsten und günstigsten zuerst:
Sofort: MFA überall aktivieren (Budget: 300–800 €)
Multi-Faktor-Authentifizierung für Microsoft 365, VPN und alle Remote-Zugänge. Schließt das Einfallstor Nr. 1 und ist in wenigen Stunden umgesetzt.
Woche 1–2: Backup-Konzept überarbeiten (Budget: 800–1.500 €/Jahr)
3-2-1-Backup mit Offsite-Kopie einrichten. Veeam oder vergleichbare Lösung. Wiederherstellungstest durchführen und dokumentieren. DAS ist Ihre echte Lebensversicherung.
Woche 2–4: FortiGate Firewall implementieren (Budget: 1.200–2.400 €/Jahr)
Professionelle Next-Gen Firewall mit IPS, Antivirus-Gateway, Webfilter und SSL-Inspection. Ersetzt die Fritz!Box oder den Consumer-Router, der aktuell vermutlich Ihr Netzwerk „schützt”.
Woche 4–6: Endpoint Security ausrollen (Budget: 600–1.500 €/Jahr)
Trend Micro oder ESET auf allen Geräten – mit zentraler Verwaltung und Echtzeit-Monitoring. Nicht die kostenlose Windows-Defender-Variante.
Woche 6–8: Security Awareness Schulung (Budget: 400–1.000 €/Jahr)
Mitarbeiter lernen, Phishing zu erkennen. Regelmäßige Simulationen. Dokumentation für Compliance und – falls gewünscht – den Versicherungsantrag.
Optional danach: Cyber-Versicherung als Ergänzung (Budget: 1.500–4.000 €/Jahr)
Jetzt – mit allen technischen Maßnahmen umgesetzt – bekommen Sie nicht nur eine Police, sondern auch deutlich bessere Konditionen. Und Sie wissen: Im Schadensfall wird die Versicherung auch tatsächlich zahlen.
Checkliste: So sind Sie WIRKLICH geschützt
Diese Checkliste zeigt Ihnen, ob Ihr Unternehmen technisch gut aufgestellt ist. Bonus: Wenn Sie alle Punkte erfüllen, sind Sie automatisch auch versicherbar – zu den besten Konditionen.
IT-Sicherheits-Check für Ihr Unternehmen
- FortiGate oder vergleichbare Next-Gen Firewall im Einsatz (kein Consumer-Router)
- MFA ist für alle Remote-Zugänge (VPN, RDP, Microsoft 365) aktiviert
- Backups werden nach der 3-2-1-Regel erstellt, mit Offsite-Kopie und regelmäßigen Restore-Tests
- Endpoint Security (Trend Micro, ESET oder vergleichbar) läuft auf allen Geräten und Servern
- Alle Systeme erhalten Sicherheitsupdates innerhalb von 30 Tagen
- Mitarbeiter werden mindestens jährlich zu IT-Sicherheit geschult (mit Phishing-Simulation)
- Ein schriftlicher IT-Notfallplan existiert und ist dem Team bekannt
- Admin-Rechte sind auf IT-Administratoren beschränkt (Least Privilege)
- Netzwerk ist segmentiert (Server, Clients, Gäste-WLAN getrennt)
- Alte Benutzerkonten (ausgeschiedene Mitarbeiter) werden zeitnah deaktiviert
- DSGVO-Verarbeitungsverzeichnis und TOMs sind dokumentiert
- Optional: Cyber-Versicherung als Restrisiko-Puffer abgeschlossen
Fazit: Erst die Technik, dann die Versicherung
Eine Cyber-Versicherung kann ein sinnvoller Baustein im Risikomanagement sein – aber sie ist kein Ersatz für IT-Sicherheit und erst recht kein Startpunkt. Sie ist das Sicherheitsnetz, nicht der Schutzhelm. Und ein Sicherheitsnetz ohne Schutzhelm nützt Ihnen wenig, wenn der Hammer fällt.
Die Fakten sprechen eine klare Sprache: Für 3.000–5.000 Euro Jahresbudget bekommen Sie entweder eine Versicherung, die im Schadensfall vielleicht zahlt – oder echte Sicherheitstechnik (FortiGate Firewall, Endpoint Security, professionelles Backup, MFA), die den Schaden verhindert oder auf Stunden begrenzt. Die klügere Investition ist offensichtlich.
Unser Rat für KMU in Südbaden: Investieren Sie zuerst in Ihre IT-Sicherheit. Wenn das Budget es dann noch hergibt, schließen Sie eine Cyber-Versicherung als Restrisiko-Puffer ab. In dieser Reihenfolge. Nicht umgekehrt. Denn die beste Versicherung ist die, die Sie nie brauchen – weil Ihre Technik den Angriff abgefangen hat.