Cyberversicherung für Unternehmen: Was sie abdeckt
Was steckt eigentlich drin, in so einer Cyberversicherung für Unternehmen? Fünf Bausteine, sagt Cyberversicherungs-Expertin Claudia Augustin. Weltweiter Schutz. Eigen- und Drittschäden, Betriebsunterbrechung inklusive. Ein 24/7-Expertennetzwerk für den Ernstfall. Präventionsleistungen wie Schulungen. Und Leistungs-Updates, sobald sich die Bedrohungslage ändert. Nur: Einfach so bekommt ihr die Police nicht mehr. Erst zeigen, dass ein Mindestmaß an Sicherheit steht – dann erst die Deckung.

Warum Cyberversicherung kein Nischenthema mehr ist
Vor Jahren, als Claudia Augustin anfing, sich im Gewerbeversicherungsbereich mit IT-Risiken zu beschäftigen, war das Thema noch ziemlich verpönt. "Brauche ich nicht." "Betrifft mich nicht." So die übliche Reaktion. Gefährlich, findet Augustin. Und bringt Zahlen mit. Zahlen, die sie selbst überrascht haben.
Schaden durch Diebstahl, digitale und analoge Industriespionage sowie Sabotage in deutschen Unternehmen im Jahr 2023 (Selbsteinschätzung der betroffenen Unternehmen).
Quelle: Bitkom-Studie "Wirtschaftsschutz 2023", zitiert von Claudia Augustin auf der OGcon 2024Nur Konzerne? Nein. Cyberangriffe treffen laut Augustin genauso kleine und mittelständische Unternehmen. Wer sich als "kleiner Fisch" für uninteressant hält, unterschätzt etwas Entscheidendes: wie automatisiert viele Angriffe längst ablaufen. Einen Überblick über Chancen und Risiken der Technologie insgesamt gibt der Themen-Guide KI im Unternehmen.
Was eine Cyberversicherung konkret abdeckt
Was gehört jetzt konkret rein, in so eine Police? Am Beispiel der HDI-Cyberversicherung, die sie in ihrer Beratung mit anführt, nennt Augustin fünf Aspekte. Fünf, die eine gute Cyber-Police abdecken sollte:
- 1Weltweiter Schutz: Die Police greift global, nicht nur regional begrenzt auf Deutschland. Augustin erinnert sich noch an ältere Policen, bei denen der "Geltungsbereich Deutschland" hieß – als würde eine Mail an der Landesgrenze aufhören, ein Risiko zu sein.
- 2Umfassende Deckung von Eigen- und Drittschäden: Eigenschäden sind die, die dem Unternehmen selbst entstehen. Drittschäden betreffen die Haftung gegenüber anderen – etwa wenn durch den eigenen Ausfall ein Kunde oder Geschäftspartner geschädigt wird. Dazu zählen laut Augustin auch Datenwiederherstellung und Betriebsunterbrechung.
- 324/7-Expertennetzwerk im Schadensfall: Sofort-Hotline, Krisenkommunikation, forensische Dienstleistung und Begleitung in rechtlichen Fragen bei Datenverstößen. Augustin vergleicht das mit einer Betriebsprüfung: Man will in dem Moment Fachleute an der Seite haben, nicht allein dastehen.
- 4Präventionsleistungen: Schulungen und Sensibilisierung sind Teil der Leistung, nicht nur Kür. Eine Cyberversicherung ist laut Augustin "nicht nur eine Versicherung im Schadensfall, sondern auch eine Versicherung im Präventionsfall".
- 5Leistungs-Updates: Weil sich Bedrohungen schneller entwickeln als Vertragswerke, sollte die Police Aktualisierungen vorsehen – etwa wenn neue Angriffsarten oder Geräteklassen relevant werden.
Ein Punkt wird dabei gern übersehen, sagt Augustin. Private, mitgebrachte Geräte. Laptop, Handy, im Homeoffice sogar ein Babyfon mit Kamera. Bei guten Policen mitversichert – aus gutem Grund, denn genau darüber gelangen Angreifer oft ins Firmennetz.

Betriebsunterbrechung: der unterschätzte Schadensfall
Und hier wird es persönlich für Augustin. Der Softwarezulieferer ihres eigenen Unternehmens, die UVB, wurde selbst gehackt – konkret die Muttergesellschaft Hypoport über deren Tochter Smart InsurTech. Augustin und ihr Team? Nicht direkt gehackt. Keine eigenen Daten betroffen. Und trotzdem: 14 Tage lang kein Arbeiten, ohne Plan B, weil die zuliefernde Software heruntergefahren wurde, um sie zu bereinigen.
Muss man also selbst Opfer sein, um eine Betriebsunterbrechung zu erleiden? Nein. Es reicht, wenn ein Zulieferer stillsteht. Beispiel Unfallkasse Thüringen: 2022, Ransomware, Neuanträge und sogar Krankentage blieben liegen – Menschen, die auf das Geld angewiesen waren, bekamen es nicht rechtzeitig. Beispiel ein Caterer für Krankenhäuser und Altenheime: nach dem Angriff unklar, wer welche Diät oder Allergie hat, weil die Daten weg waren.
Löhne laufen weiter, Kunden warten nicht – aber die Einnahmen stehen still. Genau für diese Lücke ist die Betriebsunterbrechungs-Deckung da, sagt Augustin. Ihr eigenes Unternehmen kam glimpflich davon, weil ein Ausweichprogramm bereitstand. Nicht jedes Unternehmen hat diesen Plan B.
Warum Prävention Voraussetzung für den Versicherungsschutz ist
Bekommt man die Police einfach so? Nein, nicht mehr. Versicherer prüfen vorab ein Mindestmaß an Sicherheit. Sichere Passwörter dazu – kein "Mausi", kein Geburtsdatum, kein Zettel am Bildschirm. Multi-Faktor-Authentifizierung. Ein Notfallplan, der im Ernstfall wirklich greift. Wer das umsetzt, senkt laut Augustin nebenbei die Prämie. Prävention zahlt sich eben doppelt aus.
In ihrem eigenen Unternehmen: regelmäßige Phishing-Simulationen. Mitarbeitende bekommen Test-Mails, es wird beobachtet, wer klickt. Wer klickt, wird nicht bloßgestellt. Sondern trainiert. Ergebnis, ganz konkret: Die Klickrate sank von 25 Prozent auf einen einstelligen Wert. Versicherung plus eigene Wachsamkeit, genau dieses Zusammenspiel hält Augustin für entscheidend – wer Deepfake- und Phishing-Warnsignale erkennen will, findet dazu vertiefendes Praxiswissen im Schwesterartikel Deepfake erkennen.
Was eine Cyberversicherung nicht ersetzt
Ist die Police also ein Freifahrtschein? Nein, macht Augustin klar. Bei einem von ihr geschilderten Fall – einer gehackten Druckerei – stand eine unbequeme Frage im Raum: Kann eine Lösegeldzahlung an Erpresser strafrechtlich heikel sein, etwa als Unterstützung einer kriminellen Organisation? Kann eine ausbleibende Zahlung samt Datenleck im Darknet einen Datenschutzverstoß nach sich ziehen? Beides möglich. Genau in solchen Situationen sei es "gut, jemanden an der Seite zu haben", so Augustin – doch die Entscheidung selbst bleibt eine rechtliche und unternehmerische Abwägung im Einzelfall. Keine, die eine Versicherung automatisch abnimmt.
Und noch etwas Wichtiges: Welche Deckungsbausteine im Detail greifen, welcher Selbstbehalt gilt, welche Sicherheitsvoraussetzungen ein Versicherer verlangt – das unterscheidet sich von Anbieter zu Anbieter. Neben HDI nennt Augustin etwa Markel und Hiscox als Beispiele aus ihrer eigenen Beratungspraxis. Ihr Rat: das Paket am eigenen Sicherheitsgefühl und den tatsächlichen Bedürfnissen des Unternehmens ausrichten. Nicht pauschal die günstigste Police wählen.
Wer sein Team auf Cyberrisiken vorbereiten will, findet dazu Impulse in der KI-Weiterbildung für Unternehmer – Awareness ist laut Augustin der Hebel, der neben der Versicherung selbst über den Ernstfall entscheidet.

Häufige Fragen
Was deckt eine Cyberversicherung für Unternehmen ab?+
Im Kern fünf Bausteine: weltweiten Schutz, Eigen- und Drittschäden inklusive Datenwiederherstellung und Betriebsunterbrechung, ein 24/7-Expertennetzwerk für Krisenmanagement und Forensik, Präventionsleistungen wie Schulungen sowie Leistungs-Updates bei neuen Bedrohungen. Details unterscheiden sich je nach Versicherer.
Ist eine Cyberversicherung auch für kleine Unternehmen sinnvoll?+
Ja. Laut Claudia Augustin sind auch kleine und mittelständische Unternehmen regelmäßig betroffen – Cyberkriminalität unterscheidet nicht nach Unternehmensgröße. Wichtiger Baustein ist dabei die Betriebsunterbrechungs-Deckung, die auch greift, wenn nicht das eigene Unternehmen, sondern ein Zulieferer gehackt wird.
Bekommt jedes Unternehmen einfach eine Cyberversicherung?+
Nein. Versicherer verlangen laut Augustin vorab ein Mindestmaß an Sicherheit, etwa sichere Passwörter, Multi-Faktor-Authentifizierung und einen Notfallplan. Wer diese Präventionsmaßnahmen nachweist, kann außerdem die Prämie senken.
Was ist eine Betriebsunterbrechung im Sinne der Cyberversicherung?+
Der Ausfall der eigenen Systeme oder – wie im Beispiel von Augustins Unternehmen – der Systeme eines Zulieferers, wodurch das eigene Unternehmen nicht arbeiten kann, während Kosten wie Löhne weiterlaufen. Genau diesen Umsatzausfall soll die Betriebsunterbrechungs-Deckung abfedern.
Ersetzt eine Cyberversicherung rechtliche Beratung im Erpressungsfall?+
Nicht automatisch die Entscheidung selbst, aber sie stellt laut Augustin ein Expertennetzwerk und rechtliche Begleitung bereit. Ob im Einzelfall gezahlt wird oder nicht, bleibt eine Abwägung mit rechtlichen Konsequenzen in beide Richtungen – dafür ist fachkundige Unterstützung an der Seite wichtig.
Sei bei der nächsten OGcon wieder dabei.
Trag dich in die Warteliste ein und erfahre als Erste:r, sobald die nächste OGcon startet.
Mit dem Eintragen willigst du ein, dass dich die Veranstalter der OGcon — Benno Siebern (MetaWelten) und Markus Habermehl (Pundamilia Marketing OÜ) — per E-Mail über die nächste Ausgabe informieren. Abmeldung jederzeit über den Link in jeder E-Mail. Mehr dazu in der Datenschutzerklärung.