„Im weltweiten Vergleich werden hier die meisten Cyberversicherungen abgeschlossen“

Ein Anruf, eine scheinbar harmlose E-Mail, ein Klick – und plötzlich steht ein ganzes Unternehmen still. Was früher nur anderen passierte, ist längst Alltag geworden: Cyberangriffe treffen Betriebe jeder Größe, in allen Branchen. Und wenn es passiert, soll die Cyberversicherung retten. Doch der Rettungsschirm spannt sich heute nur noch über diejenigen, die zuvor ihre Hausaufgaben gemacht haben. Ein Gastbeitrag von Dr. Sebastian Schmerl.

Der Blick auf die Entwicklung des Cyberversicherungsmarktes, zum Beispiel anhand des Cyber Insurance Outlook 2025 Reports, zeigt: Der einfache Abschluss einer Police reicht längst nicht mehr aus. Versicherer prüfen heute sowohl bei Vertragsabschluss als auch bei jeder Verlängerung immer genauer, ob Unternehmen über eine ausreichende Sicherheitsarchitektur verfügen. Cyberversicherung ist kein Ersatz für fehlende Schutzmaßnahmen mehr, sondern ein Gradmesser dafür, wie ernst Organisationen das Thema Prävention nehmen.

Ein wachsender Markt mit neuen Spielregeln

Die Nachfrage nach Cyberversicherungen steigt weiter, auch in Deutschland, Österreich und der Schweiz. Der hohe Reifegrad vieler Unternehmen, regulatorische Vorgaben wie NIS-2 und DORA sowie die anhaltende Angriffswelle durch Ransomware und Social Engineering haben dafür gesorgt, dass Cyberpolicen in immer mehr Branchen zum Standard werden.

Gleichzeitig zeigt sich: Die Versicherer reagieren auf das zunehmende Schadenaufkommen mit strikteren Auflagen. Mehr als zwei Drittel der Anbieter erwarten, dass die Zahl der gemeldeten Cybervorfälle im kommenden Jahr weiter zunehmen wird. Entsprechend rechnen die meisten mit steigenden Prämien, getrieben durch höhere Schadenssummen, Inflation und den anhaltend hohen Aufwand in der Schadenbearbeitung.

Auch wenn die extreme Preisdynamik der vergangenen Jahre etwas abgeflacht ist, hat sich das Niveau auf einem höheren Plateau eingependelt. Für Unternehmen bedeutet das: Die Kosten für Cyberversicherungen bleiben kalkulierbar – aber nur, wenn sie entsprechende Sicherheitsanforderungen erfüllen.

Versichert wird, wer sein Risiko im Griff hat

Im Zentrum dieser Anforderungen steht die technische und organisatorische Reife. Für Versicherer zählt heute nicht nur, ob ein Unternehmen Schutzmaßnahmen hat, sondern wie konsequent sie umgesetzt werden. E-Mail- und Netzwerksicherheit, regelmäßige Back-ups, Multi-Faktor-Authentifizierung sowie ein 24/7-Monitoring, zum Beispiel durch ein externes Security Operations Center, sind vielerorts zum Mindeststandard geworden – wer sie nicht vorweisen kann, gilt schnell als Hochrisikokunde.

Unternehmen, die diese Kontrollen nachweisen können, haben handfeste Vorteile beim Schutz ihrer Systeme und darüber hinaus auch bei Prämien und Policenbedingungen. Wer dagegen Lücken in seiner Sicherheitsarchitektur offenbart, muss mit höheren Kosten oder gar einer Ablehnung rechnen. Fehlende Sicherheitsmaßnahmen sind weltweit mittlerweile der häufigste Grund, warum Versicherungsanträge abgelehnt werden.

Damit verschiebt sich die Rolle der Cyberversicherung grundlegend: Sie ist nicht länger eine reine Risikoübertragung, sondern ein Indikator für das Sicherheitsniveau eines Unternehmens.

Ein Beispiel für diese Entwicklung zeigt sich in den Daten selbst: Unternehmen, die ein 24/7 Security Operations Center oder Managed Detection and Response einsetzen, verursachen deutlich geringere Schäden. So liegt der Medianwert ihrer Versicherungsclaims bei 75.000 US-Dollar – bei Unternehmen, die sich ausschließlich auf klassische Endpoint Security verlassen, sind es dagegen 3 Millionen US-Dollar.

Für Versicherer ist das ein starkes Signal. Wer Sicherheitsmaßnahmen nachweislich etabliert hat, gilt als risikoarm – und wird entsprechend besser eingestuft. Damit verändert sich auch die Rolle der Versicherung: Sie wird zum Partner bei der Stärkung der eigenen Resilienz, nicht bloß zum finanziellen Auffangnetz.

Für Unternehmen wiederum bedeutet das: Investitionen in Security Operations, Awareness-Programme und getestete Incident-Response-Pläne zahlen sich doppelt aus – sie senken sowohl das Risiko als auch die Kosten. Prävention wird so vom Kostenfaktor zum Wettbewerbsvorteil.

Kooperation statt Abgrenzung

Bemerkenswert ist, wie eng Versicherer und Sicherheitsdienstleister mittlerweile zusammenarbeiten. Viele Versicherungsunternehmen kooperieren mit spezialisierten Cybersecurity-Anbietern wie Arctic Wolf, um ihren Kunden bei der Risikobewertung und Prävention zu helfen.

Damit entsteht ein neues Ökosystem: Die Versicherungspolice wird zum Bindeglied zwischen Risikomanagement und operativer Sicherheit. Der gemeinsame Nenner lautet „Resilienz“. Versicherer wollen verstehen, wie ein Unternehmen Angriffe erkennt, wie schnell es reagieren kann und wie gut Mitarbeitende geschult sind. Umgekehrt profitieren Unternehmen von dieser Entwicklung, weil die Anforderungen der Versicherer oft eine Art Benchmark für gute Sicherheitspraktiken darstellen.

Der Effekt ist positiv: Prävention wird messbar, und Sicherheit erhält einen direkten finanziellen Wert.

Wenn Vertrauen zum Wettbewerbsfaktor wird

Trotz aller Professionalisierung bleibt ein sensibles Thema bestehen: das Vertrauen zwischen Versicherern und Versicherten. Nur ein kleiner Teil der Unternehmen macht tatsächlich Gebrauch von seiner Cyberversicherung – häufig aus Sorge, eine Schadenmeldung könnte die nächste Prämienrunde verteuern.

Zudem zeigt sich, dass viele Organisationen ihre Policen nicht vollständig verstehen. Häufig werden Vorfälle abgelehnt, weil sie nicht unter die Vertragsbedingungen fallen oder die Deckungssumme zu niedrig angesetzt wurde. Ein regelmäßiger Abgleich zwischen tatsächlicher Risikoexposition und Versicherungsumfang ist daher unerlässlich.

Wer den Dialog mit dem Versicherer sucht, klare Zuständigkeiten festlegt und dokumentiert, welche Maßnahmen ergriffen wurden, erhöht nicht nur seine Chancen auf faire Konditionen, sondern schafft auch Transparenz und Vertrauen auf beiden Seiten. Genau das ist im komplexen Umfeld digitaler Risiken essenziell.

Besonderheiten in der DACH-Region

Im deutschsprachigen Raum ist das Bewusstsein für Cyberrisiken besonders hoch. Das wird unter anderem durch die Tatsache deutlich, dass hier im weltweiten Vergleich die meisten Cyberversicherungen abgeschlossen werden. Doch ebenso hoch sind die Anforderungen an Versicherungsnehmer: Während in anderen Regionen fehlende Sicherheitskontrollen der Hauptgrund für Ablehnungen sind, spielt hierzulande zunehmend auch die wirtschaftliche Stabilität eine Rolle.

Außerdem liegt die Zahl der gemeldeten Ransomware-Fälle in Deutschland, Österreich und der Schweiz mit 22 Prozent über dem globalen Durchschnitt von 18 Prozent. Das zeigt, dass die Bedrohung real bleibt, auch für Unternehmen mit hohen Sicherheitsstandards. Cyberversicherungen werden daher immer stärker zu einem festen Bestandteil der unternehmerischen Resilienzstrategie – vorausgesetzt, Prävention (allem voran in Form von Back-ups, E-Mail-Sicherheit und Netzwerksicherheit) und Governance sind in die Geschäftsprozesse integriert.

Besonders für mittelständische Unternehmen bleibt die Lage herausfordernd: Sie gelten als bevorzugtes Ziel von Angreifern, verfügen aber selten über eigene Security-Teams. Viele greifen daher auf externe Partner oder Managed-Security-Angebote zurück – nicht nur, um Angriffe abzuwehren, sondern auch, um gegenüber Versicherern den geforderten Nachweis eines funktionierenden Sicherheitsbetriebs zu erbringen.

Fazit

Cyberversicherungen bleiben ein zentrales Instrument moderner Unternehmenssicherheit – aber sie funktionieren nur in Verbindung mit einem hohen Maß an Eigenverantwortung. Prävention ist kein „Nice-to-Have“, sondern mittlerweile eine Bedingung für Versicherbarkeit.

Wer seine Sicherheitsarchitektur konsequent aufbaut, Risiken dokumentiert und die Zusammenarbeit zwischen IT, Management und Versicherer sucht, schafft Vertrauen und senkt langfristig seine Gesamtkosten. Damit entwickelt sich die Cyberversicherung vom reinen Rettungsschirm zum strategischen Partner und Prävention wird endgültig zur Policenpflicht.

Autor: Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf