Stand: April 2026
Digitale Angriffe auf Unternehmen sind längst kein Randphänomen mehr. Die Schadensumme, die der deutschen Wirtschaft im Jahr 2025 durch Cyberkriminalität, Spionage und Sabotage entstanden ist, lag bei über 200 Milliarden Euro — wobei der größte Teil auf digitale Angriffe entfiel. Besonders alarmierend: Die Täter suchen nicht gezielt nach Großunternehmen. Automatisierte Programme durchkämmen rund um die Uhr das Netz nach Schwachstellen und schlagen zu, wo immer sie fündig werden. Ein Handwerksbetrieb mit zehn Mitarbeitern ist genauso betroffen wie ein Industriekonzern. Wer glaubt, zu klein oder zu uninteressant für Angreifer zu sein, unterschätzt das Risiko erheblich.
Was eine Cyber-Versicherung abdeckt — und was nicht
Eine Cyber-Versicherung ist eine spezielle Zusatzpolice, die finanzielle Folgeschäden nach digitalen Sicherheitsvorfällen abfedert. Sie tritt ein, wenn Ihre IT-Systeme kompromittiert werden, sensible Daten abfliessen oder Ihr Betrieb durch einen Angriff zum Stillstand kommt. Dabei handelt es sich nicht um einen Ersatz für technische Schutzmassnahmen, sondern um eine Ergänzung: Die Versicherung deckt das wirtschaftliche Restrisiko ab, das trotz funktionierender Sicherheitsarchitektur verbleibt.
Die Leistungsbausteine einer solchen Police umfassen typischerweise folgende Bereiche:
- Betriebsunterbrechungsschäden. Wenn ein Angriff Ihre Systeme für Tage oder Wochen lahmlegt, entstehen Umsatzausfälle, die existenzbedrohend sein können. Die Versicherung erstattet den entgangenen Gewinn und laufende Fixkosten während der Ausfallzeit. Beispiel: Ein mittelständischer Onlinehändler verliert durch eine Verschlüsselungsattacke für acht Tage den Zugriff auf sein Warenwirtschaftssystem. Die täglichen Umsatzausfälle von rund 12.000 Euro summieren sich auf knapp 100.000 Euro.
- Wiederherstellung von Daten und Systemen. IT-Forensiker müssen die Angriffsursache identifizieren, befallene Systeme bereinigen und Daten aus Backups rekonstruieren. Diese Kosten werden übernommen, auch wenn Daten durch Schadsoftware unwiederbringlich beschädigt wurden.
- Haftungsansprüche gegenüber Dritten. Gelangen durch einen Angriff auf Ihr Unternehmen personenbezogene Daten Ihrer Kunden oder Lieferanten in falsche Hände, können diese Schadensersatzforderungen gegen Sie geltend machen. Die Cyber-Police deckt solche Drittschäden einschliesslich der Verteidigungskosten ab.
- Datenschutzrechtliche Kosten. Ein Datenschutzvorfall löst Meldepflichten nach der DSGVO aus und kann zu behördlichen Untersuchungen führen. Anwaltskosten, Bussgelder und die Kosten für die vorgeschriebene Benachrichtigung betroffener Personen werden je nach Police übernommen.
- Erpressung und Lösegeld. Bei Ransomware-Angriffen fordern die Täter häufig Zahlungen für die Entschlüsselung Ihrer Daten. Einige Versicherer übernehmen unter bestimmten Bedingungen die Lösegeldzahlung oder die Kosten für Verhandlungsspezialisten.
- Krisenkommunikation und Reputationsschutz. Nach einem öffentlich bekannt gewordenen Vorfall können PR-Beratung, Kundeninformation und Kreditüberwachungsdienste für betroffene Personen erhebliche Kosten verursachen. Diese Posten sind in besseren Tarifen mitversichert.
Achtung: Nicht versichert sind in aller Regel Schäden, die durch vorsätzliches Handeln des Versicherungsnehmers oder seiner Mitarbeiter entstehen, sowie Schäden, die auf grobe Fahrlässigkeit zurückgehen — etwa wenn bekannte Sicherheitslücken trotz Warnung nicht geschlossen wurden. Lesen Sie die Ausschlussklauseln genau.
Welche Unternehmen brauchen eine Cyber-Versicherung?
Die kurze Antwort: Jedes Unternehmen, das digitale Systeme nutzt oder personenbezogene Daten verarbeitet. Das schliesst praktisch alle Betriebe ein, vom Freelancer mit Laptop bis zum produzierenden Mittelständler mit vernetzter Fertigung.
Die längere Antwort muss differenzieren. Besonders gefährdet sind Unternehmen mit folgenden Merkmalen: hoher Abhängigkeit von IT-Systemen für den täglichen Betrieb, Verarbeitung sensibler Kunden- oder Patientendaten, geringem IT-Sicherheitsbudget bei gleichzeitig wachsender Angriffsoberfläche, sowie Branchen mit regulatorischen Auflagen wie Gesundheitswesen, Finanzdienstleistungen oder Energieversorgung.
Die Bedrohungslage spiegelt sich in den Zahlen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert täglich Hunderttausende neuer Schadsoftware-Varianten. Ransomware bleibt dabei die häufigste Angriffsform. Rund ein Drittel der betroffenen Unternehmen hat laut Branchenerhebungen bereits Lösegeldzahlungen geleistet. Ein einzelner erfolgreicher Angriff kann bei einem kleinen Betrieb schnell fünfstellige Kosten verursachen — und das ohne die schwer bezifferbaren Langzeitfolgen wie Vertrauensverlust bei Kunden und Geschäftspartnern.
Praxisperspektive: Betrachten Sie die Cyber-Versicherung als Teil Ihres Risikomanagements, nicht als Luxus. Sie gehört in dieselbe Kategorie wie die Betriebshaftpflicht oder die Feuerversicherung — also zu den Policen, die den Fortbestand Ihres Unternehmens im Ernstfall sichern.
Was eine Cyber-Versicherung kostet
Die Prämien für Cyber-Versicherungen variieren stark und hängen von einer Reihe individueller Faktoren ab. Eine belastbare Pauschalaussage ist daher nicht möglich, wohl aber eine Einordnung der Größenordnungen.
Für ein kleines Unternehmen mit bis zu 10 Mitarbeitern und einem Jahresumsatz unter 500.000 Euro beginnen die Prämien bei etwa 25 bis 40 Euro monatlich. Mittelständische Betriebe mit höherer Mitarbeiterzahl, komplexerer IT-Infrastruktur und größerem Datenvolumen zahlen erfahrungsgemäß zwischen 1.000 und 5.000 Euro jährlich. Bei Unternehmen mit besonders sensiblen Daten oder regulierten Branchen können die Prämien auch darüber liegen.
Folgende Faktoren bestimmen die Prämienhöhe massgeblich:
- Jahresumsatz und Mitarbeiterzahl. Größere Unternehmen haben eine breitere Angriffsoberfläche und höhere potenzielle Schadsummen, was sich in der Prämie widerspiegelt.
- Branche und Art der verarbeiteten Daten. Ein Arztpraxis-Netzwerk mit Patientendaten wird anders bewertet als ein Bauunternehmen mit überwiegend technischen Zeichnungen. Je sensibler die Daten, desto höher das Risiko — und die Prämie.
- IT-Sicherheitsniveau. Unternehmen, die nachweislich in Schutzmassnahmen investieren — etwa Mehrfaktor-Authentifizierung, regelmäßige Backups, Mitarbeiterschulungen –, erhalten bei vielen Versicherern deutlich günstigere Konditionen.
- Selbstbehalt und Deckungssumme. Ein höherer Selbstbehalt senkt die Prämie, erhöht aber Ihr Risiko im Schadensfall. Die Deckungssumme sollte realistisch am maximal denkbaren Schaden ausgerichtet sein.
Auf dem deutschen Markt bieten mittlerweile über 40 Versicherungsgesellschaften Cyber-Policen an. Ein Vergleich über einen unabhängigen Makler kann sich bezahlt machen — sowohl bei der Prämienhöhe als auch bei den Vertragsbedingungen.
NIS-2: Neue gesetzliche Pflichten seit Dezember 2025
Am 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland in Kraft getreten. Dieses Gesetz überträgt die europäische NIS-2-Richtlinie in deutsches Recht und weitet den Kreis der Unternehmen, die verbindliche Cybersicherheitsstandards einhalten müssen, erheblich aus. Nach Schätzungen fallen rund 29.000 bis 30.000 Organisationen unter die neuen Regelungen.
Die wesentlichen Änderungen betreffen drei Bereiche:
- Erweiterte Pflichten. Betroffene Unternehmen müssen technische und organisatorische Sicherheitsmassnahmen nachweisen — darunter Risikoanalysen, Notfallpläne, regelmäßige Mitarbeiterschulungen und dokumentierte Sicherheitsprozesse.
- Meldepflichten. Sicherheitsvorfälle müssen innerhalb festgelegter Fristen an die zuständigen Behörden gemeldet werden. Die Fristen sind kurz und lassen wenig Spielraum.
- Verschärfte Sanktionen. Bei Verstößen gegen die Sicherheitspflichten drohen Bussgelder von 100.000 bis zu 10.000.000 Euro. Das ist keine theoretische Drohung — die Behörden bauen ihre Prüfkapazitäten aus.
Für die Cyber-Versicherung hat NIS-2 eine unmittelbare Konsequenz: Versicherer prüfen zunehmend, ob Antragsteller die gesetzlichen Sicherheitsanforderungen erfüllen. Unternehmen, die die NIS-2-Vorgaben nicht umgesetzt haben, riskieren höhere Prämien, eingeschränkten Versicherungsschutz oder sogar die Ablehnung ihres Antrags. Die Umsetzung der NIS-2-Anforderungen und der Abschluss einer Cyber-Versicherung sollten daher als zusammengehörende Massnahmen betrachtet werden.
Checkliste: Worauf Sie vor dem Vertragsabschluss achten sollten
Der Abschluss einer Cyber-Versicherung erfordert Vorbereitung. Markterhebungen zeigen, dass nahezu jeder dritte Antrag von Versicherern abgelehnt wird — weil die IT-Sicherheitsstandards des Unternehmens nicht den Anforderungen genügen. Mit einer systematischen Vorbereitung lassen sich die Chancen auf einen Vertragsabschluss zu günstigen Konditionen deutlich erhöhen.
- IT-Sicherheit dokumentieren. Erstellen Sie vor dem Antrag eine Bestandsaufnahme Ihrer Sicherheitsmassnahmen: Firewall-Konfiguration, Backup-Strategie, Patch-Management, Zugangskontrollen, Mitarbeiterschulungen. Je vollständiger Ihre Dokumentation, desto besser Ihre Verhandlungsposition.
- Deckungssummen und Sublimits prüfen. Achten Sie nicht nur auf die Gesamtdeckungssumme, sondern auch auf Einzellimits für Betriebsunterbrechung, Erpressung und Drittschäden. Ein Vertrag mit 500.000 Euro Gesamtdeckung nützt wenig, wenn das Sublimit für Betriebsausfall bei 50.000 Euro liegt.
- Ausschlüsse verstehen. Lesen Sie die Ausschlussklauseln sorgfältig. Häufig ausgeschlossen sind: Schäden durch Krieg oder staatliche Cyberangriffe, Verluste aus nicht gepatchten bekannten Schwachstellen sowie Schäden durch vorsätzliches Fehlverhalten.
- Service-Leistungen bewerten. Die besten Policen bieten nicht nur Geldzahlungen, sondern auch operativen Beistand: Zugang zu IT-Forensikern, Rechtsanwälten mit Datenschutzexpertise und Krisenkommunikationsberatern, die im Ernstfall sofort verfügbar sind.
- Präventionsangebote nutzen. Manche Versicherer bieten ihren Kunden Sicherheitstrainings, Schwachstellen-Scans oder Beratungsleistungen an. Solche Zusatzangebote können den Wert der Police über die reine Schadensabdeckung hinaus steigern.
Praktischer Hinweis: Eine Bestandsaufnahme der eigenen IT-Sicherheit vor dem Versicherungsabschluss zahlt sich gleich doppelt aus: Sie erhöhen Ihre Chance auf einen Vertragsabschluss und senken in der Regel gleichzeitig die Prämie. Viele Unternehmen stellen bei dieser Gelegenheit fest, dass bereits mit überschaubarem Aufwand deutliche Verbesserungen möglich sind.
Häufig gestellte Fragen
Welche Schäden werden durch eine Cyber-Versicherung erstattet?
Die Police springt bei Eigen- und Drittschäden ein, die durch Cyberangriffe, technisches Versagen oder menschliche Fehler im digitalen Bereich entstehen. Konkret abgedeckt sind typischerweise: Umsatzausfälle durch Betriebsstillstand, Kosten für Datenrettung und Systemwiederherstellung, Haftpflichtansprüche geschädigter Dritter, Anwalts- und Beratungskosten bei Datenschutzvorfällen sowie Aufwendungen für Krisenkommunikation. Der exakte Leistungsumfang variiert je nach Tarif und Anbieter — ein genauer Vertragsvergleich ist daher unverzichtbar.
Ist eine Cyber-Versicherung auch für kleine Betriebe sinnvoll?
Gerade für kleine Betriebe kann ein einziger erfolgreicher Angriff existenzbedrohend sein, weil die finanziellen Reserven für Wiederherstellungskosten, Betriebsausfälle und Rechtsstreitigkeiten oft nicht ausreichen. Die Prämien für Kleinunternehmen beginnen bei etwa 300 Euro jährlich — ein Betrag, der sich relativiert, wenn man bedenkt, dass bereits ein einwöchiger Systemausfall bei einem kleinen Dienstleister leicht 15.000 bis 30.000 Euro an Schäden verursachen kann.
Was hat NIS-2 mit meiner Cyber-Versicherung zu tun?
Das NIS-2-Umsetzungsgesetz verpflichtet seit Dezember 2025 einen deutlich erweiterten Kreis von Unternehmen zur Einhaltung verbindlicher Cybersicherheitsstandards. Versicherer orientieren sich zunehmend an diesen gesetzlichen Vorgaben: Wer die NIS-2-Anforderungen nicht erfüllt, muss mit höheren Prämien, eingeschränktem Versicherungsschutz oder der Ablehnung des Antrags rechnen. Ob Ihr Unternehmen unter die NIS-2-Regelungen fällt, sollten Sie mit einem Fachberater klären.
Was geschieht ohne Cyber-Versicherung im Angriffsfall?
Ohne Versicherungsschutz tragen Sie sämtliche Folgekosten selbst: Datenwiederherstellung, Betriebsausfall, Anwaltskosten bei Schadensersatzforderungen Dritter, mögliche Bussgelder wegen DSGVO-Verstößen sowie Kosten für Krisenkommunikation. Hinzu kommt der oft unterschätzte Reputationsschaden: Wenn Kunden oder Geschäftspartner von einem Datenverlust erfahren, kann der resultierende Vertrauensverlust zu Umsatzeinbussen führen, die den unmittelbaren Schaden noch übersteigen.
Welche IT-Sicherheitsstandards verlangen Versicherer vor Vertragsabschluss?
Die Anforderungen variieren je nach Anbieter, umfassen aber häufig: Mehrfaktor-Authentifizierung für alle externen Zugänge, regelmäßiges Patch-Management für Betriebssysteme und Anwendungen, eine dokumentierte Backup-Strategie mit regelmäßigen Tests der Wiederherstellbarkeit, Mitarbeiterschulungen zu Phishing und Social Engineering sowie eine klare Zuständigkeitsregelung für IT-Sicherheit im Unternehmen. Unternehmen, die diese Basisstandards nicht erfüllen, werden zunehmend abgelehnt.
Lassen sich die Prämien für eine Cyber-Versicherung steuerlich absetzen?
Ja, die Prämien für eine Cyber-Versicherung sind als Betriebsausgabe steuerlich absetzbar, sofern die Versicherung betrieblich veranlasst ist — was bei einer Unternehmenspolice regelmäßig der Fall ist. Die Prämie mindert den steuerlichen Gewinn und damit die Steuerbelastung. Bei einer jährlichen Prämie von beispielsweise 1.200 Euro und einem kombinierten Steuersatz von 30 Prozent liegt die tatsächliche Nettobelastung bei rund 840 Euro. Sprechen Sie die Buchung mit Ihrem Steuerberater ab.
Stand: April 2026
Hinweis: Dieser Artikel dient ausschliesslich der allgemeinen Information und stellt keine steuerliche oder rechtliche Beratung dar. Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.
TABAK Steuerberatung – Augustaanlage 33, 68165 Mannheim
