Stand: März 2026
Der Gesamtschaden für die deutsche Wirtschaft lag 2025 bei 289,2 Milliarden Euro – rund 70 Prozent davon sind auf Cyberangriffe zurückzuführen. Hinter dieser Zahl stecken keine abstrakten Risiken, sondern reale Betriebsunterbrechungen, gestohlene Kundendaten und Erpressungsversuche, die Unternehmen jeder Größe treffen. Knapp 9 von 10 Unternehmen (87 Prozent) berichten von Diebstahl von Daten und IT-Geräten, digitaler und analoger Industriespionage oder Sabotage. Wer als Unternehmer glaubt, zu klein oder zu unbekannt für Hacker zu sein, irrt sich. Die Angreifer suchen nicht gezielt nach Namen – sie suchen nach Schwachstellen. Und die finden sie überall.
Was ist eine Cyber-Versicherung – und was leistet sie konkret?
Eine Cyberversicherung ist eine Zusatzversicherung für Unternehmen, die finanzielle Schäden durch Cyberangriffe abdeckt – darunter Betriebsunterbrechungen, Datenwiederherstellung, Haftpflichtansprüche Dritter und Kosten für Krisenmanagement. Der entscheidende Punkt: Sie ist kein Ersatz für IT-Sicherheit, sondern ergänzt ein bestehendes Schutzkonzept um die finanzielle Absicherung des Restrisikos.
Eine Cyber-Versicherung schützt Unternehmen vor den finanziellen Verlusten von Angriffen aus dem Internet – insbesondere wenn sensible Firmen- oder Kundendaten im Spiel sind. Die Versicherung greift bei verschiedenen Cyber-Risiken, einschließlich Viren auf dem Firmenserver oder Datenklau durch Hacker-Angriffe. Nicht nur externe Risiken sind abgedeckt: Versichert sind auch finanzielle Schäden durch eigene Mitarbeiter. Das ist ein Aspekt, den viele Unternehmer unterschätzen – Phishing-Angriffe oder unbedachte Klicks auf infizierte E-Mail-Anhänge zählen zu den häufigsten Einfallstoren.
Typische Leistungsbausteine einer Cyber-Versicherung für Unternehmen umfassen:
- Eigenschäden und Betriebsunterbrechung. Ein häufiges Risiko stellt die Cyber-Betriebsunterbrechung dar. Gelingt es Hacker-Angriffen, alle Systeme lahmzulegen, verursacht das in Firmen hohe Schäden. Unternehmer profitieren von der Versicherung, da sie für einen Ersatz der entgangenen Umsätze sorgt.
- Datenwiederherstellung. Bei einem Cyberangriff, der zum Verlust von Daten führt, bietet die Cyberversicherung Hilfe bei der Wiederherstellung der Daten, auch wenn diese durch Ransomware oder Malware beschädigt wurden.
- Haftpflichtansprüche Dritter. Wenn ein Unternehmen aufgrund eines Cyberangriffs Schaden bei Dritten verursacht, deckt die Cyberversicherung Haftpflichtansprüche.
- Rechtsberatung und DSGVO-Kosten. Wenn das Unternehmen aufgrund eines Cyberangriffs gegen gesetzliche Anforderungen wie die Datenschutz-Grundverordnung (DSGVO) verstößt, übernimmt die Versicherung die Kosten für rechtliche Beratung und Verteidigung.
- Ransomware und Erpressung. Wenn ein Unternehmen durch Ransomware angegriffen wird und die Angreifer Lösegeld verlangen, übernimmt die Cyberversicherung unter bestimmten Umständen die Kosten der Erpressung, um den Betrieb wiederherzustellen.
- Krisenmanagement und Reputationsschutz. Eine gute Cyber-Versicherung deckt Zusatzkosten wie Krisenkommunikation, PR-Arbeit oder Kreditüberwachung betroffener Kunden – also genau das, was nach einem Angriff richtig teuer wird.
Wichtiger Hinweis: Ein einziger Cyberangriff kann für kleinere Unternehmen das finanzielle Aus bedeuten. Eine Cyber-Versicherung allein schützt nicht vor Angriffen – sie begrenzt jedoch den wirtschaftlichen Schaden im Ernstfall erheblich.
Wer braucht eine Cyber-Versicherung?
Die Notwendigkeit einer solchen Versicherung wächst angesichts der steigenden Komplexität und Häufigkeit von Cyberbedrohungen. Besonders kleine und mittelständische Unternehmen sind zunehmend Ziel von Angriffen, da sie oft weniger Ressourcen für eine umfassende IT-Sicherheit aufwenden können. Kurz gesagt: Wer IT-Systeme nutzt oder Daten verarbeitet, trägt ein Cyber-Risiko.
Hacker streuen in der Regel ihre Schadsoftware. Diese suchen automatisiert nach Schwachstellen und werden aktiv, sobald sie diese finden – egal, ob sie nun Teil eines größeren Unternehmens sind oder Einzelunternehmer. Der Trugschluss, nicht groß und interessant genug für Hacker zu sein, kann sehr teuer werden – und im schlimmsten Fall die Existenz eines Unternehmens bedrohen. Bereits eine Woche Betriebsunterbrechung kann bei einem mittleren Unternehmen zu finanziellen Schäden in fünfstelliger Höhe führen. Rechnet man die Folgekosten für Wiederherstellung der Daten, Krisenmanagement und Rechtsberatung hinzu, kann sich der Schaden leicht verdreifachen.
Ransomware ist die häufigste Bedrohung: 34 Prozent der Unternehmen waren betroffen, 15 Prozent haben bereits Lösegeld gezahlt. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) werden in Deutschland täglich rund 309.000 neue Malware-Varianten entdeckt – das entspricht etwa 215 pro Minute. Eine beunruhigende Dimension.
Wichtiger Hinweis: Inzwischen lautet die Frage für Unternehmen nicht, ob, sondern wann sie Opfer von Cyberkriminalität werden. Eine Cyber-Versicherung für Unternehmen gehört daher in eine durchdachte Risikoplanung – ähnlich wie eine Betriebshaftpflicht oder eine Berufsunfähigkeitsversicherung für Selbstständige.
Was kostet eine Cyber-Versicherung für Unternehmen?
Es lässt sich keine pauschale Aussage darüber treffen, wie viel eine Cyber-Versicherung kostet. Es kommt vielmehr darauf an, was die Versicherung leistet und wie hoch das Risiko des Versicherten ist. Einen Einfluss haben auch Selbstbeteiligung und Versicherungssumme. Eine gute Cyber-Versicherung für ein Unternehmen kostet ab 30 € im Monat. Der Jahresbetrag kann von 200 bis 1.000 Euro reichen – je nach Unternehmensgröße, Branche und gewünschtem Deckungsumfang.
Folgende Faktoren beeinflussen die Prämie maßgeblich:
- Unternehmensgröße und Jahresumsatz. Je größer das Unternehmen und je höher der Umsatz, desto umfangreicher das Risiko – und entsprechend höher die Prämie.
- Branche und Datenmenge. Bei einem Unternehmen, das zum Beispiel wenige Kunden hat, fällt der Schaden durch Cyber-Angriffe und Datenklau geringer aus als bei Unternehmen mit einem großen Kundenstamm.
- Vorhandene IT-Sicherheitsmaßnahmen. Manche Versicherer bieten Rabatte, wenn ein Unternehmen nachweist, dass es Maßnahmen ergriffen hat, um bestimmte Risiken zu minimieren.
- Selbstbehalt und Deckungssumme. Über die Vertragslaufzeit, den Leistungsumfang und den variablen Selbstbehalt lassen sich die Beiträge der Cyberversicherung senken.
Der Bedarf an Cyberversicherungen wächst: Über 40 Versicherer bieten auf dem deutschen Markt eine Cyberversicherung an. Eine Prüfung im Einzelfall – idealerweise gemeinsam mit einem unabhängigen Versicherungsmakler – ist empfehlenswert, um das passende Angebot zu finden.
Neue gesetzliche Anforderungen: NIS-2 und die Folgen für Unternehmen
Am 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland in Kraft getreten. Das Gesetz überträgt die Vorgaben der europäischen NIS-2-Richtlinie in nationales Recht und erweitert deutlich den Kreis der Unternehmen und öffentlichen Einrichtungen, die zur Einhaltung verbindlicher Cybersicherheits- und Meldepflichten verpflichtet sind. Schätzungen zufolge sind ca. 29.000 bis 30.000 „wesentliche” oder „wichtige” Einrichtungen betroffen.
Das Gesetz sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen vor sowie schärfere Sanktionen bei Verstößen. Verstöße gegen Cybersicherheitspflichten sollen streng sanktioniert werden. Für Verstöße sind nach dem deutschen Umsetzungsgesetz Geldbußen von 100.000 bis zu 10 Millionen Euro vorgesehen. Das ist keine theoretische Drohkulisse – die Behörden werden zunehmend aktiv.
Für Unternehmen, die unter NIS-2 fallen, ergeben sich damit zwei parallele Handlungsfelder: die technisch-organisatorische Umsetzung der Sicherheitspflichten auf der einen Seite – und die finanzielle Absicherung des verbleibenden Restrisikos durch eine Cyber-Versicherung auf der anderen. Versicherer prüfen heute genauer: Wenn ein Unternehmen die NIS-2-Vorgaben nicht erfüllt, etwa durch fehlende Risikoanalysen oder Schulungen, kann der Versicherungsschutz sinken.
Worauf Sie beim Abschluss achten sollten
Cyberversicherungen sind kein Selbstläufer mehr: Laut dem MRTK Cyber-Monitor 2025 wird fast jeder dritte Antrag abgelehnt – weil Unternehmen die gestiegenen IT-Sicherheitsanforderungen der Versicherer nicht erfüllen. Eine sorgfältige Vorbereitung vor dem Vertragsabschluss kann sich daher lohnen.
Versicherer verlangen nachweisbare Sicherheitsmaßnahmen – von Mehrfaktor-Authentifizierung (MFA) über Patch-Management bis zur Backup-Strategie. Ohne aktuelle Dokumentation drohen im Schadensfall Leistungskürzungen oder sogar die Ablehnung der Regulierung.
Bei der Auswahl eines Tarifs lohnt ein genauer Blick auf folgende Punkte:
- Deckungssumme und Sublimits. Prüfen Sie nicht nur die Gesamtsumme, sondern auch Einzellimits für Betriebsunterbrechung, Lösegeldzahlungen und Drittschäden.
- Ausschlüsse im Kleingedruckten. Eine Cyberversicherung deckt unter anderem keine Schäden ab, die das Unternehmen oder seine Mitarbeiter absichtlich verursacht haben, sowie Schäden durch Fahrlässigkeit, wenn Systeme trotz Sicherheitshinweisen nicht aktuell gehalten werden.
- Service im Ernstfall. Prüfen Sie, welche Unterstützung die Versicherung im Schadensfall und bei der Schadensprävention bietet – zum Beispiel Rechtsberatung durch Experten.
- Zusatzleistungen und Prävention. Einige Versicherer bieten zusätzlich Leistungen wie Cybersecurity-Trainings für Mitarbeiter oder Beratung zu Sicherheitsmaßnahmen und Risikomanagement an, um das Unternehmen besser gegen Cybergefahren abzusichern.
Laut dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erfüllen mehr als zwei Drittel der befragten Unternehmen nicht einmal die Basiskriterien für IT-Sicherheit. Das bedeutet im Umkehrschluss: Wer in IT-Sicherheit und -Dokumentation investiert, hat nicht nur bessere Chancen auf einen Vertragsabschluss, sondern zahlt auch weniger. Eine Prüfung des eigenen IT-Sicherheitsniveaus vor dem Versicherungsabschluss kann sich also in mehrfacher Hinsicht rechnen.
Wichtiger Hinweis: Eine Cyber-Versicherung für Unternehmen ist kein Ersatz für eine solide IT-Sicherheitsstrategie. Beide Bausteine ergänzen sich. Laut Marktbeobachtungen haben Cybervorfälle im Jahr 2025 deutlich zugenommen, während die Prämien im Schnitt gesunken sind – ein Zeichen dafür, dass der Markt reifer wird und Policen passgenauer gestaltet werden. Eine individuelle Beratung ist dennoch empfehlenswert.
Häufig gestellte Fragen
Was deckt eine Cyber-Versicherung für Unternehmen ab?
Eine Cyberversicherung deckt Eigen- und Drittschäden ab, die durch Cyberkriminalität oder technische und menschliche Fehler entstehen. Dazu zählen typischerweise Kosten für Datenwiederherstellung, Betriebsunterbrechungen, Haftpflichtansprüche von Kunden oder Partnern, Rechtsberatung bei DSGVO-Verstößen sowie Krisenmanagement und PR-Maßnahmen nach einem Angriff.
Für welche Unternehmen ist eine Cyber-Versicherung sinnvoll?
Eine Cyber-Versicherung ist eine Versicherung für Unternehmen, Selbstständige und Freiberufler, die vor hohen Kosten infolge von Cyber-Angriffen schützt. Grundsätzlich gilt: Jedes Unternehmen, das IT-Systeme nutzt oder personenbezogene Daten verarbeitet, trägt ein Cyber-Risiko. Besonders kleine und mittelständische Unternehmen sind zunehmend Ziel von Angriffen, da sie oft weniger Ressourcen für eine umfassende IT-Sicherheit aufwenden können.
Was kostet eine Cyber-Versicherung für ein kleines Unternehmen?
Eine gute Cyber-Versicherung für ein Unternehmen kostet ab 30 € im Monat. Es lässt sich keine pauschale Aussage treffen, wie viel eine Cyber-Versicherung kostet. Es kommt vielmehr darauf an, was die Versicherung leistet und wie hoch das Risiko des Versicherten ist. Umsatz, Mitarbeiterzahl, Branche und Selbstbehalt beeinflussen die Prämie maßgeblich. Ein Vergleich mehrerer Anbieter ist empfehlenswert.
Was ist NIS-2 und was bedeutet es für meine Cyber-Versicherung?
Am 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland in Kraft getreten. Das Gesetz erweitert deutlich den Kreis der Unternehmen und öffentlichen Einrichtungen, die zur Einhaltung verbindlicher Cybersicherheits- und Meldepflichten verpflichtet sind. Versicherer prüfen heute genauer: Wenn ein Unternehmen die NIS-2-Vorgaben nicht erfüllt, kann der Versicherungsschutz sinken. Ob Ihr Unternehmen betroffen ist, sollte mit einem Steuer- oder Rechtsberater geprüft werden.
Was passiert, wenn ich keine Cyber-Versicherung habe und angegriffen werde?
Ohne Versicherungsschutz tragen Sie alle Folgekosten selbst: Datenwiederherstellung, Betriebsausfall, Anwaltskosten bei Schadensersatzforderungen und mögliche Bußgelder nach der DSGVO. Bereits eine Woche Betriebsunterbrechung kann bei einem mittleren Unternehmen zu finanziellen Schäden in fünfstelliger Höhe führen. Rechnet man die Folgekosten für Wiederherstellung der Daten, Krisenmanagement und Rechtsberatung hinzu, kann sich der Schaden leicht verdreifachen.
Welche Voraussetzungen stellen Versicherer vor dem Vertragsabschluss?
Versicherer verlangen nachweisbare Sicherheitsmaßnahmen – von Mehrfaktor-Authentifizierung (MFA) über Patch-Management bis zur Backup-Strategie. Laut dem MRTK Cyber-Monitor 2025 wird fast jeder dritte Antrag auf eine Cyberversicherung abgelehnt, weil Unternehmen die gestiegenen IT-Sicherheitsanforderungen der Versicherer nicht erfüllen. Eine Bestandsaufnahme der eigenen IT-Sicherheit vor dem Antrag kann sich daher lohnen.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine steuerliche oder rechtliche Beratung dar. Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.
TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin & Steuerberaterin: Fatma Tabak-Özkul
