Stand: April 2026
Digitale Angriffe auf Unternehmen sind laengst kein Randphaenomen mehr. Die Schadensumme, die der deutschen Wirtschaft im Jahr 2025 durch Cyberkriminalitaet, Spionage und Sabotage entstanden ist, lag bei ueber 200 Milliarden Euro — wobei der groesste Teil auf digitale Angriffe entfiel. Besonders alarmierend: Die Taeater suchen nicht gezielt nach Grossunternehmen. Automatisierte Programme durchkaemmen rund um die Uhr das Netz nach Schwachstellen und schlagen zu, wo immer sie fuendig werden. Ein Handwerksbetrieb mit zehn Mitarbeitern ist genauso betroffen wie ein Industriekonzern. Wer glaubt, zu klein oder zu uninteressant fuer Angreifer zu sein, unterschaetzt das Risiko erheblich.
Was eine Cyber-Versicherung abdeckt — und was nicht
Eine Cyber-Versicherung ist eine spezielle Zusatzpolice, die finanzielle Folgeschaeden nach digitalen Sicherheitsvorfaellen abfedert. Sie tritt ein, wenn Ihre IT-Systeme kompromittiert werden, sensible Daten abfliessen oder Ihr Betrieb durch einen Angriff zum Stillstand kommt. Dabei handelt es sich nicht um einen Ersatz fuer technische Schutzmassnahmen, sondern um eine Ergaenzung: Die Versicherung deckt das wirtschaftliche Restrisiko ab, das trotz funktionierender Sicherheitsarchitektur verbleibt.
Die Leistungsbausteine einer solchen Police umfassen typischerweise folgende Bereiche:
- Betriebsunterbrechungsschaeden. Wenn ein Angriff Ihre Systeme fuer Tage oder Wochen lahmlegt, entstehen Umsatzausfaelle, die existenzbedrohend sein koennen. Die Versicherung erstattet den entgangenen Gewinn und laufende Fixkosten waehrend der Ausfallzeit. Beispiel: Ein mittelstaendischer Onlinehaendler verliert durch eine Verschluesselungsattacke fuer acht Tage den Zugriff auf sein Warenwirtschaftssystem. Die taeglichen Umsatzausfaelle von rund 12.000 Euro summieren sich auf knapp 100.000 Euro.
- Wiederherstellung von Daten und Systemen. IT-Forensiker muessen die Angriffsursache identifizieren, befallene Systeme bereinigen und Daten aus Backups rekonstruieren. Diese Kosten werden uebernommen, auch wenn Daten durch Schadsoftware unwiederbringlich beschaedigt wurden.
- Haftungsansprueche gegenueber Dritten. Gelangen durch einen Angriff auf Ihr Unternehmen personenbezogene Daten Ihrer Kunden oder Lieferanten in falsche Haende, koennen diese Schadensersatzforderungen gegen Sie geltend machen. Die Cyber-Police deckt solche Drittschaeden einschliesslich der Verteidigungskosten ab.
- Datenschutzrechtliche Kosten. Ein Datenschutzvorfall loest Meldepflichten nach der DSGVO aus und kann zu behoerdlichen Untersuchungen fuehren. Anwaltskosten, Bussgelder und die Kosten fuer die vorgeschriebene Benachrichtigung betroffener Personen werden je nach Police uebernommen.
- Erpressung und Loesegeld. Bei Ransomware-Angriffen fordern die Taeater haeufig Zahlungen fuer die Entschluesselung Ihrer Daten. Einige Versicherer uebernehmen unter bestimmten Bedingungen die Loesegeldzahlung oder die Kosten fuer Verhandlungsspezialisten.
- Krisenkommunikation und Reputationsschutz. Nach einem oeffentlich bekannt gewordenen Vorfall koennen PR-Beratung, Kundeninformation und Kreditueberwachungsdienste fuer betroffene Personen erhebliche Kosten verursachen. Diese Posten sind in besseren Tarifen mitversichert.
Achtung: Nicht versichert sind in aller Regel Schaeden, die durch vorsaetzliches Handeln des Versicherungsnehmers oder seiner Mitarbeiter entstehen, sowie Schaeden, die auf grobe Fahrlaessigkeit zurueckgehen — etwa wenn bekannte Sicherheitsluecken trotz Warnung nicht geschlossen wurden. Lesen Sie die Ausschlussklauseln genau.
Welche Unternehmen brauchen eine Cyber-Versicherung?
Die kurze Antwort: Jedes Unternehmen, das digitale Systeme nutzt oder personenbezogene Daten verarbeitet. Das schliesst praktisch alle Betriebe ein, vom Freelancer mit Laptop bis zum produzierenden Mittelstaendler mit vernetzter Fertigung.
Die laengere Antwort muss differenzieren. Besonders gefaehrdet sind Unternehmen mit folgenden Merkmalen: hoher Abhaengigkeit von IT-Systemen fuer den taeglichen Betrieb, Verarbeitung sensibler Kunden- oder Patientendaten, geringem IT-Sicherheitsbudget bei gleichzeitig wachsender Angriffsoberflaeche, sowie Branchen mit regulatorischen Auflagen wie Gesundheitswesen, Finanzdienstleistungen oder Energieversorgung.
Die Bedrohungslage spiegelt sich in den Zahlen: Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) registriert taeglich Hunderttausende neuer Schadsoftware-Varianten. Ransomware bleibt dabei die haeufigste Angriffsform. Rund ein Drittel der betroffenen Unternehmen hat laut Branchenerhebungen bereits Loesegeldzahlungen geleistet. Ein einzelner erfolgreicher Angriff kann bei einem kleinen Betrieb schnell fuenfstellige Kosten verursachen — und das ohne die schwer bezifferbaren Langzeitfolgen wie Vertrauensverlust bei Kunden und Geschaeftspartnern.
Praxisperspektive: Betrachten Sie die Cyber-Versicherung als Teil Ihres Risikomanagements, nicht als Luxus. Sie gehoert in dieselbe Kategorie wie die Betriebshaftpflicht oder die Feuerversicherung — also zu den Policen, die den Fortbestand Ihres Unternehmens im Ernstfall sichern.
Was eine Cyber-Versicherung kostet
Die Praemien fuer Cyber-Versicherungen variieren stark und haengen von einer Reihe individueller Faktoren ab. Eine belastbare Pauschalaussage ist daher nicht moeglich, wohl aber eine Einordnung der Groessenordnungen.
Fuer ein kleines Unternehmen mit bis zu 10 Mitarbeitern und einem Jahresumsatz unter 500.000 Euro beginnen die Praemien bei etwa 25 bis 40 Euro monatlich. Mittelstaendische Betriebe mit hoeherer Mitarbeiterzahl, komplexerer IT-Infrastruktur und groesserem Datenvolumen zahlen erfahrungsgemaess zwischen 1.000 und 5.000 Euro jaehrlich. Bei Unternehmen mit besonders sensiblen Daten oder regulierten Branchen koennen die Praemien auch darueber liegen.
Folgende Faktoren bestimmen die Praeamienhoehe massgeblich:
- Jahresumsatz und Mitarbeiterzahl. Groessere Unternehmen haben eine breitere Angriffsoberflaeche und hoehere potenzielle Schadsummen, was sich in der Praemie widerspiegelt.
- Branche und Art der verarbeiteten Daten. Ein Arztpraxis-Netzwerk mit Patientendaten wird anders bewertet als ein Bauunternehmen mit ueberwiegend technischen Zeichnungen. Je sensibler die Daten, desto hoeher das Risiko — und die Praemie.
- IT-Sicherheitsniveau. Unternehmen, die nachweislich in Schutzmassnahmen investieren — etwa Mehrfaktor-Authentifizierung, regelmaessige Backups, Mitarbeiterschulungen –, erhalten bei vielen Versicherern deutlich guenstigere Konditionen.
- Selbstbehalt und Deckungssumme. Ein hoeherer Selbstbehalt senkt die Praemie, erhoeht aber Ihr Risiko im Schadensfall. Die Deckungssumme sollte realistisch am maximal denkbaren Schaden ausgerichtet sein.
Auf dem deutschen Markt bieten mittlerweile ueber 40 Versicherungsgesellschaften Cyber-Policen an. Ein Vergleich ueber einen unabhaengigen Makler kann sich bezahlt machen — sowohl bei der Praemienhoehe als auch bei den Vertragsbedingungen.
NIS-2: Neue gesetzliche Pflichten seit Dezember 2025
Am 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland in Kraft getreten. Dieses Gesetz uebertraegt die europaeische NIS-2-Richtlinie in deutsches Recht und weitet den Kreis der Unternehmen, die verbindliche Cybersicherheitsstandards einhalten muessen, erheblich aus. Nach Schaetzungen fallen rund 29.000 bis 30.000 Organisationen unter die neuen Regelungen.
Die wesentlichen Aenderungen betreffen drei Bereiche:
- Erweiterte Pflichten. Betroffene Unternehmen muessen technische und organisatorische Sicherheitsmassnahmen nachweisen — darunter Risikoanalysen, Notfallplaene, regelmaessige Mitarbeiterschulungen und dokumentierte Sicherheitsprozesse.
- Meldepflichten. Sicherheitsvorfaelle muessen innerhalb festgelegter Fristen an die zustaendigen Behoerden gemeldet werden. Die Fristen sind kurz und lassen wenig Spielraum.
- Verschaerfte Sanktionen. Bei Verstoessen gegen die Sicherheitspflichten drohen Bussgelder von 100.000 bis zu 10.000.000 Euro. Das ist keine theoretische Drohung — die Behoerden bauen ihre Pruefkapazitaeten aus.
Fuer die Cyber-Versicherung hat NIS-2 eine unmittelbare Konsequenz: Versicherer pruefen zunehmend, ob Antragsteller die gesetzlichen Sicherheitsanforderungen erfuellen. Unternehmen, die die NIS-2-Vorgaben nicht umgesetzt haben, riskieren hoehere Praemien, eingeschraenkten Versicherungsschutz oder sogar die Ablehnung ihres Antrags. Die Umsetzung der NIS-2-Anforderungen und der Abschluss einer Cyber-Versicherung sollten daher als zusammengehoerende Massnahmen betrachtet werden.
Checkliste: Worauf Sie vor dem Vertragsabschluss achten sollten
Der Abschluss einer Cyber-Versicherung erfordert Vorbereitung. Markterhebungen zeigen, dass nahezu jeder dritte Antrag von Versicherern abgelehnt wird — weil die IT-Sicherheitsstandards des Unternehmens nicht den Anforderungen genuegen. Mit einer systematischen Vorbereitung lassen sich die Chancen auf einen Vertragsabschluss zu guenstigen Konditionen deutlich erhoehen.
- IT-Sicherheit dokumentieren. Erstellen Sie vor dem Antrag eine Bestandsaufnahme Ihrer Sicherheitsmassnahmen: Firewall-Konfiguration, Backup-Strategie, Patch-Management, Zugangskontrollen, Mitarbeiterschulungen. Je vollstaendiger Ihre Dokumentation, desto besser Ihre Verhandlungsposition.
- Deckungssummen und Sublimits pruefen. Achten Sie nicht nur auf die Gesamtdeckungssumme, sondern auch auf Einzellimits fuer Betriebsunterbrechung, Erpressung und Drittschaeden. Ein Vertrag mit 500.000 Euro Gesamtdeckung nuetzt wenig, wenn das Sublimit fuer Betriebsausfall bei 50.000 Euro liegt.
- Ausschluesse verstehen. Lesen Sie die Ausschlussklauseln sorgfaeltig. Haeufig ausgeschlossen sind: Schaeden durch Krieg oder staatliche Cyberangriffe, Verluste aus nicht gepatchten bekannten Schwachstellen sowie Schaeden durch vorsaetzliches Fehlverhalten.
- Service-Leistungen bewerten. Die besten Policen bieten nicht nur Geldzahlungen, sondern auch operativen Beistand: Zugang zu IT-Forensikern, Rechtsanwaelten mit Datenschutzexpertise und Krisenkommunikationsberatern, die im Ernstfall sofort verfuegbar sind.
- Praeventionsangebote nutzen. Manche Versicherer bieten ihren Kunden Sicherheitstrainings, Schwachstellen-Scans oder Beratungsleistungen an. Solche Zusatzangebote koennen den Wert der Police ueber die reine Schadensabdeckung hinaus steigern.
Praktischer Hinweis: Eine Bestandsaufnahme der eigenen IT-Sicherheit vor dem Versicherungsabschluss zahlt sich gleich doppelt aus: Sie erhoehen Ihre Chance auf einen Vertragsabschluss und senken in der Regel gleichzeitig die Praemie. Viele Unternehmen stellen bei dieser Gelegenheit fest, dass bereits mit ueberschaubarem Aufwand deutliche Verbesserungen moeglich sind.
Haeufig gestellte Fragen
Welche Schaeden werden durch eine Cyber-Versicherung erstattet?
Die Police springt bei Eigen- und Drittschaeden ein, die durch Cyberangriffe, technisches Versagen oder menschliche Fehler im digitalen Bereich entstehen. Konkret abgedeckt sind typischerweise: Umsatzausfaelle durch Betriebsstillstand, Kosten fuer Datenrettung und Systemwiederherstellung, Haftpflichtansprueche geschaedigter Dritter, Anwalts- und Beratungskosten bei Datenschutzvorfaellen sowie Aufwendungen fuer Krisenkommunikation. Der exakte Leistungsumfang variiert je nach Tarif und Anbieter — ein genauer Vertragsvergleich ist daher unverzichtbar.
Ist eine Cyber-Versicherung auch fuer kleine Betriebe sinnvoll?
Gerade fuer kleine Betriebe kann ein einziger erfolgreicher Angriff existenzbedrohend sein, weil die finanziellen Reserven fuer Wiederherstellungskosten, Betriebsausfaelle und Rechtsstreitigkeiten oft nicht ausreichen. Die Praemien fuer Kleinunternehmen beginnen bei etwa 300 Euro jaehrlich — ein Betrag, der sich relativiert, wenn man bedenkt, dass bereits ein einwoechiger Systemausfall bei einem kleinen Dienstleister leicht 15.000 bis 30.000 Euro an Schaeden verursachen kann.
Was hat NIS-2 mit meiner Cyber-Versicherung zu tun?
Das NIS-2-Umsetzungsgesetz verpflichtet seit Dezember 2025 einen deutlich erweiterten Kreis von Unternehmen zur Einhaltung verbindlicher Cybersicherheitsstandards. Versicherer orientieren sich zunehmend an diesen gesetzlichen Vorgaben: Wer die NIS-2-Anforderungen nicht erfuellt, muss mit hoeheren Praemien, eingeschraenktem Versicherungsschutz oder der Ablehnung des Antrags rechnen. Ob Ihr Unternehmen unter die NIS-2-Regelungen faellt, sollten Sie mit einem Fachberater klaeren.
Was geschieht ohne Cyber-Versicherung im Angriffsfall?
Ohne Versicherungsschutz tragen Sie saemtliche Folgekosten selbst: Datenwiederherstellung, Betriebsausfall, Anwaltskosten bei Schadensersatzforderungen Dritter, moegliche Bussgelder wegen DSGVO-Verstoessen sowie Kosten fuer Krisenkommunikation. Hinzu kommt der oft unterschaetzte Reputationsschaden: Wenn Kunden oder Geschaeftspartner von einem Datenverlust erfahren, kann der resultierende Vertrauensverlust zu Umsatzeinbussen fuehren, die den unmittelbaren Schaden noch uebersteigen.
Welche IT-Sicherheitsstandards verlangen Versicherer vor Vertragsabschluss?
Die Anforderungen variieren je nach Anbieter, umfassen aber haeufig: Mehrfaktor-Authentifizierung fuer alle externen Zugaenge, regelmaessiges Patch-Management fuer Betriebssysteme und Anwendungen, eine dokumentierte Backup-Strategie mit regelmaessigen Tests der Wiederherstellbarkeit, Mitarbeiterschulungen zu Phishing und Social Engineering sowie eine klare Zustaendigkeitsregelung fuer IT-Sicherheit im Unternehmen. Unternehmen, die diese Basisstandards nicht erfuellen, werden zunehmend abgelehnt.
Lassen sich die Praemien fuer eine Cyber-Versicherung steuerlich absetzen?
Ja, die Praemien fuer eine Cyber-Versicherung sind als Betriebsausgabe steuerlich absetzbar, sofern die Versicherung betrieblich veranlasst ist — was bei einer Unternehmenspolice regelmaessig der Fall ist. Die Praemie mindert den steuerlichen Gewinn und damit die Steuerbelastung. Bei einer jaehrlichen Praemie von beispielsweise 1.200 Euro und einem kombinierten Steuersatz von 30 Prozent liegt die tatsaechliche Nettobelastung bei rund 840 Euro. Sprechen Sie die Buchung mit Ihrem Steuerberater ab.
Stand: April 2026
Hinweis: Dieser Artikel dient ausschliesslich der allgemeinen Information und stellt keine steuerliche oder rechtliche Beratung dar. Sachverhalte sind individuell verschieden. Fuer verbindliche Auskuenfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt. Trotz sorgfaeltiger Recherche uebernehmen wir keine Gewaehr fuer die Vollstaendigkeit und Aktualitaet der Angaben.
TABAK Steuerberatung – Augustaanlage 33, 68165 Mannheim
