Die drei häufigsten Fehler beim Abschluss einer Cyber-Versicherung
Wir sehen die gleichen Fehler in fast jedem Mandat. Wer sie kennt, spart sich nicht nur Prämie, sondern bekommt im Schadenfall auch tatsächlich Geld.
Cyber-Policen sind in den letzten zwei Jahren teurer und gleichzeitig restriktiver geworden. Versicherer haben aus den Schadenwellen 2021–2023 gelernt — und die Bedingungen entsprechend angepasst. Wer heute einen Vertrag aus 2022 hat, ist im Schadenfall häufig schlechter gestellt, als er denkt.
Aus unseren Mandaten sehen wir drei Muster wiederkehrend:
1. „Versichert über die Betriebshaftpflicht” — oft ein Mythos
Klassische Betriebshaftpflichten enthalten manchmal Cyber-Klauseln. Diese decken aber regelmäßig nur die Haftung gegenüber Dritten — also Schäden, die Sie verursachen. Die deutlich größere Schadenkategorie — Wiederherstellungskosten, Betriebsunterbrechung, Forensik, Krisenmanagement, ggf. Lösegeld — ist dort fast nie enthalten.
Was wir empfehlen: Eine eigenständige Cyber-Police. Punkt. Wer aus Kostengründen auf Klauseln in bestehenden Verträgen vertraut, riskiert im Ernstfall die Insolvenz.
2. Die Antworten im Risikofragebogen wurden nie verifiziert
Versicherer fragen beim Abschluss zwischen 30 und 80 Punkte ab — von Backup-Strategie bis Patch-Frequenz. Häufig füllt die IT die Antworten aus, die Geschäftsführung unterschreibt, und niemand prüft, ob die Realität zu den Antworten passt.
Im Schadenfall passiert dann Folgendes: Der Versicherer prüft, ob die im Fragebogen angegebenen Schutzmaßnahmen tatsächlich umgesetzt waren. Findet er Lücken — etwa fehlende MFA, obwohl im Fragebogen „ja” stand — kann er kürzen oder sogar komplett ablehnen. Das passiert in der Praxis häufiger, als die meisten denken.
Was wir empfehlen: Vor Vertragsabschluss einmal sauber durchprüfen, was tatsächlich umgesetzt ist. Wer ehrliche Antworten gibt, bekommt vielleicht eine etwas teurere Police — aber im Schadenfall zahlt sie auch.
3. Deckungssummen aus dem Bauch geheraus gewählt
„1 Million reicht doch dicke” — diesen Satz hören wir oft. Tatsächlich ist die Deckungssumme aber das Ergebnis einer Risikobetrachtung: Wie hoch sind die Wiederherstellungskosten? Was kostet ein Tag Stillstand? Wie groß ist die potenzielle Haftung gegenüber Dritten (Datenschutzverstöße, vertragliche Schäden)?
Bei einem 50-Personen-Unternehmen mit moderner IT sind realistische Schäden bei einem Verschlüsselungs-Trojaner schnell im Bereich von 200.000 bis 500.000 Euro — ohne Berücksichtigung von Reputation oder Folgegeschäft.
Was wir empfehlen: Eine grobe Schaden-Schätzung als Basis. Lieber etwas höhere Selbstbeteiligung und realistische Deckungssumme, als das Umgekehrte.
Was Sie konkret tun können
Wenn Sie sich bei einem dieser Punkte unsicher sind: Buchen Sie einen Quick-Check. Sie bekommen eine ehrliche Einschätzung, ohne dass Sie eine Police über uns abschließen müssen. Wir empfehlen Ihnen das Setup; ob Sie es bei uns oder bei Ihrem bestehenden Makler umsetzen, ist Ihre Entscheidung.