Die Grenzen des digitalen Schutzschildes: Was Ihre Cyberversicherung nicht bezahlt

Wer sich als Unternehmer heute mit dem Thema IT-Sicherheit beschäftigt, kommt an einer Cyberversicherung kaum vorbei. Sie gilt als der letzte Rettungsanker, wenn Firewalls durchbrochen und Virenscanner ausgetrickst wurden. Das Gefühl der Sicherheit, das eine solche Police vermittelt, ist wichtig und berechtigt. Doch wie bei jeder Versicherung, sei es für das Auto, das Gebäude oder die Gesundheit, gibt es auch hier klare Grenzen.

Es ist ein Szenario, das wir unbedingt vermeiden wollen: Ein Schaden tritt ein, Sie melden ihn voller Vertrauen Ihrer Versicherung, und dann folgt die ernüchternde Nachricht, dass genau dieser Vorfall nicht abgedeckt ist. Um solche Enttäuschungen zu verhindern, ist es essenziell, nicht nur zu wissen, wovor eine Cyberversicherung schützt, sondern vor allem, wovor sie nicht schützt.

In diesem Artikel werfen wir einen detaillierten Blick in das „Kleingedruckte“ und die typischen Ausschlüsse. Wir tun dies nicht, um Sie zu verunsichern, sondern um Ihr Risikobewusstsein zu schärfen. Denn nur wer die Lücken kennt, kann sie schließen, sei es durch technische Maßnahmen oder durch eine präzise Anpassung des Versicherungsschutzes.

Grundprinzipien: Warum gibt es überhaupt Ausschlüsse?

Bevor wir in die spezifischen Details gehen, lohnt sich ein kurzer Blick auf die Logik von Versicherungen. Eine Versicherung funktioniert auf Basis der Risikoteilung für unvorhersehbare Ereignisse. Wenn ein Schaden mit an Sicherheit grenzender Wahrscheinlichkeit eintritt oder gar bewusst herbeigeführt wird, kann keine Versicherungswirtschaft der Welt dafür einstehen.

Ausschlüsse dienen dazu, das Verhalten der Versicherten positiv zu beeinflussen (Prävention) und unkalkulierbare Großrisiken (wie Kriege) auszuklammern. Für Sie als Versicherungsnehmer bedeutet das: Eine Cyberversicherung ist kein Freifahrtschein für Nachlässigkeit. Sie ersetzt nicht die IT-Sicherheit, sie ergänzt sie.

1. Fehlende Basissicherheit und Obliegenheitsverletzungen

Der wohl häufigste Grund, warum Versicherer im Schadensfall die Leistung kürzen oder verweigern, liegt in der sogenannten „Obliegenheitsverletzung“. Das klingt juristisch trocken, ist aber in der Praxis hochrelevant. Wenn Sie eine Cyberversicherung abschließen, versprechen Sie dem Versicherer (meist durch Beantwortung von Risikofragen), gewisse Sicherheitsstandards einzuhalten.

Veraltete Software und fehlende Patches

Stellen Sie sich vor, Sie lassen Ihre Haustür sperrangelweit offen stehen und wundern sich dann über einen Einbruch. In der digitalen Welt entspricht dies der Nutzung veralteter Software. Wenn Sie Systeme nutzen, für die der Hersteller keine Sicherheitsupdates mehr bereitstellt (End-of-Life), oder wenn Sie verfügbare kritische Sicherheitsupdates über Monate hinweg ignorieren, riskieren Sie Ihren Versicherungsschutz.

Die meisten Policen verlangen, dass kritische Patches innerhalb einer bestimmten Frist (oft wenige Tage oder Wochen nach Veröffentlichung) installiert werden. Wird ein Unternehmen gehackt, weil eine seit Monaten bekannte Lücke in einem Server klaffte, wird der Versicherer zu Recht fragen, warum diese „digitale Haustür“ nicht geschlossen wurde.

Mangelnde Datensicherung

Ransomware ist eine der größten Bedrohungen für KMU. Hacker verschlüsseln Ihre Daten und fordern Lösegeld. Die Versicherung übernimmt oft die Kosten für die Forensik und die Datenwiederherstellung. Das setzt aber voraus, dass es überhaupt etwas wiederherzustellen gibt.

Wenn Sie keine regelmäßigen Backups durchführen oder Ihre Backups dauerhaft mit dem Netzwerk verbunden sind (und somit ebenfalls verschlüsselt werden), haben Sie ein Problem. Eine funktionierende Backup-Strategie ist fast immer Vertragsbestandteil. Fehlt diese, greift der Schutz oft nicht. Mehr dazu finden Sie in unserem Artikel über Datensicherung und Cyberversicherung: Die Basics.

2. Vorsatz und grobe Fahrlässigkeit

Hier müssen wir genau differenzieren. „Vorsatz“ bedeutet, dass jemand einen Schaden absichtlich herbeiführt. Wenn Sie oder ein leitender Angestellter Ihr eigenes System sabotieren oder Daten löschen, zahlt natürlich keine Versicherung. Das ist Versicherungsbetrug oder zumindest mutwillige Zerstörung.

Komplizierter wird es bei der „groben Fahrlässigkeit“. Das ist mehr als ein einfaches Versehen. Ein Beispiel: Ein Mitarbeiter klebt sein Passwort auf einen Post-it-Zettel an den Monitor, der vom öffentlichen Empfangsbereich aus sichtbar ist. Oder: Ein Administrator deaktiviert bewusst die Firewall, weil sie „beim Arbeiten stört“, und vergisst, sie wieder zu aktivieren.

Früher führten solche Handlungen oft zum kompletten Verlust des Versicherungsschutzes. Die gute Nachricht: Moderne, leistungsstarke Cyberversicherungen für Unternehmen verzichten oft auf die Einrede der groben Fahrlässigkeit bis zu einer gewissen Schadenshöhe. Dennoch sollten Sie prüfen, ob Ihre Police diesen Verzicht enthält.

3. Bereits bekannte Sicherheitslücken und laufende Angriffe

Eine Versicherung können Sie nicht mehr abschließen, wenn das Haus bereits brennt. Im Cyber-Kontext bedeutet das: Wenn Sie zum Zeitpunkt des Vertragsabschlusses bereits wissen (oder hätten wissen müssen), dass sich Hacker in Ihrem Netzwerk befinden, ist dieser Vorfall nicht versichert.

Dies gilt auch für sogenannte „Retroactive Dates“ (Rückwärtsversicherung). Viele Policen decken Schäden ab, deren Ursache in der Vergangenheit liegt, solange sie erst nach Vertragsbeginn entdeckt werden. Wenn aber Ihr IT-Dienstleister Sie schon vor Vertragsabschluss darauf hingewiesen hat, dass auf Server X verdächtige Aktivitäten stattfinden, und Sie dies beim Antrag verschweigen, ist der daraus resultierende Schaden ausgeschlossen.

4. Hardware-Schäden und physischer Verlust

Der Name „Cyberversicherung“ deutet es an: Es geht primär um den Cyber-Raum, also Daten, Software und Netzwerke.

Diebstahl und Hardware-Defekte

Wird ein Laptop aus einem Firmenwagen gestohlen, ist das ärgerlich. Der reine Hardware-Verlust (das Gerät selbst) ist jedoch meist ein Fall für die Elektronik- oder Inhaltsversicherung, nicht für die Cyberpolice. Die Cyberversicherung kümmert sich in diesem Fall „nur“ um die Folgen des Datenverlusts, also etwa die Benachrichtigung von Kunden, falls personenbezogene Daten auf dem Laptop waren, oder die Wiederherstellung der Daten aus einem Backup auf einem neuen Gerät.

„Bricking“, Wenn Software Hardware zerstört

Ein Grenzfall ist das sogenannte „Bricking“. Manche Malware ist so aggressiv, dass sie die Firmware eines Gerätes unbrauchbar macht, das Gerät wird zum „Ziegelstein“ (Brick). Gute Cyber-Policen decken dies oft ab, aber Standard-Tarife schließen reine Sachschäden an der Hardware manchmal aus. Hier lohnt sich ein genauer Blick in die Bedingungen, insbesondere für produzierende Gewerbe mit teuren Industriesteuerungen.

5. Bußgelder und Strafen (Ein heikles Thema)

Seit Einführung der DSGVO fürchten viele Unternehmer die hohen Bußgelder der Datenschutzbehörden. Die Frage, ob eine Versicherung diese Bußgelder übernehmen darf, ist juristisch in Deutschland nicht abschließend geklärt und höchst umstritten. Viele Experten gehen davon aus, dass die Versicherung von Geldbußen gegen die guten Sitten verstoßen könnte, da der Strafcharakter (die erzieherische Wirkung auf das Unternehmen) verloren ginge, wenn ein Dritter zahlt.

Was bedeutet das für Sie? In den meisten Bedingungswerken finden Sie den Hinweis, dass Bußgelder nur übernommen werden, „soweit dies gesetzlich zulässig ist“. In der Praxis übernehmen Versicherer oft:

• Die Kosten für die juristische Prüfung des Bußgeldes.
• Die Anwaltskosten zur Abwehr oder Minderung des Bußgeldes.
• Verfahrenskosten.

Das Bußgeld selbst bleibt jedoch oft am Unternehmen hängen. Umso wichtiger ist ein sauberes Datenschutzmanagement. Lesen Sie hierzu auch gerne unseren Beitrag: Cyberversicherung und Datenschutz: Was Sie wissen müssen.

6. Geistiges Eigentum und Reputationsschäden

Dies ist ein Bereich, der oft missverstanden wird. Wenn Hacker Ihre Konstruktionspläne, Patente oder geheimen Rezepturen stehlen und im Darknet veröffentlichen, entsteht Ihnen ein gewaltiger wirtschaftlicher Schaden. Ihr Wettbewerbsvorteil ist dahin.

Die meisten Cyberversicherungen decken jedoch nicht den fiktiven Wert des gestohlenen geistigen Eigentums ab. Warum? Weil es extrem schwer ist, diesen Wert objektiv zu beziffern. War die Idee 1 Million oder 10 Millionen Euro wert? Was die Versicherung deckt, sind die Kosten, um den Diebstahl zu untersuchen, die Lücke zu schließen und ggf. rechtliche Schritte einzuleiten. Der entgangene Gewinn, weil ein Konkurrent nun Ihr Produkt nachbaut, ist in der Regel nicht versichert.

Ähnliches gilt für den langfristigen Reputationsschaden. Zwar übernehmen Versicherer oft die Kosten für PR-Berater und Krisenkommunikation, um den Rufschaden akut zu begrenzen. Aber wenn Ihnen in den nächsten fünf Jahren Kunden abspringen, weil Ihr Image gelitten hat, ist dieser Umsatzverlust meist nicht abgedeckt.

7. CEO-Fraud und Social Engineering ohne technischen Hack

Nicht jeder Cyber-Vorfall beinhaltet einen Virus oder einen Hacker, der Code schreibt. Oft wird der Mensch manipuliert. Beim sogenannten „CEO-Fraud“ (Chef-Masche) geben sich Betrüger in E-Mails täuschend echt als Geschäftsführer aus und weisen die Buchhaltung an, eine dringende Überweisung ins Ausland zu tätigen.

Hierbei wird oft keine technische Barriere durchbrochen; der Mitarbeiter führt die Überweisung selbst aus. Ältere oder sehr einfache Cyber-Policen schließen dies manchmal aus, da kein „unberechtigter Zugriff auf das IT-System“ im klassischen Sinne vorlag. Der Fehler lag beim Menschen, nicht in der IT. Hochwertige Tarife inkludieren Social Engineering und CEO-Fraud mittlerweile oft, aber meist mit gesonderten Sublimits (z.B. nur bis 50.000 € oder 100.000 €, auch wenn die Gesamtversicherungssumme höher ist). Prüfen Sie diesen Punkt genau!

8. Krieg, Terror und staatliche Akteure

Ein Thema, das in den letzten Jahren leider an Brisanz gewonnen hat, ist die sogenannte „Kriegsklausel“. Traditionell schließen Versicherungen Schäden durch Krieg, bürgerkriegsähnliche Zustände oder Terrorismus aus. In der digitalen Welt ist die Abgrenzung jedoch schwer.

Wenn ein staatlicher Akteur (z.B. eine Hackergruppe im Auftrag einer Regierung) eine Schadsoftware entwickelt, die sich weltweit verbreitet und zufällig auch Ihr Unternehmen trifft (Kollateralschaden), ist das dann ein kriegerischer Akt? Der Markt für Cyberversicherungen ist hier gerade im Wandel. Viele Versicherer führen Klauseln ein, die explizit „Cyber-War“ definieren. Wichtig für Sie: Angriffe von staatlichen Akteuren sollten im Idealfall gedeckt sein, solange kein offizieller Kriegszustand herrscht, der Ihr Land direkt betrifft. Dies ist ein komplexer Punkt, der oft Beratung erfordert.

9. Infrastrukturausfälle (Das Risiko außerhalb Ihrer Kontrolle)

Wenn Ihr Internetprovider einen totalen Ausfall hat oder der Strom in Ihrer ganzen Region für zwei Tage weg ist, können Sie nicht arbeiten. Es entsteht eine Betriebsunterbrechung.

Hier greift die Cyberversicherung in der Regel nicht, wenn die Ursache nicht ein gezielter Cyberangriff auf Ihr Unternehmen oder (je nach Tarif) auf Ihren direkten Cloud-Dienstleister war. Ein allgemeiner Ausfall des Internets oder der Stromversorgung gehört zum allgemeinen Lebensrisiko oder muss über andere Spezialversicherungen abgedeckt werden.

Wie Sie Lücken vermeiden: Transparenz und Auswahl

Die Liste der Ausschlüsse mag auf den ersten Blick lang wirken, doch sie sollte Sie nicht entmutigen. Eine Cyberversicherung ist nach wie vor eines der wichtigsten Instrumente zum Schutz Ihres Unternehmens. Das Wissen um die Lücken gibt Ihnen die Macht, diese proaktiv zu managen.

Der Schlüssel zu einem robusten Schutz liegt in zwei Schritten:

1. Ehrlichkeit im Antragsprozess: Beantworten Sie die Risikofragen gewissenhaft. Beschönigen Sie nichts. Wenn Sie unsicher sind, ob Ihre Firewall den Anforderungen entspricht, klären Sie das vorher. Falsche Angaben sind der sicherste Weg, den Versicherungsschutz zu verlieren. Mehr dazu in unserem Leitfaden: Cybervorfälle und Versicherungsschutz: Was Sie beachten sollten.
2. Passgenaue Auswahl: Nicht jede Police ist gleich. Ein Online-Shop braucht anderen Schutz als eine Arztpraxis oder ein produzierender Betrieb. Achten Sie auf Klauseln zu Social Engineering, grober Fahrlässigkeit und Rückwärtsversicherung.

Zusätzlich hilft es, regelmäßige "Reality Checks" durchzuführen. Passt Ihre IT-Sicherheit noch zu den Anforderungen der Versicherung? Haben Sie neue Systeme eingeführt, die gemeldet werden müssen?

Fazit: Kein Rundum-Sorglos-Paket, aber ein unverzichtbarer Fallschirm

Zusammenfassend lässt sich sagen: Eine Cyberversicherung deckt finanzielle Schäden durch Informationssicherheitsverletzungen, Datenverlust und Betriebsunterbrechungen infolge von Cyberangriffen ab. Sie deckt jedoch keine Schäden ab, die durch Vorsatz, wissentliche Inkaufnahme von Sicherheitslücken, reine Hardware-Defekte oder den schwer bezifferbaren Verlust von geistigem Eigentum entstehen.

Das Ziel ist nicht, jedes theoretische Risiko zu 100 % abzuwälzen, das ist unmöglich. Das Ziel ist, die existenzbedrohenden Risiken abzufedern, die Ihr Unternehmen trotz aller Vorsichtsmaßnahmen treffen können. Wenn Sie verstehen, was nicht abgedeckt ist, können Sie in genau diesen Bereichen Ihre interne Resilienz stärken, etwa durch bessere Mitarbeiterschulungen gegen CEO-Fraud oder strengere Patch-Management-Prozesse.

Um sicherzugehen, dass Ihr Versicherungsschutz wirklich zu Ihrem individuellen Risikoprofil passt und Sie nicht im Kleingedruckten stolpern, ist ein professioneller Blick von außen oft Gold wert. Jedes Unternehmen ist einzigartig, und Pauschallösungen passen selten perfekt. Wenn Sie unsicher sind, ob Ihre aktuellen Maßnahmen ausreichen oder welche Ausschlüsse für Ihre Branche besonders relevant sind, lade ich Sie herzlich ein, eine kostenlose Beratung bei uns anzufragen. Wir schauen uns gemeinsam Ihre Situation an und finden den Schutz, der Sie ruhig schlafen lässt, ganz ohne Verkaufsdruck, sondern als Partner an Ihrer Seite.

Häufig gestellte Fragen (FAQ)

Zahlt die Cyberversicherung, wenn ein Mitarbeiter einen Fehler macht?

Ja, in den meisten Fällen sind unabsichtliche Fehler von Mitarbeitern (z.B. das Anklicken eines Phishing-Links) abgedeckt. Wichtig ist jedoch, ob der Versicherer bei „grober Fahrlässigkeit“ leistet. Gute Tarife schließen diese Einrede bis zur Versicherungssumme aus.

Bin ich versichert, wenn ich Updates vergessen habe?

Das kommt darauf an. Wenn es sich um ein kritisches Sicherheitsupdate handelte, das schon lange verfügbar war, kann der Versicherer die Leistung wegen Obliegenheitsverletzung kürzen oder verweigern. Es ist essenziell, Updates zeitnah einzuspielen.

Deckt die Versicherung auch den Diebstahl von Laptops?

Nein, der physische Diebstahl der Hardware ist meist Sache der Geschäftsinhaltsversicherung. Die Cyberversicherung kümmert sich aber um die Folgen des Datenverlusts auf dem gestohlenen Gerät.

Was passiert, wenn der Strom ausfällt und ich nicht arbeiten kann?

Ein reiner Stromausfall ohne Cyber-Ursache ist in der Regel nicht versichert. Wenn jedoch ein Hackerangriff Ihre Systeme lahmlegt und dadurch eine Betriebsunterbrechung verursacht, greift die Cyberversicherung.

Sind Bußgelder nach der DSGVO versichert?

Die Versicherung von Bußgeldern selbst ist in Deutschland rechtlich umstritten und oft nicht möglich. Versichert sind aber meist die Abwehrkosten, also Anwälte, Gutachter und Gerichtskosten, um gegen das Bußgeld vorzugehen.

Hilft die Versicherung bei „CEO-Fraud“?

Das hängt vom Tarif ab. Standard-Policen schließen dies manchmal aus, da oft keine technische Sicherheitslücke ausgenutzt wird. Achten Sie darauf, dass Social Engineering und CEO-Fraud explizit (oft gegen Aufpreis oder als Baustein) eingeschlossen sind.