Seite wählen

von | März 5, 2026 | Allgemein | 0 Kommentare

Symbolbild zur Informationssicherheit im Unternehmen

Warum eine Cyber-Versicherung ohne ISMS (ISO 27001) kaum noch greift

Die Schäden durch Ransomware, Phishing und CEO-Fraud haben in den letzten Jahren Rekordhöhen erreicht. Um dieses finanzielle Risiko abzufedern, schließen immer mehr Unternehmen Cyber-Versicherungen ab. Doch der Markt wandelt sich drastisch: Versicherer zahlen bei weitem nicht mehr blind.

Warum fordern Versicherer ein ISMS?

Die Schadenquoten im Cyber-Versicherungsmarkt sind in den letzten Jahren explodiert. Allein in Deutschland verursachen Cyberangriffe laut Bitkom jährlich Schäden von über 200 Milliarden Euro. Für Versicherer bedeutet das: Die bisherigen Prämienmodelle waren nicht auskömmlich. Die konsequente Reaktion der Branche war eine fundamentale und nachhaltige Verschärfung der Zeichnungspolitik.

Versicherer haben erkannt, dass Unternehmen ohne systematisches Sicherheitsmanagement ein unverhältnismäßig hohes Risiko darstellen. Ein Informationssicherheits-Managementsystem (ISMS) liefert den Nachweis, dass Informationssicherheit nicht dem Zufall überlassen wird, sondern methodisch und kontinuierlich betrieben wird. Für den Versicherer ist ein ISMS vergleichbar mit einem Brandmeldesystem bei einer Feuerversicherung – es reduziert das Risiko messbar und nachweisbar.

Konkret bedeutet das für den sächsischen Mittelstand: Unternehmen ohne nachweisbares ISMS erhalten zunehmend entweder gar keine Angebote mehr oder nur noch Policen mit extrem hohen Prämien, niedrigen Deckungssummen und zahlreichen Ausschlussklauseln, die den Versicherungsschutz im Ernstfall wertlos machen können.

Harte Prämien und strenge Risikofragen

Vorbei sind die Zeiten, in denen ein einfacher Fragebogen ausreichte, um eine Police abzuschließen. Die Versicherer verlangen heute detaillierte Nachweise über die IT-Sicherheitsarchitektur des Unternehmens. Wer kein Patch-Management, keine Multi-Faktor-Authentifizierung (MFA) und keine regelmäßigen Backups (inkl. Offline-Backups) nachweisen kann, wird entweder gar nicht erst versichert oder muss mit exorbitanten Prämien rechnen.

Typische Anforderungen der Versicherer

Die Risikofragen der Cyber-Versicherer werden immer detaillierter und technischer. Folgende Maßnahmen werden heute nahezu ausnahmslos gefordert:

Technische Mindestanforderungen

  • Multi-Faktor-Authentifizierung (MFA): Für alle Remote-Zugänge, E-Mail-Systeme und privilegierte Accounts. MFA ist die häufigste Einzelanforderung – ohne MFA gibt es in den meisten Fällen keine Police
  • Patch-Management: Nachweis eines strukturierten Prozesses zur zeitnahen Schließung von Sicherheitslücken. Kritische Patches müssen innerhalb von 72 Stunden eingespielt werden
  • Backup-Konzept: Mindestens die 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 Offsite/Offline). Regelmäßige Restore-Tests sind Pflicht
  • Netzwerksegmentierung: Trennung von Produktions-, Büro- und Gäste-Netzwerken. Besonders die Segmentierung von OT-Netzwerken (Operational Technology) wird zunehmend gefordert
  • Endpoint Detection and Response (EDR): Klassische Antivirenlösungen reichen nicht mehr. Versicherer fordern moderne EDR-Lösungen, die anomales Verhalten erkennen
  • Festplattenverschlüsselung: Vollverschlüsselung aller Endgeräte ist Standard – Versicherer prüfen, ob Technologien wie BitLocker aktiv sind. Beachten Sie dabei aktuelle Forschungsergebnisse: Die bekannte Windows 11 BitLocker-Sicherheitslücke zeigt, dass Konfiguration und Updates wichtig sind
  • E-Mail-Security: Spam-Filter, Phishing-Schutz und idealerweise eine Sandbox-Lösung für verdächtige Anhänge

Organisatorische Anforderungen

  • Mitarbeiter-Awareness-Schulungen: Regelmäßige Schulungen und Phishing-Simulationen für alle Mitarbeiter
  • Notfallpläne: Dokumentierte Incident-Response- und Business-Continuity-Pläne
  • Berechtigungsmanagement: Prinzip der geringsten Berechtigung (Least Privilege). Regelmäßige Überprüfung der Zugriffsrechte
  • Informationssicherheitsbeauftragter: Benennung eines ISB (intern oder extern), der die Sicherheitsstrategie koordiniert

Die Grob Fahrlässigkeit-Falle

Noch dramatischer wird es im Schadensfall. Kommt es zu einem Cyber-Vorfall und der Versicherer stellt fest, dass bekannte Sicherheitslücken über Monate nicht geschlossen wurden oder Zugriffsrechte völlig unkontrolliert vergeben waren, kann er die Leistung wegen grober Fahrlässigkeit kürzen oder komplett verweigern.

Typische Szenarien, in denen Versicherer die Leistung verweigern:

  • Ungepatchte Systeme: Ein bekannter Exploit wird ausgenutzt, obwohl der Patch seit Wochen verfügbar war
  • Fehlende MFA: Ein Angreifer kompromittiert ein VPN-Konto mit gestohlenen Zugangsdaten – MFA hätte den Angriff verhindert
  • Kein Offline-Backup: Ransomware verschlüsselt alle Backups mit, weil kein Air-Gap-Backup vorhanden war
  • Administratorrechte für alle: Ein Mitarbeiter mit unnötigen Admin-Rechten wird kompromittiert und der Angreifer erhält sofort vollen Zugriff

In all diesen Fällen kann der Versicherer argumentieren, dass das Unternehmen seine Sorgfaltspflicht verletzt hat. Ein dokumentiertes ISMS mit regelmäßigen Audits und Risikoanalysen ist der beste Schutz gegen diese Argumentation.

Welche Schäden deckt eine Cyber-Versicherung?

Eine Cyber-Versicherung deckt typischerweise drei Schadenskategorien:

Eigenschäden

  • Betriebsunterbrechungsschäden: Entgangener Umsatz während der Ausfallzeit
  • Wiederherstellungskosten: Kosten für die Wiederherstellung von Daten und Systemen
  • Forensik-Kosten: Kosten für die Untersuchung des Vorfalls durch IT-Forensiker
  • Lösegeld: Einige Policen decken Lösegeldzahlungen (kontrovers und zunehmend eingeschränkt)
  • Krisenmanagement: Kosten für PR-Beratung, Krisenkommunikation und psychologische Betreuung

Drittschäden (Haftpflicht)

  • Datenschutzverletzungen: Schadensersatzforderungen von Betroffenen nach DSGVO-Verstößen
  • Vertragsverletzungen: Schadenersatz an Geschäftspartner wegen Lieferverzögerungen oder Datenverlust
  • Bußgelder: Einige Policen übernehmen regulatorische Bußgelder (soweit versicherbar)

Service-Leistungen

  • 24/7-Notfall-Hotline: Sofortige Unterstützung durch Incident-Response-Experten
  • Rechtsberatung: Spezialisierte Anwälte für IT-Recht und Datenschutz
  • Benachrichtigungsservice: Unterstützung bei der Benachrichtigung betroffener Personen nach einer Datenpanne

Wichtig zu wissen: Die Deckungssummen variieren erheblich. Für mittelständische Unternehmen empfehlen Experten eine Deckungssumme von mindestens 5 Millionen Euro. Die tatsächlich benötigte Summe hängt von der Unternehmensgröße, der Branche und dem individuellen Risikoprofil ab.

Kostenersparnis durch ISO 27001

Ein ISO-27001-zertifiziertes ISMS wirkt sich direkt und messbar auf die Kosten einer Cyber-Versicherung aus:

  • Prämienreduktion: Unternehmen mit ISO-27001-Zertifizierung berichten von Prämienersparnissen von 15–30 % im Vergleich zu nicht-zertifizierten Unternehmen
  • Höhere Deckungssummen: Versicherer bieten zertifizierten Unternehmen höhere Deckungssummen an, da das Restrisiko geringer eingeschätzt wird
  • Weniger Ausschlüsse: Zertifizierte Unternehmen erhalten Policen mit weniger Ausschlussklauseln
  • Bessere Verhandlungsposition: Ein ISO-27001-Zertifikat ist ein starkes Argument bei der Verhandlung mit dem Versicherer

Rechnet man die Kosten einer ISO-27001-Zertifizierung gegen die langfristigen Prämienersparnisse, amortisiert sich die Investition in der Regel innerhalb von 2–3 Jahren – ganz abgesehen von den weiteren Vorteilen wie reduziertem Schadensrisiko und gestärktem Kundenvertrauen.

ISMS als „TÜV-Stempel“ für die Versicherung

Hier kommt ein Informationssicherheits-Managementsystem (ISMS), wie beispielsweise nach ISO 27001, ins Spiel. Ein ISMS belegt gegenüber dem Versicherer objektiv und auditiert, dass Informationssicherheit im Unternehmen methodisch und fortlaufend betrieben wird.

  • Niedrigere Prämien: Ein nachgewiesenes ISMS führt oft zu signifikant besseren Konditionen bei der Policen-Verhandlung.
  • Schnellere Regulierung: Im Schadensfall kann das Unternehmen anhand seiner ISMS-Dokumentation (Risikoanalysen, Notfallpläne, Richtlinien) beweisen, dass es seiner Sorgfaltspflicht nachgekommen ist. Die Wahrscheinlichkeit, dass die Versicherung wegen Fahrlässigkeit nicht zahlt, sinkt drastisch.

Prämien senken durch Sicherheitsmaßnahmen

Auch ohne vollständige ISO-27001-Zertifizierung können sächsische Unternehmen ihre Cyber-Versicherungsprämien durch gezielte Sicherheitsmaßnahmen deutlich reduzieren. Die Versicherer arbeiten mit detaillierten Scoring-Modellen, bei denen jede implementierte Maßnahme das Risikoprofil verbessert und sich positiv auf die Prämie auswirkt. Die folgenden Schritte haben den größten Einfluss auf die Prämienkalkulation:

  1. MFA flächendeckend einführen: Die wirksamste Einzelmaßnahme. Viele Versicherer gewähren allein hierfür einen Prämienrabatt
  2. Backup-Strategie optimieren: 3-2-1-Regel implementieren, Offline-Backups einrichten, Restore-Tests dokumentieren
  3. Mitarbeiter schulen: Nachweisbare Awareness-Schulungen und regelmäßige Phishing-Tests
  4. Incident-Response-Plan erstellen: Dokumentierter Notfallplan mit klaren Verantwortlichkeiten und Eskalationsstufen
  5. Externen ISB benennen: Ein benannter Informationssicherheitsbeauftragter signalisiert dem Versicherer, dass Informationssicherheit ernst genommen wird
  6. Penetrationstests durchführen: Regelmäßige Schwachstellenanalysen und Penetrationstests dokumentieren die vorausschauende Sicherheitshaltung
  7. IT-Sicherheitskonzept erstellen: Ein schriftliches Sicherheitskonzept mit Risikoanalyse, Maßnahmenplan und Verantwortlichkeiten

Die DATUREX GmbH unterstützt Unternehmen in Dresden und ganz Sachsen bei der Umsetzung genau dieser Maßnahmen – pragmatisch, effizient und mit dem Ziel, sowohl die Sicherheit als auch die Versicherbarkeit Ihres Unternehmens zu verbessern.

Cyber-Versicherung und NIS-2: Was ändert sich?

Mit der NIS-2-Richtlinie verschärft die EU die Anforderungen an die Cybersicherheit für tausende Unternehmen in kritischen und wichtigen Sektoren. Das hat direkte Auswirkungen auf den Cyber-Versicherungsmarkt:

  • Meldepflichten: NIS-2 verpflichtet Unternehmen, Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde zu melden. Versicherer erwarten, dass diese Meldeprozesse im Incident-Response-Plan dokumentiert sind
  • Geschäftsführerhaftung: Die persönliche Haftung der Geschäftsleitung nach NIS-2 macht eine D&O-Versicherung (Directors and Officers) zusätzlich zur Cyber-Police relevant
  • Supply-Chain-Anforderungen: NIS-2 fordert die Absicherung der Lieferkette. Versicherer fragen zunehmend nach dem Sicherheitsniveau der Dienstleister und Zulieferer
  • Bußgelder: NIS-2 sieht Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor. Die Versicherbarkeit dieser Bußgelder ist rechtlich umstritten

Unternehmen, die unter NIS-2 fallen, sollten ihre bestehende Cyber-Police auf Kompatibilität mit den neuen Anforderungen prüfen und gegebenenfalls anpassen lassen. Ein IT-Sicherheitskonzept, das sowohl die Versicherungsanforderungen als auch die NIS-2-Pflichten abdeckt, ist der effizienteste Ansatz.

Häufig gestellte Fragen (FAQ)

Braucht jedes Unternehmen eine Cyber-Versicherung?

Eine gesetzliche Pflicht zur Cyber-Versicherung gibt es in Deutschland derzeit nicht. Allerdings zeigen die Statistiken eindeutig: Die Frage ist längst nicht mehr ob, sondern wann ein Cyberangriff stattfindet. Für Unternehmen, die stark von ihrer IT abhängig sind – und das sind heute praktisch alle – ist eine Cyber-Versicherung eine sinnvolle Ergänzung zum technischen und organisatorischen Schutz. Sie ersetzt jedoch kein ISMS, sondern ergänzt es. Ein Unternehmen ohne grundsätzliche Sicherheitsmaßnahmen wird ohnehin keine sinnvolle Police erhalten.

Reicht ein ISMS ohne ISO-27001-Zertifizierung für die Versicherung?

Ja, viele Versicherer akzeptieren auch ein ISMS ohne formale Zertifizierung, sofern es nachweisbar gelebt wird. Wichtig ist, dass dokumentierte Prozesse, Risikoanalysen und regelmäßige Audits vorliegen. Eine ISO-27001-Zertifizierung bietet jedoch den stärksten Nachweis und die besten Konditionen, weil sie von einer unabhängigen Stelle bestätigt wird.

Was kostet eine Cyber-Versicherung für ein mittelständisches Unternehmen?

Die Prämien variieren stark nach Branche, Unternehmensgröße, Umsatz und Sicherheitsniveau. Für ein mittelständisches sächsisches Unternehmen mit 50–200 Mitarbeitern und einer Deckungssumme von 5 Millionen Euro liegen die Jahresprämien typischerweise zwischen 5.000 und 25.000 €. Unternehmen mit nachgewiesenem ISMS und ISO-27001-Zertifizierung erhalten in der Regel Prämien am unteren Ende dieser Spanne – oder sogar darunter. Besonders risikobehaftete Branchen wie das Gesundheitswesen, die Finanzdienstleistung oder die produzierende Industrie mit OT-Anbindung müssen mit höheren Prämien rechnen. Wichtig ist, mehrere Angebote zu vergleichen und einen spezialisierten Versicherungsmakler einzubeziehen, der die Police auf versteckte Ausschlussklauseln und Sublimits prüft.

IT-Sicherheit für Ihr Unternehmen in Sachsen

Bedrohungen und Cyberangriffe zeigen täglich, wie wichtig ein vollständiges Informationssicherheits-Managementsystem (ISMS) ist. Als zertifizierter externer Informationssicherheitsbeauftragter (ISB) und spezialisierter IT-Dienstleister in Dresden und ganz Sachsen unterstützt die DATUREX GmbH Sie bei der vorausschauenden Absicherung Ihrer Systeme. Wir bereiten Sie effizient auf Audits nach ISO 27001, TISAX und BSI IT-Grundschutz vor und helfen Ihnen bei der rechtssicheren Umsetzung der NIS-2-Richtlinie. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Die DATUREX GmbH vereint Datenschutzberatung, Informationssicherheit und KI-Lösungen unter einem Dach.

Neu: IT-Sicherheitskonzept | KRITIS-Beratung | Schwachstellenanalyse | IT-Notfallmanagement | IT-Sicherheitsaudit

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


📞 0351 / 79 59 35 13 Angebot anfragen