Du hast eine Cyberversicherung abgeschlossen, zahlst regelmäßig deine Prämie und fühlst dich abgesichert. Ein gutes Gefühl. Dieses Gefühl kann jedoch trügen! Was, wenn dein Versicherer im Schadensfall die Zahlung verweigert, weil du bestimmte technische Mindeststandards nicht nachweisen kannst? Solche Fälle treten 2026 immer häufiger auf. Die Spielregeln auf dem Markt für Cyberversicherungen haben sich grundlegend verändert, und viele Unternehmen wissen davon noch nichts.
In diesem Artikel erfährst du, was Versicherer heute tatsächlich voraussetzen, welche Maßnahmen du konkret umsetzen musst und wie riomar dich dabei unterstützt, nicht nur versicherbar zu bleiben, sondern auch im Ernstfall wirklich abgesichert zu sein.

Der Cyberversicherungsmarkt hat sich stark verändert
Noch vor wenigen Jahren war der Abschluss einer Cyberversicherung unkompliziert. Ein kurzer Fragebogen, ein paar grundlegende Angaben zu Firewall und Virenscanner, und die Police war unterzeichnet. Diese Zeit ist vorbei. Die Ransomware-Wellen der Jahre 2021 bis 2024 haben bei Versicherern zu massiven Schadenszahlungen geführt. Die Branche hat daraus gelernt und reagiert mit deutlich strengeren Anforderungen.
Laut aktuellen Marktbeobachtungen wird inzwischen ein erheblicher Teil der Anträge auf eine Cyberversicherung abgelehnt, weil Unternehmen die gestiegenen IT-Sicherheitsanforderungen der Versicherer nicht erfüllen. Gleichzeitig zeigt die Bitkom-Wirtschaftsschutzstudie 2024: 87 Prozent der deutschen Unternehmen waren in den vergangenen Jahren von Cyberangriffen betroffen, der Gesamtschaden beläuft sich auf 266,6 Milliarden Euro jährlich.1
Was bedeutet das für dich als Unternehmer? Eine Cyberversicherung abzuschließen ist heute aufwendiger als früher. Sie zu behalten, ohne die Bedingungen aktiv zu erfüllen, ist riskanter als je zuvor.

Kostenlosen Cyberversicherungs-Check anfragen: Wir prüfen gemeinsam, ob deine wichtigsten IT-Nachweise für Versicherer vollständig und aktuell sind.
Was Versicherer heute im Detail prüfen
Moderne Versicherer arbeiten nicht mehr mit pauschalen Einschätzungen. Statt eines einfachen Ja-Nein-Fragebogens führen viele von ihnen technische Prüfungen durch, bei denen die tatsächliche Sicherheitslage deines Unternehmens bewertet wird, nicht nur die auf dem Papier behauptete. Ein Versicherungsexperte bringt es auf den Punkt: „Die Frage ist nicht mehr, ob Multi-Faktor-Authentifizierung existiert, sondern ob sie konsequent durchgesetzt wird.”
Das hat weitreichende Konsequenzen. Wer im Antrag zur Cyberversicherung angibt, Multi-Faktor-Authentifizierung für alle Konten eingesetzt zu haben, dies aber in der Praxis nur für einen Teil der Zugänge umgesetzt hat, riskiert im Schadensfall den vollständigen Verlust des Versicherungsschutzes. Das OLG Schleswig hat in einem Beschluss vom Januar 2025 klargestellt: Wer im Versicherungsantrag falsche Angaben zu seinen IT-Sicherheitsstandards macht, etwa zu installierten Virenscannern oder der Aktualität von Sicherheitssoftware, riskiert, dass der gesamte Versicherungsvertrag wegen arglistiger Täuschung für nichtig erklärt wird. Im konkreten Fall verlor ein Holzgroßhändler nach einem Hackerangriff jeden Anspruch auf Versicherungsleistungen (OLG Schleswig, Beschluss vom 09.01.2025, Az. 16 U 63/24).7
Die fünf Mindestanforderungen, die heute jede Cyberversicherung fordert
Die gute Nachricht zuerst: Die Anforderungen sind klar definiert. Wer sie konsequent umsetzt, ist nicht nur besser gegen Angriffe geschützt, sondern zahlt für seine Cyberversicherung in vielen Fällen auch deutlich geringere Prämien.
Multi-Faktor-Authentifizierung
MFA ist heute die absolute Grundvoraussetzung. Wer auf die entsprechende Frage im Antrag mit Nein antwortet, erhält entweder keine Police oder muss mit deutlichen Aufschlägen rechnen. Dabei reicht es nicht, MFA für einzelne Systeme einzuführen. Versicherer erwarten die vollständige Umsetzung für alle externen Zugänge, alle Konten mit erweiterten Rechten und den E-Mail-Webzugriff.

Endpoint Detection and Response
Klassische Antivirenprogramme gelten bei Versicherern heute als unzureichend. Gefordert wird Endpoint Detection and Response, kurz EDR, auf allen Endgeräten. EDR-Lösungen arbeiten verhaltensbasiert und erkennen auch bislang unbekannte Angriffsmuster, bevor diese Schaden anrichten können.
Backup-Strategie nach der 3-2-1-Regel
Versicherer fragen inzwischen nicht mehr nur, ob ein Backup vorhanden ist, sondern wie es ausgestaltet ist. Gefordert werden drei Kopien der Daten, auf zwei verschiedenen Speichermedien, davon eine offline. Entscheidend ist außerdem, dass die Backups regelmäßig auf Wiederherstellbarkeit getestet werden. Eine Sicherung, die im Ernstfall nicht wiederhergestellt werden kann, zählt weder technisch noch für den Versicherungsschutz.
Patch-Management mit definierten Fristen
Versicherer erwarten einen dokumentierten Prozess mit klar definierten Zuständigkeiten und Fristen. Kritische Sicherheitsupdates müssen innerhalb von 72 Stunden nach Veröffentlichung eingespielt werden. Wer Updates aufschiebt oder keinen Überblick über den Update-Stand seiner Systeme hat, liefert dem Versicherer einen Grund, im Schadensfall nicht zu zahlen.
Notfallplan für den Ernstfall
Was passiert in deinem Unternehmen, wenn morgen früh ein Cyberangriff stattfindet? Wer wird informiert, wer trifft welche Entscheidungen, wann werden Behörden und Kunden benachrichtigt? Versicherer wollen einen nachweisbaren Plan sehen, der diese Fragen beantwortet. Ohne einen dokumentierten und regelmäßig geprüften Notfallplan riskierst du, trotz gültiger Cyberversicherung im Ernstfall allein dazustehen.

Lade dir hier die kostenlose Vergleichstabelle herunter: Anforderungen 2023 vs. 2026 auf einen Blick.
Was passiert, wenn diese Anforderungen nicht erfüllt sind
Die rechtlichen und finanziellen Folgen sind erheblich. Eine Formulierung, die sich 2026 in vielen Policen findet, lautet sinngemäß: „Der Versicherungsschutz entfällt, soweit die im Risikofragebogen zugesicherten technischen und organisatorischen Maßnahmen zum Zeitpunkt des Versicherungsfalls nicht in zugesicherter Weise umgesetzt waren.”2
Ein konkretes Beispiel: Ein Mittelständler mit 200 Mitarbeitern stellte 2026 eine neue Anfrage bei vier Versicherern. Zwei lehnten sofort ab. Einer forderte 35.000 Euro Jahresprämie mit 100.000 Euro Selbstbehalt. Nur einer machte ein akzeptables Angebot, allerdings unter der Auflage, MFA, EDR und ein Sicherheitsüberwachungssystem vollständig umzusetzen und dies jährlich zu bestätigen.
Für Geschäftsführer kommt noch eine weitere Dimension hinzu: Die Angaben im Versicherungsantrag sind rechtsverbindlich. Wer falsche oder unvollständige Informationen liefert, riskiert nicht nur die Ablehnung im Schadensfall, sondern auch persönliche Haftungsansprüche nach dem IT-Sicherheitsgesetz (§ 38 BSIG). IT-Sicherheit ist damit keine rein technische Frage mehr, sondern eine Führungsaufgabe mit echter rechtlicher Tragweite.
NIS-2 und Cyberversicherung: zwei Anforderungen, eine Lösung
Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland in Kraft und verpflichtet rund 30.000 Unternehmen zu strengen IT-Sicherheitsmaßnahmen. Wer die NIS-2-Anforderungen ignoriert, riskiert nicht nur Bußgelder von bis zu 10 Millionen Euro (§ 65 BSIG), sondern auch den Verlust seines Versicherungsschutzes.3
Das Positive daran: Die Maßnahmen, die du für NIS-2 benötigst, sind nahezu identisch mit dem, was Versicherer für eine Cyberversicherung fordern. MFA, Patch-Management, dokumentierte Prozesse, Meldepflichten. Wer diese Anforderungen konsequent umsetzt, erfüllt beide auf einmal. riomar hilft Unternehmen aus dem Rhein-Main-Gebiet genau dabei: Sicherheit und Versicherbarkeit gemeinsam zu denken, statt zwei parallele Projekte aufzusetzen.

Was der Versicherungsschutz tatsächlich leistet
Wenn die Voraussetzungen erfüllt sind, ist eine solche Police ein echtes Sicherheitsnetz. Was sie typischerweise abdeckt: IT-Forensik zur Aufklärung des Vorfalls, Kosten für die Datenwiederherstellung, Betriebsunterbrechungsschäden, Krisenkommunikation, Rechtsberatung bei Datenschutzverletzungen und Schäden gegenüber Kunden oder Partnern.2
Das folgende, fiktive Rechenbeispiel zeigt, was das in der Praxis bedeuten kann: Ein Dienstleister mit 35 Mitarbeitern wird Opfer einer Ransomware-Attacke per Phishing-Mail. Der Angreifer verschlüsselt den Dateiserver und fordert 80.000 Euro Lösegeld. Die Cyberversicherung übernimmt IT-Forensik, Datenrettung und den Ertragsausfall für drei Wochen Betriebsunterbrechung. Gesamtschaden: über 120.000 Euro. Eigenanteil des Unternehmens: 5.000 Euro Selbstbeteiligung.
Hinweis: Dieses Beispiel ist fiktiv und dient der Veranschaulichung typischer Kostenpositionen. Die tatsächlichen Schäden und Versicherungsleistungen variieren je nach Unternehmen, Versicherer und Police erheblich.
Was der Versicherungsschutz nicht leistet
Eine Cyberversicherung ist kein Ersatz für IT-Sicherheit. Sie ist ein finanzielles Auffangnetz für den Fall, dass Sicherheitsmaßnahmen trotzdem versagen. Sie verhindert keinen Angriff, sie bezahlt dessen Folgen, und auch das nur dann, wenn die vereinbarten Sicherheitsstandards nachweislich eingehalten wurden.
Typischerweise nicht abgedeckt sind vorsätzlich herbeigeführte Schäden, Kriegsereignisse, bereits bekannte Sicherheitsvorfälle vor Vertragsbeginn und Schäden durch Nichteinhaltung vereinbarter Sicherheitsstandards. Gerade der letzte Punkt macht eine lückenlose IT-Dokumentation unverzichtbar: Im Schadensfall musst du nachweisen können, dass die vereinbarten Maßnahmen tatsächlich umgesetzt waren.
Besondere Aufmerksamkeit verdient bei jeder Police die Frage nach Lösegeldzahlungen. Viele Policen decken diese grundsätzlich ab, aber nur unter strengen Bedingungen. Der Versicherer muss vor einer Zahlung eingebunden werden, und die Zahlung muss als letztes Mittel dokumentiert sein. Einige Versicherer schließen Lösegeldzahlungen inzwischen komplett aus. Diese Bedingung musst du vor Vertragsabschluss genau prüfen.
Ebenfalls wichtig ist die sogenannte Act-of-War-Klausel. Sie schließt Schäden durch staatlich gesteuerte Cyberangriffe aus. Da die Zuordnung solcher Angriffe in der Praxis schwierig ist, solltest du unbedingt prüfen, wie eng dein Versicherer diesen Ausschluss formuliert.

Wie du den Status deiner Cyberversicherung jetzt überprüfst
Die ersten Fragen, die du dir stellen solltest: Wann wurde der Risikofragebogen deiner Cyberversicherung zuletzt aktualisiert? Wer hat ihn ausgefüllt und unterschrieben? Kannst du heute nachweisen, dass alle zugesagten Maßnahmen tatsächlich umgesetzt sind? Wie hoch ist deine MFA-Abdeckung wirklich, als konkrete Zahl, nicht als grobe Schätzung?
Wenn du auch nur eine dieser Fragen nicht sicher beantworten kannst, lohnt sich ein IT-Sicherheits-Audit. riomar analysiert deine IT-Infrastruktur systematisch gegen die Anforderungen der Cyberversicherer und zeigt dir, wo Lücken bestehen, bevor sie im Schadensfall zum Problem werden. Das Ergebnis ist eine klare Roadmap: welche Maßnahmen du umsetzen musst, in welcher Reihenfolge, mit welchem Aufwand.
Drei Schritte, die du jetzt gehen solltest
Erstens: Nimm dir deine aktuelle Versicherungspolice und prüfe die Pflichten, die du gegenüber deinem Versicherer zugesagt hast. Welche Bedingungen könnten dazu führen, dass deine Versicherung im Schadensfall nicht zahlt?
Zweitens: Prüfe deinen tatsächlichen IT-Sicherheitsstand. Nicht auf dem Papier, sondern in der Realität. Sind MFA, EDR, Backups und Patch-Management wirklich vollständig und nachweisbar umgesetzt? Gibt es einen dokumentierten Notfallplan?
Drittens: Schließe die Lücken, bevor du die nächste Prämie zahlst. Eine Cyberversicherung, die im Schadensfall nicht zahlt, ist verbranntes Geld. Investitionen in die IT-Sicherheit hingegen senken deine Prämie, stärken deinen Schutz und sichern dich rechtlich ab.

Lade dir hier die riomar-Vergleichstabelle herunter, auf der du ganz leicht sehen kannst, wie
sich die Anforderungen von 2023 bis 2026 im Bereich der Cyberversicherungen verändert haben.
Eine saubere Dokumentation ist die Grundlage für alles
Dass du im Schadensfall nachweisen musst, dass die vereinbarten Sicherheitsmaßnahmen eingehalten wurden, wird im Alltag leicht vergessen. Das bedeutet konkret: Du musst belegen können, dass MFA aktiv war, dass Backups nach Plan erstellt und getestet wurden, dass Patches innerhalb der vereinbarten Fristen eingespielt wurden und dass ein Notfallplan existiert und im Team bekannt ist.
Stell dir vor, ein Ransomware-Angriff legt deinen Betrieb für zwei Wochen lahm. Die Versicherung fordert im Rahmen der Schadensregulierung Backup-Protokolle, Update-Berichte und die Dokumentation der Zugriffsrechte an. Wenn diese Unterlagen nicht aktuell und lückenlos vorliegen, stehst du trotz gültiger Police ohne Leistung da. IT-Dokumentation ist deshalb keine bürokratische Pflicht, sondern der entscheidende Faktor dafür, ob du deine Versicherungssumme tatsächlich bekommst.
riomar unterstützt dich dabei, diese Dokumentation strukturiert aufzubauen und aktuell zu halten, sodass du im Ernstfall nicht suchen musst, sondern sofort liefern kannst.

Versicherungsschutz entsteht nicht durch eine Unterschrift allein
Eine Cyberversicherung gehört 2026 zur Grundausstattung jedes Unternehmens. Aber sie nützt nur dann etwas, wenn die Voraussetzungen dafür wirklich erfüllt sind. Die Versicherer prüfen das heute sehr genau, nicht nur beim Abschluss, sondern auch im Schadensfall. Wer die Mindestanforderungen an MFA, EDR, Backup, Patch-Management und Notfallplan nicht nachweislich erfüllt, steht nach einem Angriff trotz gültiger Police womöglich ohne Unterstützung da.
Die gute Nachricht: Die Anforderungen sind klar und umsetzbar. Wer sie ernst nimmt, schützt sein Unternehmen doppelt, technisch gegen Angriffe und finanziell gegen deren Folgen.
Wer dabei Unterstützung braucht, findet in riomar einen erfahrenen Partner, der sowohl die technische als auch die strategische Seite der IT-Sicherheit im Detail kennt. Vom ersten Audit über die Umsetzung der Mindestanforderungen bis zur laufenden Dokumentation begleiten dich die Experten von riomar, damit du nicht nur versichert bist, sondern im Ernstfall auch wirklich abgesichert.
Besonders im Rhein-Main-Gebiet, wo Unternehmen aus Finanzdienstleistungen, Gesundheitswesen, produzierendem Gewerbe und öffentlicher Verwaltung im Fokus von Cyberkriminellen stehen, ist ein regionaler IT-Partner mit tiefem Branchenverständnis ein klarer Vorteil. riomar kennt die spezifischen Anforderungen dieser Branchen und weiß, welche Versicherer für welche Unternehmensprofile die passenden Konditionen bieten. Ob du deine bestehende Police auf Lücken prüfen, dein IT-Sicherheitsniveau anheben oder eine erste Cyberversicherung abschließen möchtest: die Experten von riomar begleiten dich von der Analyse bis zur professionellen Umsetzung.

Vereinbare jetzt ein unverbindliches Erstgespräch mit riomar für eine strukturierte Einschätzung deiner IT-Sicherheitslage und Dokumentation.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechts-, Versicherungs- oder Steuerberatung. Die konkreten Anforderungen können je nach Versicherer, Police, Branche und Unternehmenssituation abweichen. Bitte prüfen Sie Ihre Versicherungsbedingungen gemeinsam mit Ihrem Versicherer, Makler oder rechtlichen Berater.
Häufige Fragen zum Thema IT-Asset-Management
Was bedeutet es eigentlich, wenn jemand sagt, ein Unternehmen soll seine IT „im Griff haben”?
Damit ist gemeint, dass ein Unternehmen jederzeit weiß, welche Geräte, Programme und Verträge im Einsatz sind, wann sie ablaufen und wer dafür zuständig ist. IT-Asset-Management ist der Fachbegriff für diesen strukturierten Überblick über alle IT-Bestandteile eines Betriebs.
Wir haben keine eigene IT-Abteilung. Brauchen wir so etwas trotzdem?
Ja, gerade dann. Wer keine eigene IT-Abteilung hat, verliert den Überblick über Geräte, Lizenzen und Vertragsenden besonders schnell. IT-Asset-Management muss dabei kein aufwendiges internes Projekt sein, es lässt sich gut als Teil eines Managed-IT-Pakets durch einen externen Dienstleister wie riomar übernehmen.
Können wir wirklich Geld sparen, wenn wir unsere Software-Lizenzen besser im Blick haben?
Ja, das ist einer der häufigsten und konkretesten Sparhebel. Viele Unternehmen zahlen monatlich für Software, die niemand mehr nutzt, oder haben mehr Lizenzen eingekauft als tatsächlich benötigt werden. Ein strukturiertes IT-Asset-Management deckt genau diese ungenutzten Posten auf und macht sie kündbar.
Was passiert, wenn wir einfach nichts tun und weiter wie bisher arbeiten?
Kurzfristig meist nichts Dramatisches, aber das Risiko wächst still. Geräte laufen ohne Sicherheitsupdates, Verträge verlängern sich automatisch, und irgendwann scheitert eine Prüfung oder es gibt einen Sicherheitsvorfall, dessen Ursache ein längst vergessenes, ungepatchtes Gerät ist. IT-Asset-Management verhindert genau diese schleichenden Probleme.
Wie aufwendig ist es, so einen Überblick erstmals aufzubauen?
Das hängt von der Betriebsgröße ab, ist aber in den meisten Fällen weniger aufwendig als befürchtet. riomar begleitet die erste Bestandsaufnahme und nutzt dabei automatisierte Tools, die Geräte und Software im Netzwerk selbsttätig erkennen. Der eigentliche Zeitaufwand liegt im Aufbau der Prozesse, nicht im manuellen Erfassen jedes einzelnen Geräts.
Wir haben viele alte Rechner im Einsatz. Ist das ein Problem?
Es kann eines werden, wenn diese Geräte keine Sicherheitsupdates mehr erhalten. Windows 10 beispielsweise wird seit Oktober 2025 nicht mehr mit Patches versorgt. IT-Asset-Management zeigt auf einen Blick, welche Geräte betroffen sind und wann ein Austausch sinnvoll geplant werden sollte, damit daraus keine ungeplante Notfallausgabe wird.
Was hat ein Überblick über unsere IT mit Datenschutz zu tun?
Direkt sehr viel. Die DSGVO verlangt unter anderem, dass personenbezogene Daten auf ausgemusterten Geräten nachweislich gelöscht oder vernichtet werden. Wer nicht weiß, welche Geräte im Umlauf sind oder wohin ausgesonderte Geräte gegangen sind, kann diesen Nachweis im Zweifel nicht erbringen. IT-Asset-Management dokumentiert die gesamte Gerätekette inklusive Entsorgung.
Wir hören immer wieder von neuen Sicherheitsgesetzen. Hängt das mit dem Thema zusammen?
Ja, unmittelbar. Die NIS2-Richtlinie, die seit Oktober 2024 für deutlich mehr Unternehmen gilt als die Vorgängerregelung, verlangt unter anderem den Nachweis, welche Systeme ein Unternehmen betreibt und wie es diese absichert. Ohne strukturiertes IT-Asset-Management lässt sich dieser Nachweis nicht führen.
Müssen wir dafür eine teure neue Software kaufen?
Nicht unbedingt. Für kleinere Betriebe reicht anfangs oft eine gut gepflegte Tabelle. Ab einer gewissen Größe lohnt sich ein spezialisiertes Tool, das Geräte automatisch erkennt und Laufzeiten überwacht. riomar empfiehlt und richtet passende Lösungen je nach Betriebsgröße ein und übernimmt den laufenden Betrieb auf Wunsch vollständig.
Wie schnell können wir mit einem konkreten Ergebnis rechnen, wenn wir damit anfangen?
Bereits nach der ersten Bestandsaufnahme, die riomar in der Regel innerhalb weniger Tage durchführt, liegt ein vollständiges Bild der vorhandenen IT vor. Viele Kunden entdecken dabei sofort kündbare Lizenzen oder Geräte mit abgelaufenem Support, die unmittelbaren Handlungsbedarf zeigen. Der Nutzen setzt also nicht erst nach Monaten ein.
Quellenverzeichnis
7 OLG Schleswig, Beschluss vom 09.01.2025, Az. 16 U 63/24 Primärquelle: https://dejure.org/2025,550
