Cyberversicherung für Unternehmen: Wann sie sich lohnt – und wann nicht
Hannes Weindorf · 25. Mai 2026 · 7 Min. Lesezeit
Vor anderthalb Jahren rief mich ein Maschinenbauer aus dem Hohenlohekreis an – nennen wir ihn Thomas, 40 Mitarbeiter, solide aufgestellt. An einem Montagmorgen lief nichts mehr: verschlüsselte Server, eine Lösegeldforderung auf dem Bildschirm, die Produktion stand. Acht Tage hat es gedauert, bis der Betrieb wieder lief. Der Schaden – Stillstand, Forensik, Datenwiederherstellung – lag bei rund 120.000 Euro. Versichert war davon nichts.
Thomas ist kein Einzelfall. Ich berate seit Jahren kleine und mittlere Betriebe zum Thema Betriebsschutz, und die Cyberversicherung ist die eine Police, bei der ich am häufigsten höre: „Das brauchen wir doch nicht, wir sind zu klein." Genau das halte ich für den teuersten Irrtum, den ein Unternehmer 2026 machen kann. Warum, erkläre ich dir hier – ehrlich, mit Zahlen, und ohne dir etwas verkaufen zu wollen.
Das Problem: KMU sind das Hauptziel, nicht die Ausnahme
Die Vorstellung „Hacker greifen nur Konzerne an" ist Wunschdenken. Laut Bitkom (2024) richten sich 57 % aller Cyberangriffe gegen kleine und mittlere Unternehmen. Der Grund ist nüchtern: Bei großen Konzernen sitzt ein ganzes Security-Team, beim 30-Mann-Betrieb macht IT oft der Junior nebenbei oder ein externer Dienstleister einmal im Monat. Angreifer gehen den Weg des geringsten Widerstands – und der führt zum Mittelstand.
Dazu kommt: Die meisten Angriffe sind nicht persönlich gemeint. Phishing-Mails und automatisierte Scans treffen tausende Adressen gleichzeitig. Du musst kein lohnendes Ziel sein. Es reicht, dass ein Mitarbeiter auf den falschen Link klickt.
Was die Zahlen sagen
| Kennzahl | Wert | Quelle |
|---|---|---|
| Ø-Schaden pro Angriff auf ein KMU | 95.000 € | Bitkom 2024 |
| Anteil Angriffe auf KMU | 57 % | Bitkom 2024 |
| Ausfallzeit nach Ransomware | 4–10 Tage | Sophos 2024 |
| Verweilzeit der Angreifer unbemerkt | 207 Tage | IBM X-Force |
| Phishing-Anteil an allen Angriffen | 91 % | Verizon DBIR 2024 |
95.000 Euro im Schnitt – das ist kein abstrakter Wert. Das ist die Summe, die einem gesunden Handwerks- oder Dienstleistungsbetrieb das Jahresergebnis zerlegt. Und das ist der Durchschnitt; bei Thomas war es deutlich mehr.
Was das für dich als Unternehmer bedeutet
Eine Cyberversicherung für Unternehmen ist im Kern eine Betriebsunterbrechungs- und Haftungs-Police für den digitalen Schaden. Sie greift dort, wo deine normale Betriebshaftpflicht aussteigt – nämlich bei allem, was mit Daten, IT-Systemen und Stillstand zu tun hat.
Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Damit ist IT-Sicherheit für viele Betriebe keine freiwillige Kür mehr, sondern Pflicht – und die Geschäftsführung haftet persönlich für Versäumnisse. Die Bußgelder reichen bis 10 Mio. Euro oder 2 % des Jahresumsatzes (BSIG §65). Eine Cyberversicherung ersetzt keine Pflicht-Maßnahmen, aber sie federt die finanziellen Folgen ab, wenn trotzdem etwas passiert.
Wie stark dein Risiko ist, hängt von deiner Branche ab. Ein paar Beispiele aus meiner Beratung:
- IT-Dienstleister tragen Supply-Chain-Haftung: Greift ein Angriff über dich auf deine Kunden über, haftest du. Ø-Schaden in dieser Gruppe bis 250.000 €.
- Arztpraxen verarbeiten Gesundheitsdaten nach DSGVO Art. 9 – die sensibelste Datenkategorie. Ein Datenleck wird hier schnell zum Bußgeld-Thema.
- Steuerberater und Rechtsanwälte unterliegen dem Berufsgeheimnis (§203 StGB). Eine offengelegte Mandantenakte ist nicht nur teuer, sondern strafrechtlich relevant.
Was eine Cyberversicherung für Unternehmen abdeckt
Eine gute Police – und da gibt es große Unterschiede – deckt typischerweise:
- Eigenschäden: Datenwiederherstellung, Forensik, Betriebsunterbrechung, Krisenkommunikation.
- Drittschäden: Ansprüche von Kunden oder Partnern, wenn deren Daten betroffen sind.
- Cyber-Erpressung: Verhandlung und – wo rechtlich zulässig – Lösegeldmanagement.
- Soforthilfe: 24/7-Hotline mit IT-Forensikern. Genau die hätte Thomas am Montagmorgen gebraucht.
Nicht versicherbar sind nach herrschender Meinung DSGVO-Bußgelder selbst – aber die Verteidigungs- und Sachverständigenkosten drumherum sehr wohl.
Was kostet eine Cyberversicherung? (Cyberversicherung Kosten realistisch)
Die ehrliche Antwort: Es kommt auf Umsatz, Mitarbeiterzahl, Branche und deine Schutzmaßnahmen an. Als grobe Orientierung aus laufenden Verträgen:
| Betriebsgröße | Versicherungssumme | Prämie / Jahr (indikativ) |
|---|---|---|
| < 500.000 € Umsatz, 1–4 MA | 250.000 € | 480–720 € |
| 500.000–1 Mio. € Umsatz, 5–9 MA | 500.000 € | 960–1.440 € |
| 1–5 Mio. € Umsatz, 10–19 MA | 1 Mio. € | 2.400–3.600 € |
Wichtig: Wer dokumentierte Schutzmaßnahmen nachweist – getestete Backups, Zwei-Faktor-Authentifizierung, Mitarbeiterschulungen – zahlt deutlich weniger. 2FA allein reduziert Kontoübernahmen um 99,9 % (Microsoft) und wirkt sich direkt auf die Prämie aus. Ich sehe in der Praxis Nachlässe bis 30 %.
Ist eine Cyberversicherung sinnvoll – oder rausgeschmissenes Geld?
Meine klare Meinung nach über 200 geprüften Betrieben: Für die allermeisten KMU ja – aber nicht als Erstes. Ich halte es für falsch, eine Police zu verkaufen, bevor die Basis steht. Wer kein Backup hat, bekommt von mir erst eine To-do-Liste, dann ein Angebot. Eine Versicherung auf einem ungesicherten System ist wie eine Hausratversicherung bei offener Haustür: teuer und im Zweifel leistungsfrei.
Sinnvoll ist die Police, wenn ein Cybervorfall dein Unternehmen ernsthaft ins Wanken bringen würde – und das trifft auf fast jeden Betrieb zu, der digital arbeitet. Nicht sinnvoll ist sie als Feigenblatt, das echte Schutzmaßnahmen ersetzen soll.
Als unabhängiger Makler nach §34d GewO bin ich an keinen Versicherer gebunden. Ich vergleiche die Tarife am Markt und suche den, der zu deinem Risiko passt – nicht den mit der höchsten Provision.
Mein Rat: Erst das Risiko kennen, dann entscheiden
Bevor du über Prämien redest, solltest du wissen, wo du stehst. Genau dafür habe ich den kostenlosen Betriebsschutz-Check gebaut: In rund 5 Minuten bekommst du deinen Cyber-Risiko-Score, deinen NIS-2-Status und eine realistische Schadens- und Prämienspanne – ohne Login, ohne Verkaufsgespräch.
→ Jetzt kostenlosen Risiko-Check starten und in 5 Minuten wissen, wie es um deinen Betrieb steht.
Häufige Fragen
Brauche ich als kleines Unternehmen wirklich eine Cyberversicherung?
In den meisten Fällen ja. 57 % der Cyberangriffe treffen KMU (Bitkom 2024), und der Durchschnittsschaden liegt bei 95.000 €. Diese Summe trägt kaum ein kleiner Betrieb aus der Portokasse. Entscheidend ist nicht die Größe, sondern wie abhängig dein Betrieb von funktionierender IT und Daten ist.
Was kostet eine Cyberversicherung für ein KMU?
Für kleinere Betriebe liegt die Prämie meist zwischen 480 und 1.440 € pro Jahr, bei größeren Mittelständlern (1–5 Mio. € Umsatz) zwischen 2.400 und 3.600 €. Mit nachgewiesenen Schutzmaßnahmen wie 2FA und getesteten Backups sind Nachlässe bis 30 % möglich.
Deckt die Cyberversicherung auch NIS-2-relevante Schäden ab?
Sie ersetzt keine NIS-2-Pflichtmaßnahmen, federt aber die finanziellen Folgen eines Vorfalls ab – Betriebsunterbrechung, Forensik, Krisenkommunikation. NIS-2 ist seit dem 6.12.2025 in Kraft; die Geschäftsführung haftet persönlich. Beides gehört zusammen gedacht.
Was ist bei einer Cyberversicherung nicht abgedeckt?
DSGVO-Bußgelder selbst sind in Deutschland nach herrschender Meinung nicht versicherbar. Die Verteidigungs-, Sachverständigen- und Folgekosten dagegen schon. Auch Schäden bei grober Fahrlässigkeit – etwa komplett fehlende Backups – können die Leistung kürzen.
Lohnt sich die Police auch mit guter IT-Sicherheit?
Ja. Selbst die beste IT hat ein Restrisiko – 207 Tage bleiben Angreifer im Schnitt unbemerkt (IBM X-Force). Eine Police übernimmt dann Forensik und Krisenkosten, die schnell sechsstellig werden. Gute Sicherheit senkt die Prämie, ersetzt die Absicherung aber nicht.
Kenn dein Cyber-Risiko in 5 Minuten
Kostenloser Risiko-Score, NIS-2-Status und Prämienspanne — ohne Login, ohne Verkaufsgespräch.
Jetzt kostenlos prüfen →