Cyberversicherung für kleine Unternehmen: worauf es wirklich ankommt
Elektronische Daten sind rechtlich keine Sachen. Deshalb greift Ihre Betriebshaftpflicht bei einem reinen Cybervorfall nicht – die eigenen Kosten für IT-Wiederherstellung, Betriebsunterbrechung oder Erpressung bleiben bei Ihnen. Genau diese Lücke schließt eine Cyberversicherung. Diese Seite ordnet für Einzelunternehmen, Selbstständige und kleinere Betriebe ein, was dahintersteckt – und warum der günstigste Tarif nicht der beste sein muss.
- Was eine Cyberversicherung absichert
- Reicht meine bestehende Versicherung nicht?
- Der entscheidende Punkt: die Obliegenheiten
- Worauf es im Vertrag ankommt
- Prävention: die Police ersetzt keine IT-Sicherheit
- NIS2 und die Lieferkette – auch ein Thema für kleine Betriebe
- Sie haben schon eine Cyberpolice? Dann ist es nicht erledigt
- Kurzer Selbstcheck zur Orientierung
- Meine Rolle: Beratung und Begleitung, nicht nur ein Vertrag
- Häufige Fragen
Was eine Cyberversicherung absichert
Eine Cyberversicherung nach den heute üblichen Bedingungen ist eine Kombination aus mehreren Bausteinen. Sie leistet bei Vermögensschäden infolge einer Informationssicherheitsverletzung – also wenn Verfügbarkeit, Integrität oder Vertraulichkeit Ihrer Daten und IT-Systeme beeinträchtigt sind. Drei Bereiche stehen im Mittelpunkt:
| Bereich | Was abgedeckt ist |
|---|---|
| Eigenschaden | Kosten des eigenen Betriebs: IT-Forensik zur Ursachenklärung, Wiederherstellung von Daten und Systemen, Krisenkommunikation, Benachrichtigungspflichten – und der oft schwerste Posten: die Betriebsunterbrechung, wenn nichts mehr läuft. |
| Drittschaden | Ansprüche Dritter, etwa nach einer Datenschutzverletzung: Prüfung, Abwehr unberechtigter und Erfüllung berechtigter Forderungen, einschließlich der Kosten der rechtlichen Abwehr. |
| Soforthilfe | 24/7-Krisenhotline mit Zugang zu IT-Fachleuten, Datenschutzjuristinnen und -juristen sowie PR-Fachleuten. Diese Experten-Soforthilfe ist im Ernstfall oft wertvoller als die reine Kostenerstattung. |
Die Betriebsunterbrechung ist bei vielen Cybervorfällen der größte Schadenposten. Sie ersetzt den Ertragsausfall – fortlaufende Kosten und entgangenen Gewinn – sowie die Mehrkosten, um den Betrieb wieder ans Laufen zu bringen.
Reicht meine bestehende Versicherung nicht?
Das ist der häufigste Einwand – und die Antwort ist ein klares Nein für die Eigenschäden. Die Betriebshaftpflicht zielt auf Personen- und Sachschäden Dritter. Die eigenen Kosten für IT-Wiederherstellung, Betriebsunterbrechung und Erpressung fallen strukturell heraus, weil es sich um reine Vermögensschäden ohne Sachbezug handelt.
Auch zur Vertrauensschadenversicherung gibt es eine wichtige Abgrenzung. Sie greift bei Betrug durch Vertrauenspersonen. Ob im konkreten Fall die Cyber- oder die Vertrauensschadenversicherung leistet, hängt davon ab, ob ein tatsächlicher Eingriff in die IT vorlag. Beim reinen Zahlungsbetrug per manipulierter E-Mail ohne IT-Eingriff – dem sogenannten „Fake President“ – verläuft die Grenze genau hier. Manche Tarife schließen diesen Fall aus, andere bieten ihn als Zusatzbaustein, wieder andere schließen ihn ausdrücklich ein. Das ist einer der Punkte, an denen sich Vertragsqualität entscheidet.
Der entscheidende Punkt: die Obliegenheiten
Obliegenheiten sind die Pflichten, die Sie als Betrieb erfüllen müssen, damit der Schutz im Schadenfall trägt. Hier liegt die eigentliche Bruchstelle der Sparte: Wer die vereinbarten IT-Sicherheitsmaßnahmen grob fahrlässig nicht einhält, muss mit einer anteiligen Leistungskürzung rechnen; bei Falschangaben im Antrag kann der Schutz ganz entfallen. Und die Anforderungen unterscheiden sich von Anbieter zu Anbieter erheblich.
Das ist ausdrücklich kein Grund zur Resignation. Die Bandbreite reicht von streng bis niedrigschwellig – und für nahezu jedes Sicherheitsniveau gibt es einen passenden Tarif:
| Anforderungsniveau | Typische Pflichten | Passt zu |
|---|---|---|
| Hoch | Regelmäßige, vom Netzwerk getrennte Datensicherung, Zwei-Faktor-Authentifizierung, feste Fristen für Sicherheitsupdates, isolierter Betrieb veralteter Systeme. | Betriebe mit eigener IT oder externem IT-Dienstleister. |
| Mittel | Wöchentliche Sicherung, Virenschutz und Firewall, geregeltes Update-Management, sichere Passwörter, gesicherter Fernzugriff, regelmäßige Schulung. | Kleinere Betriebe mit geordneter, aber schlanker IT. |
| Niedrig | Keine festen technischen Vorschadens-Pflichten im Bedingungswerk; das Gewicht liegt auf der ehrlichen Beantwortung der Antragsfragen. | Einzelunternehmen und Kleinstbetriebe ohne eigene IT-Struktur. |
Geringe Obliegenheiten sind kein reiner Vorteil. Wo ein Anbieter keine technischen Mindestmaßnahmen verlangt, verlagert sich das Gewicht auf die vorvertragliche Anzeigepflicht: Die Fragen im Antrag müssen dann umso sorgfältiger und wahrheitsgemäß beantwortet werden. Der Schutz ist nicht geschenkt, sondern anders gelagert.
Aktuelle Marktauswertungen zeigen die Streuung deutlich: Ein erheblicher Teil der Anbieter verlangt weitreichende Sicherheitsstandards nach dem Stand der Technik, ein anderer Teil verzichtet auf technische Vorschadens-Obliegenheiten. Genau hier liegt der Wert einer Auswahl, die zum Betrieb passt – und nicht bloß zum Preis.
Worauf es im Vertrag ankommt
Über die reine Versicherungssumme hinaus entscheiden Details, die im Ernstfall den Unterschied machen:
| Prüfpunkt | Warum er zählt |
|---|---|
| Sublimits | Einzelne Leistungen (etwa Betriebsunterbrechung durch Cloud-Ausfall oder Vertragsstrafen) sind oft nur bis zu einem Betrag weit unter der Hauptsumme gedeckt. Eine hohe Gesamtsumme kann so trügerische Sicherheit geben. |
| Zeitliche Selbstbeteiligung | Bei der Betriebsunterbrechung trägt der Betrieb den Ertragsausfall der ersten Stunden selbst. Diese Wartezeit ist von Tarif zu Tarif unterschiedlich und wird leicht übersehen. |
| Ausschlüsse | Vorsatz und bereits bekannte Vorfälle sind ausgeschlossen. Der erweiterte Kriegsausschluss für staatlich zugeschriebene Angriffe ist im Markt angekommen; strittig ist vor allem, wie ein Angriff einem Staat zugeschrieben wird. |
| Vorrangigkeit | Die Cyberpolice greift in der Regel vorrangig vor anderen Verträgen. Das entkräftet den Gedanken, das Risiko sei „anderswo schon mitversichert“. |
| Homeoffice und eigene Geräte | Aktuelle Tarife schließen die betriebliche Nutzung privater Geräte und die Arbeit im Homeoffice ausdrücklich ein – für Selbstständige und Kleinbetriebe ein konkret greifbarer Punkt. |
Prävention: die Police ersetzt keine IT-Sicherheit
Eine Cyberversicherung ist kein Ersatz für IT-Sicherheit, sondern ihre Ergänzung. Moderne Tarife tragen dem Rechnung und liefern Präventionswerkzeuge gleich mit: Schulungen und Phishing-Simulationen zur Sensibilisierung, Warnmeldungen zu neuen Bedrohungen, teils Scan-Werkzeuge zur frühen Erkennung. Manche Anbieter honorieren absolvierte Schulungen sogar mit einem reduzierten Selbstbehalt.
Der praktische Nutzen: Wer die mitgelieferte Prävention nutzt, senkt das Risiko eines Vorfalls – und erfüllt zugleich leichter die vereinbarten Obliegenheiten.
NIS2 und die Lieferkette – auch ein Thema für kleine Betriebe
Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Die direkte gesetzliche Pflicht greift erst ab 50 Beschäftigten und nur in bestimmten Branchen – die meisten kleineren Betriebe sind davon nicht unmittelbar betroffen.
Der Haken liegt woanders: Unternehmen, die selbst unter NIS2 fallen, müssen ihre Lieferkette absichern und geben Cybersicherheits-Anforderungen an ihre Dienstleister und Zulieferer weiter – per Vertrag und Nachweispflicht. Gerade im Raum Stuttgart und in Baden-Württemberg trifft das viele kleinere Zulieferer, etwa im Maschinenbau, die für größere, NIS2-pflichtige Auftraggeber arbeiten. Sie geraten so mittelbar unter Nachweisdruck, ohne selbst unter das Gesetz zu fallen. Eine belastbare IT-Sicherheit – und der passende Versicherungsschutz dahinter – wird damit zum Faktor im Wettbewerb um Aufträge.
Sie haben schon eine Cyberpolice? Dann ist es nicht erledigt
Kaum eine Sparte bewegt sich so schnell wie diese. Die Musterbedingungen der Branche wurden 2024 erstmals seit 2017 überarbeitet; einzelne Anbieter aktualisieren ihre Bedingungswerke im Jahresrhythmus. Eine vor einigen Jahren abgeschlossene Police kann heute veraltet sein – beim Deckungsumfang (mobiles Arbeiten, Cloud, Datenschutzhaftung), bei den Obliegenheiten und bei den Ausschlüssen.
Deshalb lohnt die regelmäßige Prüfung. Sie kann zu einer Anpassung beim bestehenden Versicherer führen oder, wo es sinnvoll ist, zu einem Wechsel. Beides gehört geprüft, nicht dem Zufall überlassen.
Fristen im Blick behalten. Cyber-Verträge verlängern sich meist automatisch, wenn nicht rechtzeitig gekündigt wird. Wichtiger noch als die Kündigungsfrist ist beim Anbieterwechsel der lückenlose Anschluss: Weil die Haftpflicht danach fragt, wann ein Anspruch erhoben wird, und nicht nur, wann der Vorfall geschah, kann zwischen altem und neuem Vertrag eine Deckungslücke entstehen. Nachmeldefristen des alten und die Rückwärtsversicherung des neuen Vertrags müssen sauber ineinandergreifen. Die Grundregel: erst den neuen Schutz sichern, dann den alten beenden – nie umgekehrt.
Kurzer Selbstcheck zur Orientierung
Die folgenden Fragen zeigen, welche Punkte Versicherer typischerweise abfragen. Sie sind eine reine Orientierung – keine Aussage über Versicherbarkeit, Beitrag oder Konditionen. Die verbindliche Einschätzung erfolgt im persönlichen Gespräch.
Verarbeiten Sie personenbezogene Daten (Kunden-, Beschäftigten- oder Gesundheitsdaten)?
Ist Ihr Betrieb für seine tägliche Arbeit auf funktionierende IT-Systeme angewiesen?
Erstellen Sie regelmäßige Datensicherungen – und liegen diese getrennt vom laufenden System?
Nutzen Sie für Fernzugriffe eine Zwei-Faktor-Anmeldung oder eine gesicherte Verbindung?
Arbeiten Sie für Auftraggeber, die selbst unter NIS2 fallen könnten (größere Betriebe in regulierten Branchen)?
Haben Sie bereits eine Cyberpolice, deren Bedingungen älter als zwei bis drei Jahre sind?
Meine Rolle: Beratung und Begleitung, nicht nur ein Vertrag
Cyber ist die Sparte, in der der Unterschied zwischen Produktverkauf und Beratung am größten ist. Obliegenheiten, Fristen, Bausteinwahl und die saubere Abgrenzung zu bestehenden Verträgen entscheiden über die tatsächliche Leistung – und all das erschließt sich aus einem Preisvergleich nicht.
Als freier Versicherungsmakler mit marktbreiter Auswahl ohne Produktbindung lese ich Bedingungswerke gegeneinander, statt nur Prämien zu vergleichen. Und ich bin im Schadenfall an Ihrer Seite – in dem Moment, an den vorher die wenigsten glauben und den kaum jemand allein strukturiert bewältigt. Genau dann zählen eine schnelle Krisenreaktion, die Einhaltung von Meldefristen unter Zeitdruck und jemand, der Ihren Vertrag kennt.
Gespräch zur Cyberabsicherung vereinbaren
Häufige Fragen
Brauche ich als Einzelunternehmer ohne Mitarbeiter eine Cyberversicherung?
Das hängt vom Risiko ab. Wenn Sie sensible Daten verarbeiten, auf funktionierende IT angewiesen sind oder einen Onlineshop betreiben, kann ein Cybervorfall die Existenz treffen – dann ist die Absicherung sinnvoll. Wer kaum digitale Prozesse hat, für den ist sie nachrangiger. Diese Einschätzung lässt sich nur mit Blick auf den konkreten Betrieb treffen.
Deckt meine Betriebshaftpflicht Cyberschäden nicht schon ab?
Für die eigenen Schäden nicht. Die Betriebshaftpflicht deckt Personen- und Sachschäden Dritter. Kosten für IT-Wiederherstellung, Betriebsunterbrechung und Erpressung sind reine Vermögensschäden ohne Sachbezug und fallen heraus. Genau diese Lücke schließt die Cyberpolice.
Zahlt die Cyberversicherung bei Ransomware das Lösegeld?
Das hängt stark vom Bedingungswerk ab. Manche Tarife decken die Lösegeldzahlung als reguläre Leistung, andere schließen sie aus. In jedem Fall gehören die Krisenberatung, IT-Forensik und Wiederherstellung zum Kern. Ob und wie Lösegeld erfasst ist, gehört zu den Punkten, die man vor Abschluss klärt.
Sind DSGVO-Bußgelder über die Cyberversicherung abgedeckt?
Ein verhängtes Bußgeld ist in Deutschland nach überwiegender juristischer Auffassung nicht versicherbar, weil das den Zweck der Sanktion unterlaufen würde. Was die Police trägt, sind die Kosten der rechtlichen Abwehr, die Prüfung des Bescheids und die Meldepflichten. Einzelne Bedingungswerke schließen das Bußgeld selbst vertraglich ein – wirksam wird das aber nur, soweit kein gesetzliches Versicherungsverbot entgegensteht.
Was passiert, wenn ich die IT-Sicherheitsauflagen nicht einhalte?
Bei grob fahrlässiger Verletzung darf der Versicherer die Leistung anteilig kürzen, bei Vorsatz oder Falschangaben im Antrag kann der Schutz ganz entfallen. Die Beweislast dafür, dass keine grobe Fahrlässigkeit vorlag, trägt der Betrieb. Deshalb ist es wichtig, nur Maßnahmen zuzusichern, die auch dauerhaft umgesetzt werden.
Bin ich als kleiner Zulieferer von NIS2 betroffen, obwohl mein Betrieb zu klein ist?
Direkt meist nicht. Über die Lieferkette aber oft doch: NIS2-pflichtige Auftraggeber geben ihre Sicherheitsanforderungen vertraglich an Zulieferer weiter. Wer für solche Kunden arbeitet, muss zunehmend ein Sicherheitsniveau nachweisen – ganz gleich, wie groß der eigene Betrieb ist.
Ich habe schon eine Cyberpolice. Muss ich mich darum kümmern?
Ja. Der Markt und die Bedingungen ändern sich schnell. Ein Vertrag von vor einigen Jahren kann in Deckung, Obliegenheiten und Ausschlüssen veraltet sein. Eine regelmäßige Prüfung zeigt, ob eine Anpassung beim bestehenden Versicherer genügt oder ein Wechsel sinnvoll ist – wobei die Anschlussfristen sauber eingehalten werden müssen.
Stand: Juli 2026. Diese Seite dient der allgemeinen Information und Einordnung und ersetzt weder eine individuelle Beratung noch die Versicherungsbedingungen im Einzelfall. Keine der hier getroffenen Aussagen ist auf einen bestimmten Betrieb, Vertrag oder Tarif gemünzt oder sagt eine Deckung im konkreten Schadenfall zu; ob und in welchem Umfang geleistet wird, richtet sich allein nach dem jeweiligen Vertrag. Die Inhalte wurden mit Sorgfalt erstellt; eine Gewähr für Vollständigkeit, Richtigkeit und Aktualität wird nicht übernommen. Beschreibungen von Tarifen und Marktpraxis geben den Stand zum Redaktionszeitpunkt wieder, sind nicht abschließend und treffen nicht auf jeden Tarif zu. Maßgeblich sind stets die Bedingungen des jeweiligen Tarifs in der geltenden Fassung. Rechtsgrundlagen und Marktstände – insbesondere zum NIS2-Umsetzungsgesetz (in Kraft seit 6. Dezember 2025) und zu den Musterbedingungen der Branche (Stand Februar 2024) – können sich ändern; die jeweils aktuelle Fassung ist ausschlaggebend. Ausführungen zu Rechtsfragen, etwa zur Versicherbarkeit von Bußgeldern oder zur NIS2-Betroffenheit, ersetzen keine Rechtsberatung im Einzelfall; für eine verbindliche rechtliche Einschätzung wenden Sie sich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.

