← Zurück zum Blog

6. Mai 2026 · 2 Min. Lesezeit

Wann die Cyberversicherung nicht zahlt

Ob die Cyberversicherung im Schadensfall zahlt, entscheidet sich Monate vorher im Antrag. Warum der Fragebogen deine eigentliche Security-To-do-Liste ist.

AA
Anton Anders
IT-Berater & Entwickler

Kurz vorweg: Eine Cyberversicherung zahlt dann nicht, wenn im Antrag Sicherheitsmaßnahmen zugesichert wurden, die es im Ernstfall gar nicht gab — Multi-Faktor-Anmeldung überall, getestete Backups, ein Patch-Rhythmus, der den Namen verdient. Der Fragebogen beim Abschluss ist kein lästiges Formular, sondern der eigentliche Vertrag. Und ehrlich betrachtet ist er eine ziemlich gute Sicherheits-Checkliste.

Warum ist der Fragebogen der eigentliche Vertrag?

Beim Abschluss einer Cyberpolice fragt der Versicherer nach eurem Sicherheitsstand: Habt ihr MFA für alle Fernzugriffe? Wie oft spielt ihr Updates ein? Gibt es getestete Backups, die offline liegen? Diese Fragen kreuzt man schnell mit „ja“ an, weil das die Prämie senkt und weil man es sowieso vorhat.

Jede dieser Antworten ist eine vertragliche Zusicherung. Sagt ihr „ja, MFA überall“ und der Angreifer kommt später über genau den einen RDP-Zugang rein, der doch kein MFA hatte, dann habt ihr eine Obliegenheit verletzt (§ 28 VVG). Der Versicherer darf die Leistung kürzen: bei grober Fahrlässigkeit anteilig, bei Vorsatz komplett.

Ihr bezahlt also jahrelang Prämie für einen Schutz, den ihr im entscheidenden Moment nicht bekommt. Das ist die teuerste Art, eine Versicherung zu haben.

Wann zahlt die Cyberversicherung nicht?

Die meisten Kürzungen und Ablehnungen laufen über dieselben paar Punkte:

GrundWas dahintersteckt
Falsche Angaben im Antrag„MFA überall“ angekreuzt, real gab es Lücken. Die häufigste Ursache überhaupt.
Veraltete SoftwareBekannte, seit Monaten gepatchte Lücke stand offen. Fahrlässig, also Kürzung.
Kein getestetes BackupBackup existierte, ließ sich aber nicht wiederherstellen oder lag im selben Netz.
Zu spät gemeldetVertragliche Meldefristen (oft nur wenige Tage) verstreichen lassen.
Dienstleister ohne FreigabeEigenmächtig einen Incident-Responder beauftragt, den der Versicherer nicht deckt.
Lösegeld eigenmächtig gezahltZahlung ohne Abstimmung, und Sanktions- oder Kriegsausschlüsse greifen ohnehin oft.

Keiner dieser Punkte ist exotisch. Es sind genau die Dinge, die man im Alltag „später“ erledigt.

Dreht die Reihenfolge um

Der übliche Ablauf ist: Police abschließen, Fragebogen wegklicken, hoffen. Besser läuft es andersherum. Nehmt den Antragsfragebogen vor dem Abschluss und behandelt jede Frage als Aufgabe:

  • Steht MFA wirklich auf jedem Fernzugriff — VPN, RDP, Webmail, Admin-Panels?
  • Wann habt ihr das letzte Mal ein Backup wirklich wiederhergestellt, nicht nur gesichert?
  • Liegt mindestens eine Kopie außerhalb der Reichweite eines Angreifers, also offline oder unveränderbar?
  • Wisst ihr, welche Systeme ungepatcht laufen, und warum?

Wer diese vier Fragen ehrlich mit „ja“ beantworten kann, hat zwei Dinge auf einmal: eine Police, die im Ernstfall trägt, und ein Sicherheitsniveau, das die meisten Angriffe schon vorher abräumt. Die Versicherung ist dann das Sicherheitsnetz und nicht der Plan. Und nebenbei sinkt die Prämie, weil ehrliche „ja“ bares Geld sparen. Falls ihr gerade ohnehin prüft, ob NIS2 euch betrifft: Die Hausaufgaben überschneiden sich fast vollständig — einmal sauber gemacht, zweimal verwendet.


Wollt ihr den Antragsfragebogen einmal ehrlich durchgehen, bevor ihr unterschreibt? Schreib mir — in einer unabhängigen Beratung schauen wir gemeinsam, wo Zusicherung und Realität noch auseinanderliegen.

Häufige Fragen

Wann verweigert die Cyberversicherung die Zahlung? +

Am häufigsten bei falschen Angaben im Antrag: MFA oder getestete Backups wurden zugesichert, existierten aber nicht. Auch veraltete Software, verspätete Meldung und eigenmächtig gezahltes Lösegeld führen zu Kürzung oder Ablehnung.

Was ist der Antragsfragebogen rechtlich? +

Eine vertragliche Zusicherung, keine Formalie. Wer Maßnahmen ankreuzt, die es nicht gibt, verletzt eine Obliegenheit — der Versicherer darf die Leistung bei grober Fahrlässigkeit anteilig kürzen, bei Vorsatz komplett verweigern.

Was sollte ich für den Versicherungsfall dokumentieren? +

Alles, was die zugesicherten Maßnahmen belegt: MFA-Abdeckung, Patch-Stände, dokumentierte Restore-Tests und die Meldewege samt Fristen. Im Schadensfall zählt, was ihr nachweisen könnt, nicht, was ihr gemeint habt.

Senkt ein ehrlicher Fragebogen die Prämie? +

Ja. Wer die abgefragten Maßnahmen wirklich umgesetzt hat, kann sie wahrheitsgemäß zusichern und bekommt bessere Konditionen. Vor allem aber trägt die Police dann im Ernstfall, statt an einer Obliegenheitsverletzung zu scheitern.

Klingt nach deinem Thema?

Lass uns unverbindlich darüber reden — kostenlos und ohne Verpflichtung.