Kurz vorweg: Eine Cyberversicherung zahlt dann nicht, wenn im Antrag Sicherheitsmaßnahmen zugesichert wurden, die es im Ernstfall gar nicht gab — Multi-Faktor-Anmeldung überall, getestete Backups, ein Patch-Rhythmus, der den Namen verdient. Der Fragebogen beim Abschluss ist kein lästiges Formular, sondern der eigentliche Vertrag. Und ehrlich betrachtet ist er eine ziemlich gute Sicherheits-Checkliste.
Warum ist der Fragebogen der eigentliche Vertrag?
Beim Abschluss einer Cyberpolice fragt der Versicherer nach eurem Sicherheitsstand: Habt ihr MFA für alle Fernzugriffe? Wie oft spielt ihr Updates ein? Gibt es getestete Backups, die offline liegen? Diese Fragen kreuzt man schnell mit „ja“ an, weil das die Prämie senkt und weil man es sowieso vorhat.
Jede dieser Antworten ist eine vertragliche Zusicherung. Sagt ihr „ja, MFA überall“ und der Angreifer kommt später über genau den einen RDP-Zugang rein, der doch kein MFA hatte, dann habt ihr eine Obliegenheit verletzt (§ 28 VVG). Der Versicherer darf die Leistung kürzen: bei grober Fahrlässigkeit anteilig, bei Vorsatz komplett.
Ihr bezahlt also jahrelang Prämie für einen Schutz, den ihr im entscheidenden Moment nicht bekommt. Das ist die teuerste Art, eine Versicherung zu haben.
Wann zahlt die Cyberversicherung nicht?
Die meisten Kürzungen und Ablehnungen laufen über dieselben paar Punkte:
| Grund | Was dahintersteckt |
|---|---|
| Falsche Angaben im Antrag | „MFA überall“ angekreuzt, real gab es Lücken. Die häufigste Ursache überhaupt. |
| Veraltete Software | Bekannte, seit Monaten gepatchte Lücke stand offen. Fahrlässig, also Kürzung. |
| Kein getestetes Backup | Backup existierte, ließ sich aber nicht wiederherstellen oder lag im selben Netz. |
| Zu spät gemeldet | Vertragliche Meldefristen (oft nur wenige Tage) verstreichen lassen. |
| Dienstleister ohne Freigabe | Eigenmächtig einen Incident-Responder beauftragt, den der Versicherer nicht deckt. |
| Lösegeld eigenmächtig gezahlt | Zahlung ohne Abstimmung, und Sanktions- oder Kriegsausschlüsse greifen ohnehin oft. |
Keiner dieser Punkte ist exotisch. Es sind genau die Dinge, die man im Alltag „später“ erledigt.
Dreht die Reihenfolge um
Der übliche Ablauf ist: Police abschließen, Fragebogen wegklicken, hoffen. Besser läuft es andersherum. Nehmt den Antragsfragebogen vor dem Abschluss und behandelt jede Frage als Aufgabe:
- Steht MFA wirklich auf jedem Fernzugriff — VPN, RDP, Webmail, Admin-Panels?
- Wann habt ihr das letzte Mal ein Backup wirklich wiederhergestellt, nicht nur gesichert?
- Liegt mindestens eine Kopie außerhalb der Reichweite eines Angreifers, also offline oder unveränderbar?
- Wisst ihr, welche Systeme ungepatcht laufen, und warum?
Wer diese vier Fragen ehrlich mit „ja“ beantworten kann, hat zwei Dinge auf einmal: eine Police, die im Ernstfall trägt, und ein Sicherheitsniveau, das die meisten Angriffe schon vorher abräumt. Die Versicherung ist dann das Sicherheitsnetz und nicht der Plan. Und nebenbei sinkt die Prämie, weil ehrliche „ja“ bares Geld sparen. Falls ihr gerade ohnehin prüft, ob NIS2 euch betrifft: Die Hausaufgaben überschneiden sich fast vollständig — einmal sauber gemacht, zweimal verwendet.
Wollt ihr den Antragsfragebogen einmal ehrlich durchgehen, bevor ihr unterschreibt? Schreib mir — in einer unabhängigen Beratung schauen wir gemeinsam, wo Zusicherung und Realität noch auseinanderliegen.