Über eine Cyberversicherung sind, je nach Vertragsumfang, berechtigte Haftpflichtansprüche und zentrale Eigenschäden abgesichert, die aus dem Missbrauch oder Verlust betrieblicher Daten entstehen. Steht eine Schadenersatzpflicht fest, ersetzt der Versicherer den Schaden bis zur vereinbarten Deckungssumme, teilweise mit separaten Sublimits je Risiko und Kostenart.
Cyber-Schäden sind selten ein einzelner Posten. Es geht um Ansprüche Dritter, interne Wiederherstellung, Krisenkommunikation und die Frage, ob Ihr Geschäft in Stunden oder Tagen wieder handlungsfähig ist.
Welche Schadenarten deckt eine Cyberversicherung ab
Eine gute Cyber-Deckung besteht aus zwei Bausteinen. Der erste Teil betrifft Drittschäden, also Haftpflichtansprüche. Der zweite Teil betrifft Eigenschäden, also Ihre eigenen Kosten und Ertragsausfälle.
Haftpflichtschutz bei Datenschutz- und IT-Sicherheitsvorfällen
Im Haftpflichtteil geht es um Ansprüche, die Dritte gegen Ihr Unternehmen geltend machen. Auslöser sind zum Beispiel der Abfluss personenbezogener Daten, die Manipulation von Systemen oder der unbefugte Zugriff auf Kundenportale.
Typische Positionen sind Schadenersatzforderungen, Abwehrkosten bei unbegründeten Forderungen und Kosten für anwaltliche Vertretung. Entscheidend ist, ob ein Haftungsgrund vorliegt und ob der Vorfall unter die Definition eines Cyber-Ereignisses fällt.
Eigenschäden als wirtschaftlicher Kern der Absicherung
Für viele Betriebe sind Eigenschäden der finanzielle Schwerpunkt. Dazu zählen Aufwendungen für IT-Forensik, Wiederherstellung von Daten, Systemreparatur, Krisenberatung und die Organisation von Benachrichtigungen.
Hinzu kommt oft der Ertragsausfall durch Betriebsunterbrechung. Dabei zählen nicht nur Serverausfälle, sondern auch die Unmöglichkeit, Aufträge abzuwickeln, Rechnungen zu schreiben oder Produktionsabläufe zu steuern.
Leistungen, Sublimits und typische Stolperstellen im Marktvergleich
Cyber-Tarife unterscheiden sich in der Praxis stark. Folgende Gegenüberstellung hilft, die wichtigsten Deckungsbausteine sauber zu prüfen:
| Baustein | Typische Leistung | Kritischer Prüfpunkt im Vertrag |
|---|---|---|
| Haftpflichtansprüche | Prüfung, Abwehr, Zahlung berechtigter Forderungen | Definition „Cyber-Ereignis“, Umfang der Abwehrkosten |
| IT-Forensik und Incident Response | Soforthilfe, Analyse, Eindämmung, Beweissicherung | Service-Provider Netz, Stundensätze, Freigabeprozesse |
| Daten- und Systemwiederherstellung | Recovery, Neuaufsetzen, Rücksicherung, Testing | Sublimits, Wartezeiten, Ausschlüsse bei Altsystemen |
| Betriebsunterbrechung | Ertragsausfall und fortlaufende Kosten | Karenzzeit, Maximalhaftzeit, Definition „Umsatz“ |
| Cyber-Erpressung | Krisenberatung, Verhandlungsführung, Zahlungen nach Freigabe | Sanktions- und Compliance-Klauseln, Nachweispflichten |
Deckungssummen, Sublimits und Selbstbehalte richtig einordnen
Die zentrale Deckungssumme begrenzt die maximale Entschädigung pro Versicherungsfall und häufig auch pro Versicherungsjahr. Zusätzlich setzen viele Tarife Sublimits für einzelne Kostenarten. Das betrifft oft Forensik, PR-Kosten, Benachrichtigungen oder Erpressung.
Für Ihre Planung ist der Selbstbehalt genauso relevant. Ein niedriger Selbstbehalt hilft bei häufigen, kleineren Vorfällen. Ein höherer Selbstbehalt kann Prämie sparen, verlagert aber den ersten finanziellen Schlag auf Ihr Unternehmen.
Wann der Haftpflichtteil nicht greift, obwohl ein Schaden da ist
Nicht jeder Vorfall führt automatisch zu einem ersatzfähigen Haftpflichtschaden. Häufige Ursachen sind eine zu enge Vorfalldefinition, fehlender Bezug zu Ihren eigenen Daten oder vertragliche Ausschlüsse.
Besonders praxisrelevant sind diese Konstellationen:
- Ansprüche aus Vertragsstrafen oder pauschalierten Schadenersatzklauseln, die nicht als Schaden anerkannt werden.
- Schäden, die aus bewusstem Pflichtverstoß, vorsätzlichem Handeln oder internen Manipulationen bestimmter Personen resultieren.
- Forderungen, die ausschließlich Bußgelder oder Sanktionen betreffen, die viele Versicherer gar nicht oder nur sehr eingeschränkt versichern.
Vertragliche Einbindung von Dienstleistern, Cloud und Lieferketten
Cyber-Risiken entstehen häufig in Schnittstellen, also bei IT-Dienstleistern, Cloud-Anbietern oder externen Administratoren. Gute Bedingungen regeln, ob Schäden über Dienstleister mitversichert sind, welche Nachweise Sie führen müssen und wie „Outsourcing“ definiert ist.
Für Unternehmen mit hoher Abhängigkeit von einem einzelnen Provider ist zudem relevant, ob Betriebsunterbrechung auch bei einem Ausfall des Dienstleisters greift. Hier entscheidet oft ein einzelner Absatz in den Bedingungen.
Beispiel aus der Praxis
Ein Ingenieur für Automatisierungstechnik betreibt in Hamburg Hammerbrook ein Planungsbüro mit Remote-Zugängen zu Kundenanlagen. Nach einer Phishing-Mail wird ein Administratorkonto übernommen. Es kommt zu Datenabfluss und zu einer Verschlüsselung zentraler Projektordner. Die Cyberversicherung übernimmt die IT-Forensik, die Wiederherstellung und die Krisenkommunikation. Zusätzlich werden berechtigte Haftpflichtansprüche eines Kunden reguliert, weil Projektpläne unbefugt veröffentlicht wurden, und unbegründete Forderungen werden auf Kosten des Versicherers abgewehrt.
Vertragliche Fallstricke im Detail
Cyber-Policen arbeiten mit Obliegenheiten. Das sind vertragliche Verhaltenspflichten, die Sie vor und nach einem Schaden erfüllen müssen. Typische Beispiele sind Mindeststandards in der IT, sichere Passwortrichtlinien, regelmäßige Updates und ein funktionierendes Backup-Konzept.
Wenn Obliegenheiten verletzt werden, drohen Kürzungen. Die Rechtsgrundlage im Versicherungsvertragsrecht spielt hier eine Rolle. Bei grob fahrlässiger Herbeiführung kann eine Kürzung nach § 81 VVG im Raum stehen, sofern der Vertrag keine bessere Regelung enthält.
Ein weiterer Punkt ist die vorvertragliche Anzeigepflicht. Cyber-Versicherer fragen oft sehr konkret nach IT-Struktur, Zugriffskonzepten und Schutzmaßnahmen. Falsche oder unvollständige Angaben können Rechte des Versicherers auslösen. Maßgeblich ist § 19 VVG.
Wir prüfen deshalb nicht nur die Prämie. Wir prüfen, ob die Bedingungen zu Ihrem Betrieb passen, und ob die Fragen im Antrag belastbar beantwortet werden können.
Steuerliche Einordnung für Unternehmen
Prämien für eine Cyberversicherung sind für Unternehmen typischerweise Betriebsausgaben, wenn sie betrieblich veranlasst sind. Die Basis dafür findet sich in § 4 Abs. 4 EStG. In der Buchhaltung sind zudem die Schadenleistungen sauber zuzuordnen, weil Erstattungen und Aufwendungen zeitlich auseinanderfallen können.
Für die Praxis entscheidend ist, dass die Cyberversicherung nicht nur Geld zahlt. Sie organisiert Dienstleistungen. Prüfen Sie, ob Dienstleister direkt abgerechnet werden können, oder ob Sie vorfinanzieren müssen.
So ordnen wir Cyber in Ihr strategisches Vorgehen ein
Cyber ist selten ein Einzelvertrag. Er hängt an Haftung, an Prozessen und an Ihrem Risikobild. Deshalb binden wir Cyber in ein ganzheitliches Konzept ein.
Folgende Schnittstellen sind in der Beratung besonders relevant:
- Abgrenzung zur Betriebshaftpflicht, weil Cyber spezifische IT-Risiken und Datenereignisse adressiert.
- Ergänzung durch Vermögensschadenshaftpflicht, wenn reine Vermögensschäden aus Beratungs- und Dienstleistungsfehlern im Fokus stehen.
- Passender Vertragsrahmen über die Cyberversicherung, inklusive Incident-Response-Leistungen und Krisenmanagement.
Fazit: Worauf es bei der Cyberversicherung ankommt
Wenn Sie Cyber sauber absichern wollen, sollten Sie diese Punkte verbindlich prüfen:
- Deckt der Vertrag Haftpflichtansprüche und Eigenschäden in der für Ihren Betrieb passenden Breite ab.
- Sind Deckungssummen und Sublimits so gewählt, dass Forensik, Wiederherstellung und Betriebsunterbrechung realistisch finanziert werden.
- Sind Dienstleister, Cloud-Nutzung und Remote-Zugriffe ausdrücklich im Risiko- und Bedingungswerk abgebildet.
- Sind Obliegenheiten konkret erfüllbar, und sind Freigabeprozesse im Schadenfall praktikabel.
- Ist die Police so eingebunden, dass sie mit Haftpflichtlösungen und internen Prozessen konsistent zusammenspielt.