Versicherbare Kosten einer Cyber-Risk-Versicherung sind vor allem die Aufwände, die Ihrem Unternehmen nach einem Cybervorfall unmittelbar entstehen, sowie finanzielle Ansprüche Dritter, die durch eine Sicherheitsverletzung ausgelöst werden. Je nach Tarif werden zum Beispiel IT-Forensik, Rechtsberatung, Informations- und PR-Kosten, Betriebsunterbrechung, Wiederherstellung und auch Erpressungsschäden ersetzt.
In der Praxis entscheidet nicht die Schlagzeile „Ransomware“, sondern die konkrete Kostenkette. Wer darf beauftragt werden, welche Positionen sind als „Kosten“ definiert, und wo greifen Sublimits. Wir zeigen Ihnen, welche Kostenarten typischerweise versicherbar sind, und welche vertraglichen Details über die Erstattung entscheiden.
Welche Kostenarten die Cyber-Risk-Versicherung abdeckt
Die meisten Cyber-Risk-Konzepte kombinieren zwei Bereiche. Erstens Eigenschäden, also Kosten und Ertragsausfälle im eigenen Betrieb. Zweitens Drittschäden, also Abwehr- und Schadenersatzkosten, wenn Dritte Ansprüche gegen Sie erheben. Folgende Kostenpositionen finden sich, je nach Versicherer und Baustein, im Deckungsumfang.
Kosten für IT-Forensik und Incident Response
IT-Forensik ist häufig der erste große Kostenblock. Versichert sind typischerweise die Analyse des Angriffswegs, die Sicherung von Beweisen, die Bewertung des Datenabflusses sowie Handlungsempfehlungen zur Eindämmung. Relevant sind dabei auch vertragliche Vorgaben, ob Dienstleister frei wählbar sind oder aus einem Panel kommen.
Rechtsberatung und Kosten der Anspruchsabwehr
Nach einem Vorfall entstehen fast immer juristische Fragestellungen. Dazu zählen die Prüfung von Vertragspflichten gegenüber Kunden, Lieferanten oder Cloud-Providern, die Bewertung von Haftungsrisiken sowie die Begleitung bei Verhandlungen. Auf der Drittschadenseite sind häufig auch Anwalts- und Gerichtskosten zur Abwehr unberechtigter Ansprüche versichert.
Informationskosten und Benachrichtigungen
Wenn personenbezogene Daten oder Betriebsgeheimnisse betroffen sein können, muss die Informationskette sauber dokumentiert werden. Viele Tarife erstatten die Kosten für Hotline, Anschreiben, Porto, E-Mail-Kampagnen und das Aufsetzen einer Microsite. Entscheidend ist, ob die Police bereits bei Verdacht leistet oder erst bei nachgewiesenem Abfluss.
Kreditüberwachungsdienstleistungen
Bei bestimmten Datenarten verlangen Geschäftspartner oder Aufsichtsbehörden zusätzliche Schutzmaßnahmen. Kreditüberwachung, Identitätsmonitoring oder ähnliche Services werden häufig als erstattungsfähige Kosten definiert, wenn eine Betroffenheit plausibel ist. Achten Sie darauf, ob der Versicherer nur für einen festen Zeitraum zahlt und ob die Anzahl Betroffener begrenzt ist.
Krisenmanagement und PR-Beratung
Kommunikation ist im Cyberfall ein eigener Risikotreiber. Versichert sind oft externe Krisenberater, PR-Agenturen, Medien-Statements, Q&A-Kataloge und Stakeholder-Kommunikation. Wichtig ist, dass diese Leistungen nicht als „Marketing“ ausgelegt werden, sondern als Schadenminderung. Klare Begriffe im Vertrag helfen.
Betriebsunterbrechungsschäden
Ertragsausfälle entstehen, wenn Systeme ausfallen, Produktion stoppt oder Dienstleistungen nicht erbracht werden können. Gute Bedingungen decken entgangenen Gewinn und fortlaufende Kosten, zum Beispiel Mieten oder Leasingraten. Achten Sie auf Wartezeiten, den Messzeitraum und darauf, ob auch Ausfälle bei Dienstleistern, etwa Cloud- oder Payment-Anbietern, eingeschlossen sind.
Vertragsstrafen im Kartenumfeld (PCI)
Wenn Karten- oder Zahlungsdaten betroffen sind, können vertragliche Sanktionen aus dem PCI-Umfeld relevant werden. Manche Versicherer bieten dafür eigene Bausteine. Maßgeblich ist, ob es sich um eine erstattungsfähige vertragliche „Assessment“-Kostenposition handelt oder um nicht versicherbare Strafzahlungen. Eine saubere Begriffsdefinition ist hier zentral.
Lösegeldzahlungen und Kosten der Erpressung
Bei Cyber-Erpressung können Verhandlungskosten, technische Unterstützung zur Entschlüsselung und in manchen Tarifen auch Lösegeldzahlungen versichert sein. In der Beratung klären wir, welche Voraussetzungen gelten, welche Dokumentationspflichten bestehen und wie Sanktionsrecht berücksichtigt wird. Das Außenwirtschaftsrecht kann hier eine Rolle spielen, siehe Außenwirtschaftsgesetz.
Wiederherstellungskosten und Datenrekonstruktion
Nach der Eindämmung beginnt die Wiederherstellung. Erstattungsfähig sind häufig die Neuinstallation von Systemen, das Einspielen von Backups, die Datenrekonstruktion und das Härten der Umgebung. Praxisrelevant ist die Abgrenzung zu ohnehin geplanten IT-Projekten. Manche Tarife zahlen nur den „Wiederherstellungsmehraufwand“.
Sicherheitsverbesserungen nach dem Vorfall
Einige Versicherer übernehmen definierte Maßnahmen zur Sicherheitsverbesserung, wenn sie unmittelbar aus dem Schadenereignis abgeleitet sind. Das kann Multi-Faktor-Authentifizierung, Segmentierung oder ein neues Backup-Konzept sein. Hier finden sich oft niedrige Sublimits, die dennoch wertvoll sein können, weil sie die Wiederholungsgefahr senken.
Damit Sie die Positionen sauber einordnen können, hilft eine strukturierte Gegenüberstellung. Die folgende Übersicht zeigt typische Kostenarten und die Vertragsstellen, die wir bei der Prüfung besonders genau lesen.
| Kostenart | Typischer Auslöser | Worauf im Vertrag achten |
|---|---|---|
| IT-Forensik | Ransomware, Datenabfluss, kompromittierte Accounts | Dienstleisterwahl, Soforthilfe, Definition „Cyber-Ereignis“ |
| Rechts- und Abwehrkosten | Ansprüche Dritter, Vertragsfragen, Behördenkontakt | Deckung für Defense Costs, Gerichtsstand, Sublimits |
| Informations- und PR-Kosten | Benachrichtigungen, Medienanfragen, Kundenkommunikation | Erstattung bei Verdacht, Umfang Betroffene, Panelpflicht |
| Betriebsunterbrechung | Systemausfall, Cloud-Störung, Produktionsstillstand | Wartezeit, Messzeitraum, Dienstleisterausfall, Nachhaftung |
| Erpressungsschäden | Drohung mit Veröffentlichung, Verschlüsselung | Freigabeprozess, Sanktionsklauseln, Dokumentationspflicht |
| Wiederherstellung | Neuaufsetzen, Datenrekonstruktion, Hardening | Mehraufwand-Abgrenzung, Sublimit, Backup-Anforderungen |
Für eine belastbare Absicherung betrachten wir Cyber nicht isoliert, sondern im Zusammenspiel mit Ihrer Haftungs- und IT-Risikolandschaft. Dazu gehört ein ganzheitliches Konzept, das die passenden Bausteine priorisiert und die Sublimits am realen Schadenbild ausrichtet.
Ergänzend prüfen wir, welche Schnittstellen zu angrenzenden Policen bestehen, etwa zur Elektronikversicherung oder zur Vermögensschadenhaftpflichtversicherung. So vermeiden Sie Deckungslücken und Doppelungen.
Beispiel aus der Praxis
Ein Systemingenieur aus Hamburg Hammerbrook verantwortet die IT eines kleinen Ingenieurbüros. Nach einer Phishing-Mail werden Admin-Zugangsdaten missbraucht, und Dateien auf einem Fileserver werden verschlüsselt. Die Cyber-Risk-Police übernimmt die IT-Forensik, die externe Krisenkoordination und die Wiederherstellung. Zusätzlich werden Rechtsberatung und die Kommunikation an betroffene Projektpartner bezahlt. Weil die Abläufe vorab festgelegt waren, konnte die Betriebsunterbrechung kurz gehalten werden, und der Ertragsausfall blieb im vereinbarten Rahmen.
Vertragliche Fallstricke im Detail
Ob eine Kostenposition tatsächlich erstattet wird, hängt oft an wenigen Sätzen in den Bedingungen. Wir fokussieren deshalb auf Punkte, die im Schadenfall regelmäßig über die Höhe der Leistung entscheiden.
Definitionen, Auslöser und Rückwärtsdeckung
Leistet der Vertrag bei „Sicherheitsverletzung“, bei „Fehlbedienung“ und bei „Systemfehler“ oder nur bei „Hackerangriff“. Auch der Zeitpunkt ist relevant. Manche Tarife arbeiten mit Rückwärtsdeckung, andere schließen länger unentdeckte Vorfälle aus.
Sublimits, Selbstbehalt und Priorisierung
Ein hoher Gesamtbetrag hilft wenig, wenn zentrale Bausteine niedrig begrenzt sind. Typisch sind getrennte Sublimits für PR, Monitoring oder Sicherheitsverbesserungen. Der Selbstbehalt kann je Kostenart unterschiedlich sein. Wir strukturieren die Prioritäten anhand Ihrer Prozesse und Ihrer Abhängigkeiten.
Obliegenheiten und korrekte Angaben im Antrag
Cyber-Anträge fragen nach Backup-Konzept, Patch-Management, Berechtigungskonzept und Schulungen. Diese Angaben müssen zutreffen. Das Versicherungsvertragsrecht kennt vorvertragliche Anzeigepflichten, siehe § 19 VVG. In der Praxis vermeiden Sie Streit, wenn wir die Antragspunkte dokumentieren und die Sicherheitslage nachvollziehbar beschreiben.
Betriebsunterbrechung: Messlogik und Dienstleisterabhängigkeit
Bei Betriebsunterbrechung sind Wartezeit und Messzeitraum entscheidend. Zusätzlich stellt sich die Frage, ob ein Ausfall Ihres Cloud-Providers als versichertes Ereignis gilt. Auch die Abgrenzung zwischen Kosten der Wiederherstellung und Kosten der Betriebsunterbrechung muss stimmig sein.
Erpressung: Freigabewege und Sanktionsklauseln
Viele Versicherer verlangen eine sofortige Einbindung des Incident-Response-Teams und klare Freigabewege. Damit schützen Sie sich vor Alleingängen im Stress. Für den Straftatbestand der Computersabotage kann zum Beispiel § 303b StGB relevant sein, was die Zusammenarbeit mit Ermittlungsbehörden ebenfalls zu einem Thema macht.
Fazit: So sichern Sie die Kostenkette im Cyber-Schaden
Wenn wir eine Cyber-Risk-Versicherung prüfen oder neu strukturieren, arbeiten wir entlang weniger, aber harter Kriterien. Folgende Punkte sind dafür entscheidend:
- Trennen Sie Eigenschaden und Drittschaden, und prüfen Sie beide Deckungsstränge auf ausreichende Limits.
- Bewerten Sie Sublimits für Forensik, PR, Monitoring und Sicherheitsverbesserungen, weil diese Kostenblöcke schnell entstehen.
- Klare Bedingungen zur Betriebsunterbrechung sind zentral, inklusive Wartezeit, Messzeitraum und Dienstleisterausfall.
- Erpressung ist ein eigener Vertragskomplex, inklusive Freigabeprozess, Dienstleistersteuerung und Sanktionsbezug.
- Saubere Antragsangaben und dokumentierte Sicherheitsmaßnahmen reduzieren Streitpotenzial im Leistungsfall.
Wenn Sie möchten, besprechen wir Ihre aktuelle Police persönlich in unserem Büro in Hamburg oder digital per Videokonferenz. Dabei ordnen wir die versicherbaren Kostenarten an Ihrem realen Risiko- und Prozessbild aus.