Cyber-Versicherung 2026: Was Versicherer jetzt fordern
Das Wichtigste in Kürze
- Cyber-Versicherer akzeptieren 2026 keine Selbstauskünfte mehr ohne technische Verifikation — externe Prüfberichte und technische Assessments werden zunehmend gefordert
- MFA muss für alle extern erreichbaren Dienste und administrativen Zugänge aktiviert sein, nicht nur für VPN und E-Mail — Ausnahmen werden gezielt abgefragt
- Backups mit Offline-Kopien (Air Gap) und nachgewiesener Wiederherstellbarkeit sind Pflichtanforderung; Backups im selben Netzwerk gelten nicht als ausreichend
- Viele Unternehmen scheitern nicht an den Maßnahmen selbst, sondern an der Nachweisfähigkeit — Dokumentation ist genauso wichtig wie die technische Umsetzung
- Versicherungsanforderungen und echte Sicherheitsmaßnahmen überschneiden sich weitgehend: jede Maßnahme für den Versicherer verbessert auch die tatsächliche Sicherheitslage
Der Markt für Cyber-Versicherungen hat sich verändert. Während vor einigen Jahren ein ausgefüllter Fragebogen für den Abschluss einer Police genügte, verlangen Versicherer 2026 konkrete technische Nachweise. Unternehmen, die diese Anforderungen nicht erfüllen, erhalten entweder eingeschränkten Schutz, höhere Prämien oder werden abgelehnt.
Was Versicherer 2026 verlangen
Die Anforderungen variieren je nach Versicherer, aber ein Kern an Maßnahmen hat sich als Standard etabliert.
Multi-Faktor-Authentifizierung für alle Zugänge. Nicht nur für VPN und E-Mail, sondern für alle extern erreichbaren Dienste und alle administrativen Zugänge. Versicherer fragen gezielt nach, welche MFA-Methoden eingesetzt werden und ob Ausnahmen existieren.
Endpoint Detection and Response (EDR). Klassische Antivirenlösungen gelten nicht mehr als ausreichend. Versicherer erwarten eine EDR-Lösung, die Bedrohungen auf Endgeräten in Echtzeit erkennt und Reaktionsmaßnahmen ermöglicht.
Backup-Strategie mit Offline-Kopien. Backups müssen nicht nur existieren, sondern auch vor Ransomware geschützt sein. Das bedeutet: mindestens eine Kopie, die vom Netzwerk getrennt aufbewahrt wird (Air Gap) und regelmäßig auf Wiederherstellbarkeit getestet wird.
Incident-Response-Plan. Versicherer fragen nach einem dokumentierten Plan, der festlegt, wer im Ernstfall was tut. Der Plan muss Eskalationswege, Kommunikationsverantwortlichkeiten und technische Sofortmaßnahmen definieren.
Patch-Management-Nachweis. Kritische Sicherheitsupdates müssen zeitnah eingespielt werden. Versicherer erwarten einen nachweisbaren Prozess, idealerweise mit definierten Fristen: kritische Patches innerhalb von 72 Stunden, sonstige innerhalb von 30 Tagen.
Wo Unternehmen scheitern
In der Praxis scheitern viele Unternehmen nicht an einzelnen Maßnahmen, sondern an der Nachweisfähigkeit. Die MFA ist aktiviert, aber es existieren Ausnahmen für bestimmte Konten. Backups werden erstellt, aber nie getestet. Ein Incident-Response-Plan existiert als Dokument, ist aber den Beteiligten nicht bekannt.
Versicherer führen zunehmend technische Assessments durch oder verlangen externe Prüfberichte. Die Zeit, in der Selbstauskünfte ohne Verifizierung akzeptiert wurden, ist vorbei.
Der pragmatische Ansatz
Die Anforderungen von Cyber-Versicherern und die Maßnahmen, die tatsächlich die Sicherheit verbessern, überschneiden sich weitgehend. MFA, EDR, getestete Backups und ein Incident-Response-Plan sind keine bürokratischen Pflichtübungen, sondern die Grundlage eines soliden Sicherheitskonzepts.
Der effizienteste Weg ist, die Versicherungsanforderungen als Checkliste für eine strukturierte Verbesserung der eigenen Sicherheitslage zu nutzen. Jede Maßnahme, die Sie für die Versicherung umsetzen, zahlt direkt auf Ihre tatsächliche Sicherheit ein.
Handlungsempfehlung
Prüfen Sie die konkreten Anforderungen Ihres Versicherers und gleichen Sie diese mit Ihrem aktuellen Stand ab. Häufig sind die größten Lücken nicht bei den Maßnahmen selbst, sondern bei der Dokumentation und Nachweisbarkeit. Eine gezielte Vorbereitung vor der nächsten Vertragsverlängerung kann erhebliche Kosten sparen.
Haeufig gestellte Fragen
Welche EDR-Lösung gilt bei Cyber-Versicherern als ausreichend?
Versicherer fordern eine Endpoint-Detection-and-Response-Lösung, die Bedrohungen in Echtzeit erkennt und Reaktionsmaßnahmen ermöglicht. Klassischer Virenschutz gilt als nicht ausreichend. Microsoft Defender for Endpoint ist in der Regel anerkannt; wichtig ist, dass die Lösung aktiv betrieben und überwacht wird.
Was bedeutet „nachgewiesenes Patch-Management” für einen Versicherer?
Versicherer erwarten einen dokumentierten Prozess mit definierten Fristen: kritische Sicherheitspatches innerhalb von 72 Stunden, sonstige Updates innerhalb von 30 Tagen. Dieser Prozess muss nachweisbar sein — Protokolle, SIEM-Daten oder Vulnerability-Scanner-Berichte sind typische Nachweismittel.
Kann ich eine Cyber-Versicherung trotz Lücken abschließen?
Ja, aber zu deutlich schlechteren Konditionen. Unvollständige MFA, fehlende EDR-Lösung oder nicht getestete Backups führen typischerweise zu höheren Prämien, Selbstbehaltserhöhungen oder Ausschlüssen für bestimmte Schadensfälle. Eine gezielte Vorbereitung vor dem Abschluss oder der Verlängerung lohnt sich finanziell.
Führen Versicherer eigene technische Prüfungen durch?
Ja, zunehmend. Größere Policen werden heute häufig von einem technischen Assessment begleitet, bei dem der Versicherer oder ein beauftragtes Unternehmen die technische Sicherheitslage direkt prüft. Die Zeit, in der ein ausgefüllter Fragebogen ohne Verifikation ausreichte, ist für die meisten Marktsegmente vorbei.