31 Stunden pro Monat in sinnlosen Meetings: Die teuerste Gewohnheit der Arbeitswelt
Benedikt Langer
7 Min. Lesezeit 31 Stunden pro Monat verbringt eine durchschnittliche Fachkraft in Meetings die sie ...
Zum Beitrag
7 Min. Lesezeit
87 Prozent der deutschen Unternehmen wurden im vergangenen Jahr Opfer von Cyberangriffen. Der Schaden: 289 Milliarden Euro. Die Zahl der Unternehmen mit Cyber-Versicherung: 7 Prozent. Diese Diskrepanz ist kein Versäumnis der IT-Abteilung. Sie ist ein strategisches Versagen auf C-Level – und unter NIS2 ein persönliches Haftungsrisiko.
Das Wichtigste in Kürze
- 7 Prozent versichert: Nur 7 von 100 deutschen Unternehmen haben eine Cyber-Versicherung (Bitkom, 2025).
- 289 Mrd. Euro Schaden: Der Gesamtschaden durch Cyberkriminalität in Deutschland erreicht ein Rekordhoch (Bitkom Wirtschaftsschutz 2025).
- 87 Prozent der C-Level sehen Lücken: Die große Mehrheit der Vorstände hält den eigenen Schutz für unzureichend (Munich Re Global Cyber Survey, 2024).
- Prämien steigen: Nach zwei Jahren sinkender Preise rechnet Munich Re mit 15 bis 20 Prozent Prämienanstieg in den kommenden 12 Monaten.
- NIS2-Haftung greift: Vorstände haften persönlich für Cybersecurity-Governance – die Versicherungsentscheidung ist Teil dieser Pflicht.
7 Prozent: Die Zahl die die Führungsebene aufwecken sollte
Die Bitkom-Studie Wirtschaftsschutz 2025 liefert ein Bild, das in keiner Board-Präsentation fehlen darf: 87 Prozent der Unternehmen waren in den vergangenen zwölf Monaten von Datendiebstahl, Industriespionage oder Sabotage betroffen. 34 Prozent wurden mit Ransomware angegriffen. 15 Prozent haben Lösegeld gezahlt. Der Gesamtschaden: 289,2 Milliarden Euro – ein Plus von 30 Prozent gegenüber dem Vorjahr.
Und trotzdem haben nur 7 Prozent eine Cyber-Versicherung. Das ist nicht das Ergebnis einer bewussten Risikoentscheidung. Es ist in den meisten Fällen das Ergebnis davon, dass die Frage nie auf C-Level gestellt wurde. Über die Hälfte der betroffenen Unternehmen weiß im Ernstfall nicht einmal, an wen sie sich wenden kann.
Der globale Blick bestätigt das Muster. Laut Munich Re Global Cyber Risk and Insurance Survey halten 87 Prozent der befragten C-Level-Entscheider den Cyberschutz ihres Unternehmens für unzureichend. Global sind laut Arctic Wolf nur 47 Prozent der berechtigten Organisationen überhaupt versichert. Deutschland liegt mit seinen 7 Prozent weit unter diesem ohnehin niedrigen Durchschnitt.
Die Gründe für die Versicherungslücke sind strukturell: Viele Vorstände unterschätzen das Restrisiko nach technischen Investitionen. Andere scheuen die Prämienkosten, ohne sie dem potenziellen Schaden gegenüberzustellen. Und in nicht wenigen Fällen fehlt schlicht das Bewusstsein, dass Cyber-Versicherung eine Vorstandsentscheidung ist und nicht in der IT-Abteilung verhandelt werden sollte.
Was eine Cyber-Versicherung leistet – und was nicht
Was ist eine Cyber-Versicherung? Eine Cyber-Versicherung deckt finanzielle Schäden ab, die durch Cyberangriffe, Datenverluste oder IT-Ausfälle entstehen. Dazu gehören Kosten für IT-Forensik, Krisenkommunikation, Betriebsunterbrechung, Benachrichtigung Betroffener nach DSGVO und Rechtsberatung. Sie ersetzt keine IT-Sicherheit – sie ergänzt sie als finanzielles Sicherheitsnetz für den Fall, dass alle technischen Maßnahmen versagen.
Die Zahlen von Munich Re zeigen die Dimension: Der globale Cyber-Versicherungsmarkt erreicht 2025 ein Prämienvolumen von rund 16,3 Milliarden US-Dollar. Bis 2030 wird sich das Volumen auf über 32 Milliarden verdoppeln. Europa macht mit 3,3 Milliarden US-Dollar etwa 21 Prozent des Marktes aus und wächst mit 26 Prozent pro Jahr am schnellsten – ein Indikator dafür, dass europäische Unternehmen die Lücke langsam erkennen.
Laut Allianz Commercial entfielen im ersten Halbjahr 2025 rund 60 Prozent der großen Cyberversicherungsschäden (über 1 Million Euro) auf Ransomware. Die Fertigungsindustrie führt das Schadensvolumen an – eine Folge des 71-Prozent-Anstiegs bei Cyberangriffen auf den Sektor und der zunehmenden Digitalisierung von Produktionssystemen. Die Kehrseite: Die Schadenshöhe pro Fall sank im gleichen Zeitraum um über 50 Prozent, weil Unternehmen mit Versicherung bessere Incident-Response-Prozesse vorweisen.
Quelle: Bitkom Wirtschaftsschutz 2025 (n=1.003 Unternehmen ab 10 Beschäftigten)
Warum der Vorstand entscheiden muss
Cyber-Versicherung wird in vielen Unternehmen als IT-Thema behandelt. Das ist falsch. Die Entscheidung, ob und in welchem Umfang ein Unternehmen gegen Cyberrisiken versichert ist, betrifft drei Vorstandsressorts gleichzeitig: den CIO (Risikobewertung und Sicherheitsniveau), den CFO (Prämienbudget und Schadenspotenzial) und den CEO (Gesamtverantwortung und persönliche Haftung). Keine dieser Funktionen kann die Entscheidung allein treffen.
NIS2 hat diese Verantwortung rechtlich verankert. Leitungsorgane müssen Cybersecurity-Risikomanagementmaßnahmen genehmigen und überwachen. Bei grober Fahrlässigkeit drohen persönliche Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes und temporäre Berufsverbote. Die Frage, ob das Unternehmen eine Cyber-Versicherung braucht, ist Teil dieser Sorgfaltspflicht – sie zu ignorieren, kann als Fahrlässigkeit gewertet werden.
Für den Finanzsektor verschärft DORA die Anforderungen zusätzlich: Jeder IKT-Drittanbieter muss im Register erfasst und bewertet werden. Das schließt den Versicherer selbst ein – seine Leistungsfähigkeit im Schadenfall muss dokumentiert sein. Ein Vorstand, der nicht nachweisen kann, die Versicherungsfrage systematisch bewertet zu haben, ist angreifbar.
„Wir müssen unsere Investitionen in IT-Sicherheit weiter erhöhen.“
Dr. Ralf Wintergerst, Bitkom-Präsident (Bitkom Wirtschaftsschutz 2025)
Wintergersts Forderung geht über technische Maßnahmen hinaus. Der IT-Sicherheitsanteil am IT-Budget ist laut Bitkom auf 18 Prozent gestiegen – 2022 waren es noch 9 Prozent. 41 Prozent der Unternehmen investieren bereits 20 Prozent oder mehr. Doch technische Investitionen allein reichen nicht: Die Frage ist nicht ob ein Angriff erfolgt, sondern wann. Und dann entscheidet die Versicherung darüber, ob das Unternehmen den Schaden finanziell übersteht.
Die Prämien-Falle: Warum Versicherer jetzt genau hinschauen
Nach zwei Jahren sinkender Prämien prognostiziert Munich Re für 2026 einen Anstieg von 15 bis 20 Prozent. Der Grund: Die Schadensfrequenz steigt schneller als die Prämieneinnahmen. Ransomware-Gruppen professionalisieren sich, Angriffsflächen wachsen durch Remote Work und IoT, und die Wiederherstellungskosten steigen mit der Komplexität der IT-Landschaften.
Versicherer reagieren mit strengeren Underwriting-Kriterien. Multi-Faktor-Authentifizierung, getestete Backup-Konzepte, dokumentierte Incident-Response-Pläne und regelmäßige Penetrationstests sind keine optionalen Extras mehr – sie sind Voraussetzung für einen Versicherungsschutz zu akzeptablen Konditionen. Unternehmen ohne diese Grundlagen erhalten entweder keine Police oder zahlen Prämien, die das Budget sprengen.
Das bedeutet für die Führungsebene: Wer heute keine Cyber-Versicherung hat, wird morgen mehr zahlen. Und wer sie abschließen will, muss erst beweisen, dass das Unternehmen grundlegende Sicherheitsstandards erfüllt. Die Mindestanforderungen der Versicherer decken sich weitgehend mit den NIS2-Pflichten – wer die eine Seite erfüllt, ist für die andere vorbereitet. Das macht die Investition in Sicherheitsinfrastruktur doppelt rentabel.
Die Gegenposition ist berechtigt: Nicht jedes Unternehmen braucht eine Vollversicherung. Für Organisationen mit sehr ausgereiftem Sicherheitsniveau kann Selbstversicherung wirtschaftlich sinnvoller sein. Aber diese Entscheidung muss auf einer dokumentierten Risikoanalyse basieren – nicht auf Nichtstun. Der Vorstand muss nachweisen können, dass er die Frage bewusst beantwortet hat.
Drei Fragen die der Vorstand beantworten muss
Die folgenden Fragen bilden den Kern einer verantwortungsvollen Cyber-Risikostrategie. Jede erfordert eine dokumentierte Antwort – für die interne Steuerung und für den NIS2-Compliance-Nachweis.
1. Wie hoch ist unser maximales Schadensexposure? Eine Betriebsunterbrechung durch Ransomware kostet je nach Branche und Unternehmensgröße zwischen 50.000 und 5 Millionen Euro pro Tag. Der Vorstand muss die Schadensobergrenze für das eigene Unternehmen kennen – als Grundlage für die Versicherungsentscheidung und als NIS2-konforme Risikodokumentation.
2. Welche Risiken versichern wir, welche tragen wir selbst? Nicht jede Police deckt jeden Schaden. Kriegsausschlüsse, systemische Infrastrukturausfälle und staatlich gelenkte Angriffe sind häufig ausgeschlossen. Der Vorstand muss die Deckungslücken kennen und dokumentieren, warum bestimmte Restrisiken bewusst akzeptiert werden.
3. Erfüllen wir die Mindestanforderungen der Versicherer? Ohne MFA, Backups und Incident-Response-Plan gibt es keinen bezahlbaren Schutz. Diese Anforderungen decken sich mit den NIS2-Pflichten – wer die eine Seite erfüllt, ist für die andere vorbereitet.
Fazit
7 Prozent Versicherungsquote bei 87 Prozent Betroffenheit – das ist keine Statistik, das ist ein Weckruf. Cyber-Versicherung gehört nicht in die IT-Abteilung, sie gehört in die C-Level-Meeting. NIS2 macht diese Diskussion zur Pflicht. Und die steigenden Prämien machen Abwarten teurer als Handeln. Der erste Schritt: Eine dokumentierte Risikoanalyse, die das maximale Schadensexposure beziffert. Wer diese Zahl nicht kennt, kann weder über Versicherung noch über Sicherheitsinvestitionen rational entscheiden.
Häufige Fragen
Was kostet eine Cyber-Versicherung für ein mittelständisches Unternehmen?
Die Prämien variieren stark nach Branche, Unternehmensgröße und Sicherheitsniveau. Für ein Unternehmen mit 100 bis 500 Mitarbeitern und grundlegenden Sicherheitsmaßnahmen liegen die Jahresprämien typischerweise zwischen 5.000 und 50.000 Euro bei Deckungssummen von 1 bis 10 Millionen Euro. Unternehmen ohne MFA oder aktuelle Backups zahlen deutlich mehr oder erhalten gar keinen Schutz.
Welche Schäden deckt eine Cyber-Versicherung ab?
Typische Deckungsbausteine umfassen Betriebsunterbrechung, IT-Forensik, Krisenkommunikation, Benachrichtigung von Betroffenen nach DSGVO, Rechtsberatung, Lösegeldzahlungen (je nach Police) und Wiederherstellung von Daten. Nicht gedeckt sind in der Regel Schäden durch staatlich gelenkte Angriffe (War Exclusion), Reputationsverluste und vorher bekannte Schwachstellen.
Ersetzt eine Cyber-Versicherung technische Sicherheitsmaßnahmen?
Nein. Eine Cyber-Versicherung ist ein finanzielles Sicherheitsnetz, keine Alternative zu IT-Sicherheit. Versicherer verlangen als Voraussetzung grundlegende Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, regelmäßige Backups, Patch-Management und einen Incident-Response-Plan. Unternehmen ohne diese Maßnahmen erhalten entweder keine Police oder zahlen wirtschaftlich nicht vertretbare Prämien.
Warum sind die Prämien 2026 gestiegen?
Nach zwei Jahren sinkender Prämien prognostiziert Munich Re einen Anstieg von 15 bis 20 Prozent. Die Gründe: steigende Schadensfrequenz durch Ransomware, höhere Wiederherstellungskosten und zunehmende regulatorische Anforderungen durch NIS2 und DORA. Gleichzeitig wächst die Nachfrage, weil mehr Unternehmen Versicherungsschutz suchen.
Muss der Vorstand laut NIS2 eine Cyber-Versicherung abschließen?
NIS2 schreibt keine Cyber-Versicherung explizit vor. Die Richtlinie verpflichtet Leitungsorgane jedoch, Cybersecurity-Risikomanagement zu genehmigen und zu überwachen. Dazu gehört die Bewertung finanzieller Risiken durch Cybervorfälle. Ein Vorstand, der weder eine Versicherung abgeschlossen noch dokumentiert hat, warum er auf eine verzichtet, setzt sich dem Vorwurf der Fahrlässigkeit aus.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / Vlada Karpovich (px:7433929)
