6 Min. Lesezeit

15,3 Mrd. US-Dollar Prämienvolumen, 15 bis 20 Prozent Preisanstieg für 2026 und neue Ausschlussklauseln die ganze Schadenskategorien eliminieren. Der Cyber-Versicherungsmarkt hat sich grundlegend verändert. Was einmal als kalkulierbarer Risikotransfer begann, wird für viele Unternehmen zu einer zunehmend teuren Police mit schrumpfender Deckung. 27 Prozent aller Data-Breach-Claims und 24 Prozent aller Erstpartei-Ansprüche werden inzwischen ganz oder teilweise abgelehnt. Die Rechnung, die kein CFO sehen will: Die Prämie steigt, die Deckung sinkt und im Schadensfall zahlt die Versicherung häufiger nicht als gedacht.

Der Markt kippt: Prämien steigen wieder zweistellig

Nach zwei Jahren relativer Entspannung dreht der Cyber-Versicherungsmarkt. S&P Global Ratings prognostiziert einen Prämienanstieg von 15 bis 20 Prozent für 2026. Das klingt moderat, wenn man nicht den Kontext kennt: In den Jahren 2020 bis 2022 hatten sich die Prämien für viele Unternehmen bereits verdoppelt bis verdreifacht. Nach einem kurzen Rückgang um 22 Prozent vom Höchststand 2022 steigen sie jetzt erneut.

Das globale Prämienvolumen lag 2025 bei 15,3 Mrd. US-Dollar, ein Plus von 7 Prozent. Analysten rechnen mit einer Verdopplung des Marktvolumens bis 2030 auf rund 30 Mrd. US-Dollar. Für Unternehmen in Hochrisikobranchen wie Gesundheitswesen und Finanzdienstleistungen liegen die Prämien bereits 50 Prozent über dem Marktdurchschnitt.

Die Treiber hinter dem Preisanstieg sind strukturell, nicht konjunkturell. Es geht nicht um einen zyklischen Markt der sich nach einer Entspannungsphase normalisiert. Es geht um eine fundamentale Neubewertung des Risikos durch die Versicherer. Ransomware-Vorfälle sind im ersten Quartal 2025 um 126 Prozent gestiegen. Großschadensereignisse überschreiten regelmäßig die Marke von einer Mrd. US-Dollar und stellen traditionelle Deckungslimits infrage. Die Versicherer reagieren mit höheren Prämien und engeren Konditionen.

Für CFOs, die IT-Risiken bisher primär als Versicherungsposten betrachtet haben, ist diese Entwicklung ein Weckruf. Die Zeiten, in denen eine Cyber-Police das gesamte digitale Risiko abdeckte, sind vorbei. Was heute als Versicherung verkauft wird, ist ein konditioniertes Finanzprodukt mit erheblichen Einschränkungen. Wer diese Einschränkungen nicht kennt und aktiv steuert, zahlt für eine Illusion von Sicherheit.

Die Deckungslücke nach Unternehmensgröße

Die Durchdringung des Marktes ist extrem ungleich verteilt. Während 80 Prozent der Großunternehmen über eine Cyber-Versicherung verfügen, haben nur 40 bis 50 Prozent der mittelständischen Unternehmen mit 100 Mio. bis 1 Mrd. Euro Umsatz eine Police abgeschlossen. Bei kleinen und mittleren Unternehmen fällt die Quote auf 10 Prozent.

Diese Zahlen bedeuten: Gerade die Unternehmen, die am verwundbarsten sind – weil sie weniger in Cybersicherheit investieren und geringere Resilienz haben – sind am häufigsten unversichert. KMU verfügen selten über dedizierte Security-Teams, haben ältere Systeme und weniger formalisierte Incident-Response-Prozesse. Ein erfolgreicher Ransomware-Angriff kann für ein unversichertes Unternehmen dieser Größe existenzbedrohend sein. Die durchschnittlichen Gesamtkosten eines Cyber-Vorfalls – inklusive Betriebsunterbrechung, forensischer Analyse, Wiederherstellung und Reputationsschaden – übersteigen bei mittelständischen Unternehmen häufig die Jahresergebnisse.

Im Mittelstand entsteht ein neues Phänomen: Unternehmen, die sich versichern wollen, scheitern zunehmend an den Underwriting-Anforderungen. Die Versicherer verlangen nachweisbare Sicherheitskontrollen – Endpoint Detection, Multi-Faktor-Authentifizierung, getestete Incident-Response-Pläne, sichere Backup-Strategien. Wer diese Grundlagen nicht vorweisen kann, bekommt entweder keine Police oder nur eine mit erheblichen Einschränkungen und Selbstbehalten. Gallagher beschreibt diese Entwicklung als Shift zu „Conditional Coverage“ – die Versicherung wird nicht mehr verkauft, sondern verdient. Die Police ist nicht mehr ein Produkt das man kauft, sondern eine Zertifizierung die man sich erarbeiten muss.

Was die Police nicht mehr abdeckt: Die neuen Ausschlüsse

Die kritischste Entwicklung betrifft nicht die Prämien, sondern die Deckung. Cyber-Versicherer haben in den letzten 18 Monaten eine Reihe neuer Ausschlussklauseln eingeführt, die den Schutzumfang erheblich einschränken.

Ransomware-Sub-Limits. Auszahlungen für Ransomware-Vorfälle werden zunehmend unter dem Gesamtlimit der Police gedeckelt. Ein Unternehmen mit einer 10-Mio.-Euro-Police kann feststellen, dass die Ransomware-Deckung bei 2 Mio. Euro gekappt ist. Angesichts durchschnittlicher Ransomware-Schäden von 292.000 US-Dollar pro versichertem Vorfall klingt das ausreichend – bis ein großer Angriff die gesamte Infrastruktur betrifft und die Kosten in die Millionen gehen.

Nation-State-Ausschlüsse. Angriffe, die mutmaßlich von staatlichen Akteuren ausgehen, können von der Deckung ausgeschlossen werden – es sei denn, der Versicherte kann nachweisen, dass keine staatliche Attribution vorliegt. Die Beweislast liegt beim Versicherungsnehmer, die Abgrenzung zwischen staatlich unterstützten und kriminellen Akteuren ist in der Praxis kaum zu treffen. NotPetya 2017 hat gezeigt, wie diese Klausel im Schadensfall wirkt: Milliarden-Schäden, die Versicherer als Kriegshandlung klassifizierten und nicht zahlten.

Ausschluss ungepatchter Systeme. Policen können den Schutz verweigern, wenn der Vorfall auf ungepatche oder nicht mehr unterstützte Systeme zurückzuführen ist. In Organisationen, in denen technische Schulden zum Alltag gehören und Patch-Zyklen Monate dauern, ist das keine theoretische Einschränkung. Es ist eine Zeitbombe im Vertrag. Und sie tickt in jeder Organisation, die noch Windows-Server 2012 oder ungepatchte SAP-Systeme betreibt.

Compliance-Carve-outs. Verstöße gegen branchenspezifische Regulierungen – DSGVO, NIS2, DORA im Finanzsektor – können die Deckung reduzieren oder aufheben. Das bedeutet: Genau in dem Moment, in dem ein Compliance-Verstoß einen Vorfall verschärft, zieht sich die Versicherung zurück.

Systemische Ereignisse. Versicherer definieren „weitverbreitete Ereignisse“ oder „Katastrophen“ so, dass die aggregierte Exposition bei koordinierten Angriffen begrenzt wird. Wenn ein einzelner Ransomware-Angriff Hunderte von Versicherten gleichzeitig betrifft – wie bei einem Supply-Chain-Angriff – kann die Deckung eingeschränkt werden. Die Lehre aus SolarWinds und MOVEit: Genau die Szenarien, die den größten Schaden verursachen, sind am stärksten von Ausschlüssen bedroht.

Ransomware: Der Treiber hinter der Kalkulation

Ransomware dominiert die Schadensstatistik. Je nach Erhebung entfallen 29 bis 41 Prozent aller Cyber-Versicherungsansprüche auf Ransomware. Die durchschnittlichen Kosten pro versichertem Vorfall liegen bei 292.000 US-Dollar – ein Wert der um 17 Prozent über dem Vorjahr liegt. Die Frequenz steigt ebenfalls: Im ersten Quartal 2025 verzeichnete die Branche einen Anstieg der Ransomware-Vorfälle um 126 Prozent.

Für CFOs ist die Frage nicht mehr ob ein Ransomware-Angriff die eigene Organisation treffen kann, sondern ob die Cyber-Versicherung im Ernstfall tatsächlich zahlt. Die Kombination aus Ransomware-Sub-Limits, Nation-State-Ausschlüssen und der Anforderung nachweisbarer Sicherheitskontrollen bedeutet: Viele Unternehmen zahlen steigende Prämien für eine Deckung, die im wahrscheinlichsten Schadensfall – einem Ransomware-Angriff – nur einen Bruchteil der Kosten ersetzt.

Munich Re betrachtet Ransomware, Datenschutzverletzungen, Business Email Compromise und DDoS-Angriffe als die vier Haupttreiber versicherter Schäden. Was die Branche besorgt: Die zunehmende Professionalität und KI-Unterstützung der Angreifer trifft auf eine Versicherungslandschaft, die ihre Deckung gleichzeitig einschränkt. Das Verhältnis zwischen Risiko und Absicherung verschlechtert sich für den Versicherungsnehmer.

Ein weiterer Faktor verschärft die Lage: KI-gestützte Angriffe. Phishing-Mails sind durch Large Language Models so überzeugend geworden, dass traditionelle Awareness-Trainings an Wirksamkeit verlieren. Deepfakes ermöglichen Social-Engineering-Angriffe, die selbst erfahrene Mitarbeiter täuschen. Voice-Cloning-Angriffe haben 2025 erstmals die Millionengrenze bei Einzelschäden überschritten. Die Versicherer sehen diese Entwicklung und kalkulieren sie ein – in Form höherer Prämien und engerer Ausschlüsse.

Was die ehrliche Kalkulation zeigt

Die ehrliche Berechnung, die in den wenigsten Boardrooms stattfindet, sieht so aus:

Eine durchschnittliche Cyber-Police mit 10 Mio. Euro Deckung kostet ein mittelständisches Unternehmen je nach Branche zwischen 100.000 und 300.000 Euro jährlich. Bei einer Ablehnungsquote von 27 Prozent bei Data-Breach-Claims und steigenden Ausschlüssen liegt die tatsächliche erwartbare Erstattung im Schadensfall deutlich unter dem Deckungslimit. Ein Unternehmen, das über fünf Jahre 1,5 Mio. Euro Prämien zahlt und im Schadensfall 40 Prozent der Kosten selbst tragen muss, hat ein schlechtes Geschäft gemacht.

Die Alternative ist keine Kündigung der Police, sondern eine bessere Verhandlungsposition. Unternehmen, die ihre Cybersicherheit nachweislich auf ein hohes Niveau gebracht haben – Endpoint Detection, Zero-Trust-Architektur, getestete Incident-Response-Prozesse – verhandeln bessere Konditionen: niedrigere Prämien, höhere Deckung und weniger Ausschlüsse. Die Investition in Cybersicherheit senkt nicht nur das Risiko, sie senkt auch die Versicherungskosten.

Der zweite Hebel: Die Police aktiv auf Ausschlüsse prüfen. Viele Unternehmen kennen die Ausschlussklauseln ihrer eigenen Cyber-Police nicht im Detail. Ein jährliches Review der Vertragsbedingungen mit einem spezialisierten Broker, abgeglichen gegen die tatsächliche IT-Landschaft und die wahrscheinlichsten Angriffsszenarien, ist der beste Schutz vor einer bösen Überraschung im Schadensfall.

Der dritte Hebel: Risiken diversifizieren. Cyber-Versicherung ist ein Instrument der Risikofinanzierung, kein Ersatz für Risikomanagement. Unternehmen die ihre gesamte Cyber-Risikofinanzierung über eine Police abwickeln, setzen alles auf eine Karte. Captive Insurance, Risikoreserven und vertragliche Risikoverteilung mit Dienstleistern sind Ergänzungen, die das Gesamtrisiko besser verteilen als eine einzelne Police mit Ausschlüssen.

Die ehrliche Einordnung: Cyber-Versicherung bleibt ein sinnvolles Instrument der Risikofinanzierung. Aber der Markt hat sich von einem Käufer- zu einem Verkäufermarkt gewandelt. Wer als Unternehmen die beste Deckung zu vertretbaren Konditionen will, muss zuerst in Cybersicherheit investieren. Nicht weil die Versicherung das verlangt, sondern weil die Versicherung ohne diese Grundlage zunehmend wertlos wird. Die Prämie allein kauft keinen Schutz mehr. Sie kauft das Recht auf eine Prüfung, deren Ausgang vom eigenen Sicherheitsniveau abhängt.

Häufige Fragen

Quelle Titelbild: Pexels / Monstera Production (px:5849553)