Zum Hauptinhalt springen

Cyberversicherung fuer IT-Dienstleister 2026 vergleichen

Veröffentlicht: Aktualisiert:
IT-Dienstleister mit Server-Infrastruktur, symbolisch fuer Cybersicherheit bei MSPs und Softwarehaeusern

Hinweis: Diese Seite enthält Partnerlinks. Bei Abschluss erhalten wir eine Provision ohne Mehrkosten für Sie.

Das Wichtigste in Kürze

  • Praemien ab 500 EUR/Jahr (Solo) bis 25.000 EUR/Jahr (Rechenzentrum)
  • Aggregationsrisiko: Ein Vorfall trifft beim MSP viele Kunden gleichzeitig
  • Drittschaeden an Kundensystemen erfordern eine eigene Deckung
  • Technology E&O und Contingent BI fehlen in Standard-Policen oft
  • NIS-2 macht Cyberschutz zur Vertragsbedingung bei regulierten Auftraggebern

Eine Cyberversicherung fuer IT-Dienstleister kostet je nach Unternehmensgroesse zwischen 500 EUR im Jahr fuer Solo-Berater und mehreren tausend Euro fuer einen Managed Service Provider (MSP) mit zweistelliger Kundenzahl. Den Unterschied zur normalen Police macht ein Detail: IT-Dienstleister verwalten fremde Systeme. Wird ein MSP gehackt, trifft der Schaden nicht nur den eigenen Betrieb, sondern oft gleichzeitig Dutzende Kunden. Genau dieses Mehrkundenmanagement, das sogenannte Aggregationsrisiko, deckt eine Standard-Cyberpolice fuer Einzelunternehmer meist nicht ab. Wer als Solo-Selbststaendiger ohne Zugriff auf Kundensysteme arbeitet, ist auf der Seite Cyberversicherung fuer Freiberufler besser aufgehoben. Dieser Vergleich richtet sich an Unternehmen mit Kundensystemzugang: MSPs, Systemhaeuser, Softwarehaeuser und Cloud-Dienstleister. Eine spezialisierte Cyberversicherung sichert hier Drittschaeden an Kundensystemen, eigene Betriebsausfaelle und die Folgen von Supply-Chain-Angriffen ab.

Schadenbeispiele aus der IT-Praxis

Wie schnell ein IT-Dienstleister in die Haftung geraet, zeigen drei typische Faelle aus dem Alltag. Sie folgen Schadenmustern, wie sie Versicherer und das BSI regelmaessig dokumentieren.

MSP: Ransomware ueber RMM-Tool

Angreifer kompromittieren das Remote-Management-Tool eines MSPs mit 35 betreuten Kunden. Ueber Nacht wird Ransomware auf allen verwalteten Endpunkten verteilt. 28 Unternehmen sind betroffen, die Wiederherstellung dauert drei Wochen.

Schadenshoehe: circa 320.000 EUR (Forensik, Wiederherstellung, Haftung, Betriebsunterbrechung)

Softwarehaus: Datenleck durch Programmierfehler

Ein Softwareentwickler liefert ein Update mit einer SQL-Injection-Schwachstelle aus. Angreifer nutzen die Luecke, um 12.000 Kundendatensaetze des Auftraggebers zu exfiltrieren. Der Auftraggeber meldet die Datenpanne bei der Aufsichtsbehoerde und fordert Schadensersatz.

Schadenshoehe: circa 85.000 EUR (DSGVO-Meldung, Rechtsverteidigung, Schadensersatz)

Cloud-Dienstleister: Fehlkonfiguration in AWS

Ein Cloud-Berater konfiguriert S3-Buckets eines Kunden versehentlich als oeffentlich zugaenglich. Vertrauliche Geschaeftsdokumente sind mehrere Tage lang im Internet abrufbar. Der Kunde verlangt Schadensersatz und kuendigt den Vertrag.

Schadenshoehe: circa 45.000 EUR (Forensik, Rechtskosten, entgangener Vertrag)

Welche Risiken treffen IT-Dienstleister besonders?

Cyberangriffe sind in Deutschland Alltag geworden. 87 Prozent aller Unternehmen waren 2024 betroffen, der wirtschaftliche Gesamtschaden lag bei 289,2 Mrd. EUR (Bitkom Wirtschaftsschutz 2025). IT-Dienstleister stehen dabei doppelt im Feuer. Sie sind selbst Ziel, und sie sind zugleich der Hebel, ueber den Angreifer an die Systeme ihrer Kunden gelangen. Wer fremde Netzwerke administriert, wird damit automatisch zu einem lohnenden Ziel.

Supply-Chain-Angriffe: Das groesste Risiko fuer IT-Dienstleister

Bei SolarWinds (2020) und Kaseya (2021) lief der Angriff jeweils ueber einen einzigen Dienstleister, traf aber hunderte nachgelagerte Kundennetzwerke. Genau das ist das Aggregationsrisiko: Ein Vorfall multipliziert sich. Der durchschnittliche Cyberschaden eines deutschen Unternehmens liegt bei 45.370 EUR (GDV 2024). Wenn ein kompromittiertes Wartungstool 20 oder 30 Kunden gleichzeitig lahmlegt, addiert sich dieser Betrag entsprechend, und die Deckungssumme einer Standardpolice ist schnell erreicht.

Typische Risikoszenarien

  • Kompromittierte Fernwartung: Angreifer nutzen RMM-Tools (Remote Monitoring & Management), um Ransomware gleichzeitig an alle betreuten Kunden zu verteilen
  • Fehlkonfiguration: Eine falsche Einstellung in der Cloud-Infrastruktur legt Kundendaten offen
  • Softwarefehler: Ein Bug in Ihrer Software verursacht Datenverlust oder Betriebsunterbrechung beim Kunden
  • Gekaperte Admin-Zugaenge: Angreifer erbeuten Ihre privilegierten Administratorzugaenge zu Kundensystemen
  • Insider-Bedrohung: Ein ehemaliger Mitarbeiter nutzt noch aktive Zugangsdaten fuer unbefugte Zugriffe

Das BSI registriert taeglich rund 309.000 neue Schadprogramm-Varianten (BSI Lagebericht 2024). Die Angriffsflaeche waechst also laufend. Eine allgemeine Cyberversicherung fuer KMU deckt zwar Eigenschaeden ab, laesst die branchentypischen Drittschaeden an Kundensystemen aber oft offen. Fuer IT-Dienstleister ist das die entscheidende Luecke.

Was sollte die Cyberversicherung abdecken?

Drei Bereiche entscheiden, ob eine Police zu einem IT-Dienstleister passt: Drittschaeden an Kundensystemen, der Schutz des eigenen Betriebs und einige IT-spezifische Bausteine, die in Standardtarifen fehlen. Drittschaeden sind dabei der wichtigste Punkt, denn hier liegt der Unterschied zu jeder anderen Branche.

Drittschaeden (besonders wichtig fuer IT-Dienstleister)

  • Haftung bei Schaeden an Kundensystemen durch Ihre Dienstleistung
  • Schadensersatz bei Datenpannen, die ueber Ihre Systeme Kunden betreffen
  • Vertragsstrafen bei SLA-Verletzungen (je nach Police)
  • Rechtsverteidigungskosten bei Haftungsanspruechen

Eigenschaeden

  • Eigene Betriebsunterbrechung und entgangene Einnahmen
  • Wiederherstellung eigener Systeme und Daten
  • IT-Forensik (Untersuchung nach einem Cyberangriff) und Ursachenanalyse
  • Benachrichtigungskosten bei eigener DSGVO-Datenpanne

Spezielle Bausteine fuer IT-Dienstleister

  • Technology E&O (Technology Errors & Omissions): Deckung fuer Schaeden durch technische Fehler und Versaeumnisse in Ihrer Software oder Beratung
  • Contingent Business Interruption: Schutz, wenn ein wichtiger Kunde oder Zulieferer ausfaellt und Sie dadurch Einnahmen verlieren
  • System Failure: Deckung auch ohne externen Angriff, zum Beispiel bei Hardware-Ausfall oder Bedienfehler
  • Cyber-Erpressung: Erweiterte Ransomware-Deckung einschliesslich Verhandlungshilfe und Loesegeld-Erstattung
MerkmalBasis-SchutzErweiterter Schutz
Eigenschaeden (eigene Systeme)
Betriebsunterbrechung
IT-Forensik und Ursachenanalyse
Drittschaeden (Kundensysteme)Begrenzt
Technology E&O
Contingent Business Interruption
Cyber-Erpressung / RansomwareOptional
DSGVO-Bussgelder und RechtsverteidigungOptional
Reputationsmanagement

Was kostet eine Cyberversicherung fuer IT-Unternehmen?

IT-Dienstleister zahlen mehr als die meisten anderen Branchen, weil Kundensystemzugang und Datenverarbeitung das Risiko erhoehen. Die Spanne reicht von rund 500 EUR im Jahr fuer einen Solo-Berater bis zu 25.000 EUR fuer ein Rechenzentrum. Die folgende Tabelle ordnet die Richtwerte nach Unternehmensgroesse. Was Sie am Ende zahlen, haengt von Umsatz, Deckungssumme und Ihren IT-Sicherheitsmassnahmen ab.

IT-UnternehmenstypMitarbeiterPraemie/Jahr (circa)Empfohlene Deckung
Solo-IT-Berater / Freelancer1500 - 1.000 EUR250.000 - 500.000 EUR
Softwarehaus / Webagentur5 - 101.200 - 2.500 EUR500.000 - 1 Mio. EUR
MSP / Systemhaus10 - 502.500 - 8.000 EUR1 - 3 Mio. EUR
Cloud-Dienstleister / Rechenzentrum50+8.000 - 25.000 EUR3 - 10 Mio. EUR

Stand: Maerz 2026. Preise sind Richtwerte und koennen je nach Versicherer, Selbstbeteiligung und individueller Risikobewertung abweichen. Vergleichen Sie Cyberversicherung Kosten fuer detaillierte Preisinformationen.

IT-Haftpflicht, Berufshaftpflicht oder Cyberversicherung?

Reicht eine IT-Berufshaftpflicht aus, oder braucht es zusaetzlich eine Cyberversicherung? In den meisten Faellen beides. Die beiden Policen decken naemlich unterschiedliche Risiken ab: Die eine den beruflichen Fehler, die andere den Angriff von aussen. Die Tabelle stellt beide gegenueber.

KriteriumIT-HaftpflichtCyberversicherung
Schuetzt vorBeruflichen FehlernCyberangriffen, Datenpannen
ProgrammierfehlerJaTeilweise
Hackerangriff auf KundensystemTeilweiseJa
Eigene BetriebsunterbrechungNeinJa
Ransomware / ErpressungNeinJa
IT-ForensikNeinJa
Praemie (circa)Ab 300 EUR/JahrAb 500 EUR/Jahr

Empfehlung: Kombinieren Sie beide Policen, oder waehlen Sie eine kombinierte Loesung, die IT-Haftpflicht und Cyberversicherung in einem Vertrag vereint. Einige Versicherer wie Hiscox oder exali bieten solche Kombi-Policen speziell fuer IT-Dienstleister an. Pruefen Sie auch, ob eine D&O-Versicherung fuer die persoenliche Haftung der Geschaeftsfuehrung sinnvoll ist.

Deckungsluecken und Ausschluesse

Nicht jede Cyberversicherung deckt alle Risiken ab. Gerade IT-Dienstleister sollten die Versicherungsbedingungen sorgfaeltig pruefen. Die folgenden Einschraenkungen kommen in vielen Policen vor:

  1. Wissentliche Pflichtverletzung: Schaeden, die durch bewusst ignorierte Sicherheitsluecken entstehen, sind ausgeschlossen
  2. Kriegsausschluss: Staatlich gelenkte Cyberangriffe (z. B. APT-Gruppen) koennen unter den Kriegsausschluss fallen; fragen Sie gezielt nach
  3. Bekannte Schwachstellen: Schaeden durch nicht gepatchte bekannte Schwachstellen werden von einigen Versicherern ausgeschlossen
  4. Sublimits fuer Betriebsunterbrechung: Die Deckung fuer entgangene Einnahmen ist oft auf einen Bruchteil der Deckungssumme begrenzt
  5. Karenzzeit: Betriebsunterbrechungsschaeden werden erst nach einer Wartezeit (oft 8 bis 24 Stunden) erstattet
  6. Nachhaftung: Nach Vertragsende werden keine neuen Schaeden gedeckt; achten Sie auf eine ausreichende Nachhaftungsfrist (mindestens 36 Monate)

Worauf muessen Managed Service Provider achten?

Unter allen IT-Dienstleister-Typen tragen MSPs das hoechste Risiko. Sie halten den administrativen Schluessel zu Dutzenden, teils Hunderten von Kundensystemen. Faellt dieser eine Zugang in falsche Haende, trifft es nicht einen Kunden, sondern viele auf einmal. Drei Punkte verdienen beim Versicherungsschutz deshalb besondere Aufmerksamkeit.

  • Aggregationsrisiko: Ein Vorfall betrifft viele Kunden gleichzeitig. Die Summe aller Einzelschaeden kann die Deckungssumme schnell uebersteigen. Achten Sie auf ausreichend hohe Limits.
  • RMM-Tool-Sicherheit: Remote-Management-Tools sind die kritischsten Angriffsziele. Laut Coveware betraegt die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff rund 23 Tage (Coveware 2024). Bei MSPs, deren RMM kompromittiert wird, kann die Ausfallzeit bei allen Kunden gleichzeitig eintreten.
  • Vertragsgestaltung: Stimmen Sie die Haftungsbegrenzungen in Ihren Kundenvertraegen mit der Versicherungsdeckung ab. Viele MSPs haben Haftungsgrenzen von 1 bis 2 Mio. EUR in ihren AGB, die Versicherung sollte mindestens diese Summe abdecken.

Mehr zum Thema Supply-Chain-Sicherheit finden Sie in unserem Ratgeber Ransomware-Schutz.

Was bedeutet NIS-2 konkret fuer IT-Dienstleister?

Die NIS-2-Richtlinie ist seit dem 6. Dezember 2025 in Kraft und betrifft rund 29.500 Unternehmen in Deutschland direkt (BSI 2025). Ein Teil der IT-Branche faellt sogar unmittelbar darunter: Anbieter verwalteter Dienste, also klassische MSPs, sowie DNS- und Cloud-Dienste gelten in der Richtlinie als wichtige Einrichtungen, teils ohne die sonst ueblichen Schwellenwerte bei Mitarbeiterzahl oder Umsatz. Die uebrigen IT-Dienstleister sind indirekt betroffen, sobald sie regulierte Auftraggeber versorgen:

Orientierungshilfe, kein Rechtsrat

NIS-2 Quick-Check: Sind Sie pflichtig?

Fuenf Fragen, eine erste Einschaetzung. Die endgueltige Pruefung sollten Sie durch eine Fachperson absichern lassen.

  1. 1Beschaeftigen Sie mindestens 50 Mitarbeitende?

    Mitarbeitende in Vollzeit-Aequivalenten, einschliesslich Tochtergesellschaften.

  2. 2Liegt Ihr Jahresumsatz oder Ihre Bilanzsumme bei mindestens 10 Millionen Euro?

  3. 3Sind Sie in einem NIS-2-Sektor taetig (z. B. Energie, Trinkwasser, Gesundheit, Lebensmittelproduktion, Post, IT-Dienste, digitale Infrastruktur)?

  4. 4Wuerde ein Ausfall Ihrer IT-Systeme die Versorgung anderer Unternehmen oder Buergerinnen unmittelbar gefaehrden?

  5. 5Beliefern Sie KRITIS-Betreiber (Krankenhaeuser, Energieversorger, oeffentliche Verwaltung)?

Beantworten Sie alle fuenf Fragen, um das Ergebnis zu sehen.

Quelle: BSI, NIS-2-Umsetzungsgesetz (in Kraft seit 6. Dezember 2025). Diese Vorauswahl ersetzt keine individuelle Rechts- oder Versicherungsberatung im Sinne des VVG.

  • Lieferketten-Anforderungen: NIS-2-betroffene Auftraggeber muessen Cybersicherheit in ihrer gesamten Lieferkette gewaehrleisten. Das betrifft direkt ihre IT-Dienstleister.
  • Vertragliche Nachweise: Auftraggeber fordern zunehmend Nachweise ueber IT-Sicherheitsstandards, Zertifizierungen und Cyberversicherungsschutz in Lieferantenvertraegen.
  • Bussgelder: Bei Verstoessen drohen Bussgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Auch wenn diese Bussgelder primaer die betroffenen Unternehmen treffen, koennen Regressforderungen an IT-Dienstleister weitergereicht werden.

Fuer IT-Dienstleister, die Kunden aus regulierten Branchen betreuen, wird eine Cyberversicherung damit zunehmend zur Voraussetzung fuer neue Auftraege.

Wie senken IT-Dienstleister ihre Praemie?

Nachweisbare IT-Sicherheit zahlt sich direkt aus. Versicherer geben Rabatte fuer dokumentierte Massnahmen und setzen einige davon zugleich als Mindestanforderung voraus. Ohne Multi-Faktor-Authentifizierung auf administrativen Zugaengen lehnen viele Anbieter den Antrag inzwischen ganz ab. Die folgenden sechs Hebel wirken am staerksten:

  1. ISO 27001 Zertifizierung: Hiscox gewaehrt bis zu 10 % Praemienrabatt fuer zertifizierte Unternehmen
  2. SOC 2 Report: Zeigt Versicherern Ihre Sicherheitsreife und kann die Risikoeinstufung verbessern
  3. Multi-Faktor-Authentifizierung (MFA): MFA auf allen administrativen Zugaengen ist bei vielen Versicherern inzwischen Pflicht; HDI gewaehrt bis zu 7,5 % Rabatt bei dokumentierter MFA-Nutzung
  4. Endpoint Detection & Response (EDR): Moderne EDR-Loesungen verbessern das Risikoprofil erheblich
  5. Dokumentierter Incident-Response-Plan: Ein getesteter Notfallplan zeigt Versicherern, dass Sie auf Vorfaelle vorbereitet sind
  6. Regelmaessige Penetrationstests: Jaehrliche Penetrationstests durch externe Dienstleister signalisieren proaktive Sicherheitskultur

Lesen Sie unseren Ratgeber Cyber-Risiken fuer KMU fuer weitere Tipps zur IT-Sicherheit.

Worauf kommt es beim Vergleich an?

Tarife unterscheiden sich fuer IT-Dienstleister vor allem im Kleingedruckten. Sechs Punkte trennen eine passende Police von einer, die im Schadenfall Luecken zeigt:

  1. Drittschaeden-Deckung: Die Police muss Schaeden an Kundensystemen explizit einschliessen, nicht nur Eigenschaeden.
  2. Technology E&O inklusive: Nicht jede Cyber-Police deckt technische Fehler und Versaeumnisse ab. Fragen Sie gezielt nach diesem Baustein.
  3. Angemessene Deckungssumme: Beruecksichtigen Sie das Aggregationsrisiko. Ein Vorfall, der 20 Kunden gleichzeitig trifft, erfordert deutlich hoehere Limits.
  4. Nachhaftung: Mindestens 36 Monate Nachhaftungsfrist nach Vertragsende. Schaeden koennen erst Monate nach einem Vorfall bekannt werden.
  5. Sublimits pruefen: Betriebsunterbrechung, Loesegeld und Rechtsverteidigung haben oft eigene Sublimits. Stellen Sie sicher, dass diese fuer Ihr Geschaeftsmodell ausreichen.
  6. 24/7-Notfall-Hotline: Bei einem Cyberangriff zaehlt jede Stunde. Pruefen Sie, ob der Versicherer eine rund um die Uhr erreichbare Hotline mit IT-Forensik-Expertise anbietet.

Mehr zu unserer Bewertungsmethodik finden Sie auf der Seite So vergleichen wir.

Cyberversicherung nach IT-Spezialisierung

Nicht jeder IT-Betrieb braucht denselben Schutz. Ein MSP kaempft vor allem mit dem Aggregationsrisiko, ein Softwarehaus eher mit fehlerhaftem Code, eine Webagentur mit DSGVO-Bussgeldern. Die folgenden Profile zeigen, welcher Baustein jeweils im Vordergrund steht.

Cyberversicherung Softwarehaus

Softwarehaeuser mit eigenem Produkt haften fuer Bugs, die beim Kunden Daten zerstoeren oder Betriebsunterbrechungen ausloesen. Wichtige Bausteine sind Technology E&O, eine ausreichende Nachhaftungsfrist von mindestens 36 Monaten und Schutz bei Schadensersatzforderungen aus Liefervertraegen. Empfohlene Deckungssumme bei 5 bis 10 Mitarbeitern: 500.000 bis 1 Mio. EUR.

Cyberversicherung Systemhaus

Systemhaeuser betreuen oft heterogene Kundenumgebungen mit On-Premises-Servern, Cloud-Diensten und Netzwerktechnik. Das Aggregationsrisiko ist hoch: Ein kompromittiertes Management-Tool kann mehrere Kunden gleichzeitig treffen. Pruefen Sie Sublimits fuer Drittschaeden, eine 24/7-Hotline mit Forensik-Anbindung und ob die Police auch RMM-Toolausfaelle als versichertes Ereignis akzeptiert.

Cyberversicherung Agentur (Web, Marketing, E-Commerce)

Webagenturen und Marketing-Dienstleister verarbeiten Tracking-Daten, betreuen Shop-Systeme und haben oft administrativen Zugriff auf CMS und Zahlungsabwicklung. DSGVO-Bussgelder bei Datenpannen sind das groesste finanzielle Risiko. Die Cyberversicherung sollte Rechtsverteidigungskosten, Forensik und Benachrichtigungskosten abdecken.

Solo-IT-Berater ohne Mitarbeiter und ohne Multi-Client-Zugriff sind eher dem Freiberufler-Profil zuzuordnen. In dem Fall ist die Spezialseite Cyberversicherung fuer Freiberufler die passende Anlaufstelle.

Folgende Unterseiten bieten branchenspezifische Informationen:

Für wen ist die IT-Dienstleister-Cyberversicherung geeignet?

Geeignet für

  • Managed Service Provider (MSPs)
  • Softwareentwickler und IT-Berater
  • Cloud-Dienstleister und Rechenzentren
  • IT-Systemhaeuser und Systemintegratoren
  • Webagenturen und Digitaldienstleister

Weniger geeignet für

  • Reine Hardware-Haendler ohne Servicevertrag
  • IT-Unternehmen ohne Kundensystemzugang

Cyberversicherung fuer IT-Dienstleister vergleichen

Vergleichen Sie Angebote speziell fuer IT-Dienstleister, MSPs und Softwareunternehmen. Kostenlos und unabhaengig.

Kostenlos Angebote vergleichen

Fazit

IT-Dienstleister tragen ein doppeltes Risiko: Sie koennen selbst angegriffen werden und haften gleichzeitig, wenn ueber ihre Systeme Kundennetzwerke kompromittiert werden. Fuer MSPs und Softwareunternehmen gehoeren deshalb eine Cyberversicherung mit ausreichender Drittschaden-Deckung und eine IT-Berufshaftpflicht zur Grundausstattung, nicht zur Kuer.

Pruefen Sie vor dem Abschluss zwei Dinge: ob die Sublimits fuer Supply-Chain-Schaeden zu Ihrer Kundenzahl passen und ob Sie die geforderten Obliegenheiten (Patch-Management, MFA, Backup) im Alltag wirklich erfuellen koennen. Danach vergleichen Sie die Tarife der spezialisierten Anbieter.

Haeufige Fragen zur Cyberversicherung fuer IT-Dienstleister

IT-Dienstleister haben privilegierten Zugang zu Kundensystemen und tragen besondere Verantwortung fuer deren Sicherheit. Bei einem Supply-Chain-Angriff kann ein kompromittierter IT-Dienstleister Dutzende oder Hunderte von Kundennetzwerken gefaehrden. Standard-Policen schliessen diese Drittschaeden oft aus.

Eine IT-Haftpflichtversicherung deckt berufliche Fehler wie Programmierfehler oder Beratungsfehler ab, aber nicht alle Cyberrisiken. Insbesondere Eigenschaeden, Betriebsunterbrechungen durch Hackerangriffe und Ransomware-Kosten sind in der Regel nicht enthalten. IT-Dienstleister sollten beide Policen kombinieren.

Die Praemien haengen von Unternehmensgroesse, Umsatz und IT-Sicherheitsniveau ab. Solo-IT-Berater zahlen ab circa 500 EUR/Jahr, Softwarehaeuser mit 5 bis 10 Mitarbeitern circa 1.200 bis 2.500 EUR/Jahr und groessere MSPs mit 10 bis 50 Mitarbeitern zwischen 2.500 und 8.000 EUR/Jahr.

Technology Errors & Omissions (Technology E&O) deckt Schaeden ab, die durch technische Fehler oder Versaeumnisse in Ihrer IT-Dienstleistung entstehen. Beispiel: Ein Softwarefehler fuehrt zu Datenverlust beim Kunden. Nicht jede Cyber-Police enthaelt diesen Baustein; IT-Dienstleister sollten gezielt darauf achten.

Managed Service Provider sollten mindestens 1 Mio. EUR Deckungssumme waehlen, groessere MSPs ab 20 Mitarbeitern eher 2 bis 5 Mio. EUR. Entscheidend ist das Aggregationsrisiko: Wenn ein Vorfall mehrere Kunden gleichzeitig trifft, steigt die Schadenssumme schnell. Pruefen Sie auch die Sublimits fuer Einzelschaeden.

Wenn ein Angreifer ueber Ihre Systeme in Kundennetzwerke eindringt, koennen Ihre Kunden Schadensersatz fordern. Die Haftung kann Wiederherstellungskosten, entgangenen Umsatz und DSGVO-Bussgelder umfassen. Eine Cyberversicherung mit Drittschaeden-Deckung ist fuer IT-Dienstleister daher unverzichtbar.

Das haengt vom Versicherer ab. Einige Policen schliessen Schaeden durch bekannte Schwachstellen in Open-Source-Komponenten aus, wenn der Patch bereits verfuegbar war. Pruefen Sie die Bedingungen sorgfaeltig, besonders wenn Sie viel mit Open-Source-Software arbeiten.

IT-Dienstleister sind haeufig indirekt von der NIS-2-Richtlinie betroffen, weil ihre Auftraggeber als kritische Infrastruktur eingestuft werden. Diese Auftraggeber verlangen zunehmend Nachweise ueber IT-Sicherheitsstandards und Cyberversicherungsschutz in Lieferantenvertraegen.

Dokumentierte IT-Sicherheitsmassnahmen fuehren zu spuerbaren Rabatten. Eine ISO-27001-Zertifizierung bringt bei Hiscox bis zu 10 % Nachlass, ein SOC-2-Report oder verpflichtende MFA koennen bei HDI bis zu 7,5 % Rabatt erzielen. Regelmaessige Penetrationstests und ein dokumentierter Incident-Response-Plan verbessern das Risikoprofil zusaetzlich.

Spezialisierte Tarife fuer IT-Dienstleister und MSPs fuehren unter anderem Hiscox, Allianz, HDI, Markel und der Direktversicherer Cyberdirekt. Entscheidend ist weniger der Name als der Leistungsumfang: Achten Sie auf eine explizite Drittschaeden-Deckung, einen Technology-E&O-Baustein und ausreichend hohe Limits fuer das Aggregationsrisiko. Ein unabhaengiger Vergleich zeigt, welcher Anbieter zu Ihrer Kundenstruktur passt.

Anbieter verwalteter Dienste, DNS- und Cloud-Dienste gelten in der NIS-2-Richtlinie als wichtige Einrichtungen, teils ohne die ueblichen Schwellenwerte bei Mitarbeiterzahl oder Umsatz. Klassische MSPs koennen damit unmittelbar in den Anwendungsbereich fallen und muessen Risikomanagement, Meldepflichten und Lieferketten-Sicherheit nachweisen. Pruefen Sie Ihre Einstufung anhand des BSI-Betroffenheitschecks und dokumentieren Sie Ihre Sicherheitsmassnahmen sauber.