Cyberversicherung fuer IT-Dienstleister vergleichen

IT-Dienstleister, Softwareentwickler und Managed Service Provider (MSPs) gehoeren zu den bevorzugten Zielen von Cyberkriminellen. Ein kompromittierter IT-Dienstleister kann als Einfallstor fuer Dutzende Kundennetzwerke dienen. Laut BSI richten sich rund 80 % aller Cyberangriffe gegen kleine und mittlere Unternehmen (BSI Lagebericht 2024). In Deutschland sind rund 93.900 IT-Dienstleister taetig (Listflix 2025), die durch ihre privilegierten Kundenzugaenge ein besonders hohes Risikoprofil tragen. Eine spezialisierte Cyberversicherung schuetzt vor Haftungsanspruechen, Eigenschaeden und den finanziellen Folgen von Supply-Chain-Angriffen.

Schadenbeispiele aus der IT-Praxis

Die folgenden Szenarien zeigen, wie schnell IT-Dienstleister in die Haftung geraten koennen. Alle Beispiele basieren auf typischen Schadenmustern, wie sie Versicherer und das BSI dokumentieren.

Besondere Risiken fuer IT-Dienstleister

Laut Bitkom-Studie Wirtschaftsschutz 2025 waren 87 % aller deutschen Unternehmen von Cyberangriffen betroffen. Der Gesamtschaden lag bei 289,2 Mrd. EUR, davon entfielen 202,4 Mrd. EUR direkt auf Cyberangriffe (Bitkom 2025). IT-Dienstleister tragen ein besonders hohes Risiko, weil sie privilegierten Zugang zu Kundensystemen haben und damit als Multiplikator fuer Angreifer dienen.

Typische Risikoszenarien

• Kompromittierte Fernwartung: Angreifer nutzen RMM-Tools (Remote Monitoring & Management), um Ransomware gleichzeitig an alle betreuten Kunden zu verteilen
• Fehlkonfiguration: Eine falsche Einstellung in der Cloud-Infrastruktur legt Kundendaten offen
• Softwarefehler: Ein Bug in Ihrer Software verursacht Datenverlust oder Betriebsunterbrechung beim Kunden
• Gekaperte Admin-Zugaenge: Angreifer erbeuten Ihre privilegierten Administratorzugaenge zu Kundensystemen
• Insider-Bedrohung: Ein ehemaliger Mitarbeiter nutzt noch aktive Zugangsdaten fuer unbefugte Zugriffe

Das BSI registriert taeglich rund 309.000 neue Malware-Varianten (BSI 2024). Fuer IT-Dienstleister bedeutet das: Die Angriffsflaeche waechst permanent. Eine allgemeine Cyberversicherung fuer KMU reicht haeufig nicht aus, weil sie die spezifischen Drittschaeden-Risiken der IT-Branche nicht ausreichend abdeckt.

Was die Cyberversicherung abdecken sollte

Fuer IT-Dienstleister sind Drittschaeden, also Schaeden an Kundensystemen, besonders kritisch. Daneben brauchen Sie Schutz fuer eigene Betriebsunterbrechungen und spezielle IT-Bausteine, die in Standard-Policen fehlen.

Drittschaeden (besonders wichtig fuer IT-Dienstleister)

• Haftung bei Schaeden an Kundensystemen durch Ihre Dienstleistung
• Schadensersatz bei Datenpannen, die ueber Ihre Systeme Kunden betreffen
• Vertragsstrafen bei SLA-Verletzungen (je nach Police)
• Rechtsverteidigungskosten bei Haftungsanspruechen

Eigenschaeden

• Eigene Betriebsunterbrechung und entgangene Einnahmen
• Wiederherstellung eigener Systeme und Daten
• IT-Forensik (Untersuchung nach einem Cyberangriff) und Ursachenanalyse
• Benachrichtigungskosten bei eigener DSGVO-Datenpanne

Spezielle Bausteine fuer IT-Dienstleister

• Technology E&O (Technology Errors & Omissions): Deckung fuer Schaeden durch technische Fehler und Versaeumnisse in Ihrer Software oder Beratung
• Contingent Business Interruption: Schutz, wenn ein wichtiger Kunde oder Zulieferer ausfaellt und Sie dadurch Einnahmen verlieren
• System Failure: Deckung auch ohne externen Angriff, zum Beispiel bei Hardware-Ausfall oder Bedienfehler
• Cyber-Erpressung: Erweiterte Ransomware-Deckung einschliesslich Verhandlungshilfe und Loesegeld-Erstattung

Was kostet eine Cyberversicherung fuer IT-Unternehmen?

Die Praemien fuer IT-Dienstleister liegen hoeher als fuer viele andere Branchen, weil das Risikoprofil durch Kundensystemzugang und Datenverarbeitung anspruchsvoller ist. Die folgende Tabelle zeigt Richtwerte nach Unternehmensgroesse. Die tatsaechliche Praemie haengt von Umsatz, Deckungssumme und vorhandenen IT-Sicherheitsmassnahmen ab.

Stand: Maerz 2026. Preise sind Richtwerte und koennen je nach Versicherer, Selbstbeteiligung und individueller Risikobewertung abweichen. Vergleichen Sie Cyberversicherung Kosten fuer detaillierte Preisinformationen.

IT-Haftpflicht, Berufshaftpflicht oder Cyberversicherung?

IT-Dienstleister stehen vor der Frage, ob eine IT-Berufshaftpflicht ausreicht oder ob zusaetzlich eine Cyberversicherung noetig ist. Die kurze Antwort: In den meisten Faellen brauchen Sie beides, weil beide Policen unterschiedliche Risiken abdecken.

Empfehlung: Kombinieren Sie beide Policen, oder waehlen Sie eine kombinierte Loesung, die IT-Haftpflicht und Cyberversicherung in einem Vertrag vereint. Einige Versicherer wie Hiscox oder exali bieten solche Kombi-Policen speziell fuer IT-Dienstleister an. Pruefen Sie auch, ob eine D&O-Versicherung fuer die persoenliche Haftung der Geschaeftsfuehrung sinnvoll ist.

Deckungsluecken und Ausschluesse

Nicht jede Cyberversicherung deckt alle Risiken ab. Gerade IT-Dienstleister sollten die Versicherungsbedingungen sorgfaeltig pruefen. Die folgenden Einschraenkungen kommen in vielen Policen vor:

1. Wissentliche Pflichtverletzung: Schaeden, die durch bewusst ignorierte Sicherheitsluecken entstehen, sind ausgeschlossen
2. Kriegsausschluss: Staatlich gelenkte Cyberangriffe (z. B. APT-Gruppen) koennen unter den Kriegsausschluss fallen; fragen Sie gezielt nach
3. Bekannte Schwachstellen: Schaeden durch nicht gepatchte bekannte Schwachstellen werden von einigen Versicherern ausgeschlossen
4. Sublimits fuer Betriebsunterbrechung: Die Deckung fuer entgangene Einnahmen ist oft auf einen Bruchteil der Deckungssumme begrenzt
5. Karenzzeit: Betriebsunterbrechungsschaeden werden erst nach einer Wartezeit (oft 8 bis 24 Stunden) erstattet
6. Nachhaftung: Nach Vertragsende werden keine neuen Schaeden gedeckt; achten Sie auf eine ausreichende Nachhaftungsfrist (mindestens 36 Monate)

Besonderheiten fuer Managed Service Provider

MSPs haben das hoechste Cyberrisiko unter allen IT-Dienstleister-Typen. Sie verwalten oft administrativen Zugang zu Dutzenden oder Hunderten von Kundensystemen. Ein einzelner Sicherheitsvorfall kann dadurch kaskadenartig viele Unternehmen gleichzeitig treffen.

• Aggregationsrisiko: Ein Vorfall betrifft viele Kunden gleichzeitig. Die Summe aller Einzelschaeden kann die Deckungssumme schnell uebersteigen. Achten Sie auf ausreichend hohe Limits.
• RMM-Tool-Sicherheit: Remote-Management-Tools sind die kritischsten Angriffsziele. Laut Coveware betraegt die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff rund 23 Tage (Coveware 2024). Bei MSPs, deren RMM kompromittiert wird, kann die Ausfallzeit bei allen Kunden gleichzeitig eintreten.
• Vertragsgestaltung: Stimmen Sie die Haftungsbegrenzungen in Ihren Kundenvertraegen mit der Versicherungsdeckung ab. Viele MSPs haben Haftungsgrenzen von 1 bis 2 Mio. EUR in ihren AGB, die Versicherung sollte mindestens diese Summe abdecken.

Mehr zum Thema Supply-Chain-Sicherheit finden Sie in unserem Ratgeber Ransomware-Schutz.

NIS-2: Was bedeutet das fuer IT-Dienstleister?

Die NIS-2-Richtlinie ist seit dem 6. Dezember 2025 in Kraft und betrifft rund 29.500 Unternehmen in Deutschland direkt (BSI 2025). IT-Dienstleister fallen haeufig nicht direkt unter die Richtlinie, sind aber indirekt stark betroffen, sobald sie regulierte Auftraggeber versorgen:

• Lieferketten-Anforderungen: NIS-2-betroffene Auftraggeber muessen Cybersicherheit in ihrer gesamten Lieferkette gewaehrleisten. Das betrifft direkt ihre IT-Dienstleister.
• Vertragliche Nachweise: Auftraggeber fordern zunehmend Nachweise ueber IT-Sicherheitsstandards, Zertifizierungen und Cyberversicherungsschutz in Lieferantenvertraegen.
• Bussgelder: Bei Verstoessen drohen Bussgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Auch wenn diese Bussgelder primaer die betroffenen Unternehmen treffen, koennen Regressforderungen an IT-Dienstleister weitergereicht werden.

Fuer IT-Dienstleister, die Kunden aus regulierten Branchen betreuen, wird eine Cyberversicherung damit zunehmend zur Voraussetzung fuer neue Auftraege.

IT-Sicherheit verbessern, Praemie senken

Versicherer belohnen nachweisbare IT-Sicherheitsmassnahmen mit spuerbaren Praemienrabatten. Gleichzeitig erwarten die meisten Versicherer bestimmte Mindestanforderungen als Voraussetzung fuer den Versicherungsschutz.

1. ISO 27001 Zertifizierung: Hiscox gewaehrt bis zu 10 % Praemienrabatt fuer zertifizierte Unternehmen
2. SOC 2 Report: Zeigt Versicherern Ihre Sicherheitsreife und kann die Risikoeinstufung verbessern
3. Multi-Faktor-Authentifizierung (MFA): MFA auf allen administrativen Zugaengen ist bei vielen Versicherern inzwischen Pflicht; HDI gewaehrt bis zu 7,5 % Rabatt bei dokumentierter MFA-Nutzung
4. Endpoint Detection & Response (EDR): Moderne EDR-Loesungen verbessern das Risikoprofil erheblich
5. Dokumentierter Incident-Response-Plan: Ein getesteter Notfallplan zeigt Versicherern, dass Sie auf Vorfaelle vorbereitet sind
6. Regelmaessige Penetrationstests: Jaehrliche Penetrationstests durch externe Dienstleister signalisieren proaktive Sicherheitskultur

Lesen Sie unseren Ratgeber Cyber-Risiken fuer KMU fuer weitere Tipps zur IT-Sicherheit.

Worauf IT-Dienstleister beim Vergleich achten sollten

Beim Vergleich von Cyberversicherungen sollten IT-Dienstleister besonders auf diese sechs Punkte achten:

1. Drittschaeden-Deckung: Die Police muss Schaeden an Kundensystemen explizit einschliessen, nicht nur Eigenschaeden.
2. Technology E&O inklusive: Nicht jede Cyber-Police deckt technische Fehler und Versaeumnisse ab. Fragen Sie gezielt nach diesem Baustein.
3. Angemessene Deckungssumme: Beruecksichtigen Sie das Aggregationsrisiko. Ein Vorfall, der 20 Kunden gleichzeitig trifft, erfordert deutlich hoehere Limits.
4. Nachhaftung: Mindestens 36 Monate Nachhaftungsfrist nach Vertragsende. Schaeden koennen erst Monate nach einem Vorfall bekannt werden.
5. Sublimits pruefen: Betriebsunterbrechung, Loesegeld und Rechtsverteidigung haben oft eigene Sublimits. Stellen Sie sicher, dass diese fuer Ihr Geschaeftsmodell ausreichen.
6. 24/7-Notfall-Hotline: Bei einem Cyberangriff zaehlt jede Stunde. Pruefen Sie, ob der Versicherer eine rund um die Uhr erreichbare Hotline mit IT-Forensik-Expertise anbietet.

Mehr zu unserer Bewertungsmethodik finden Sie auf der Seite So vergleichen wir.

Cyberversicherung nach IT-Spezialisierung

Verschiedene IT-Subtypen haben unterschiedliche Risikoprofile. Waehrend MSPs das hoechste Aggregationsrisiko tragen, stehen Softwareentwickler vor allem vor Technology-E&O-Risiken.

Cyberversicherung Softwarehaus

Softwarehaeuser mit eigenem Produkt haften fuer Bugs, die beim Kunden Daten zerstoeren oder Betriebsunterbrechungen ausloesen. Wichtige Bausteine sind Technology E&O, eine ausreichende Nachhaftungsfrist von mindestens 36 Monaten und Schutz bei Schadensersatzforderungen aus Liefervertraegen. Empfohlene Deckungssumme bei 5 bis 10 Mitarbeitern: 500.000 bis 1 Mio. EUR.

Cyberversicherung Systemhaus

Systemhaeuser betreuen oft heterogene Kundenumgebungen mit On-Premises-Servern, Cloud-Diensten und Netzwerktechnik. Das Aggregationsrisiko ist hoch: Ein kompromittiertes Management-Tool kann mehrere Kunden gleichzeitig treffen. Pruefen Sie Sublimits fuer Drittschaeden, eine 24/7-Hotline mit Forensik-Anbindung und ob die Police auch RMM-Toolausfaelle als versichertes Ereignis akzeptiert.

Cyberversicherung Agentur (Web, Marketing, E-Commerce)

Webagenturen und Marketing-Dienstleister verarbeiten Tracking-Daten, betreuen Shop-Systeme und haben oft administrativen Zugriff auf CMS und Zahlungsabwicklung. DSGVO-Bussgelder bei Datenpannen sind das groesste finanzielle Risiko. Die Cyberversicherung sollte Rechtsverteidigungskosten, Forensik und Benachrichtigungskosten abdecken.

Solo-IT-Berater ohne Mitarbeiter und ohne Multi-Client-Zugriff sind eher dem Freiberufler-Profil zuzuordnen. In dem Fall ist die Spezialseite Cyberversicherung fuer Freiberufler die passende Anlaufstelle.

Folgende Unterseiten bieten branchenspezifische Informationen:

• Cyberversicherung fuer KMU (allgemeine Gewerbebetriebe)
• Cyberversicherung fuer Freiberufler (Solo-IT-Berater)
• IT-Haftpflicht fuer Softwareentwickler (Haftung bei Softwarefehlern)
• Cyberversicherung fuer Handwerker (Betriebe mit digitaler Steuerung)
• IT-Berufshaftpflicht (Haftpflichtschutz fuer IT-Berater)

Fazit

IT-Dienstleister tragen ein doppeltes Risiko: Sie koennen selbst angegriffen werden und haften gleichzeitig, wenn ueber ihre Systeme Kundennetzwerke kompromittiert werden. Eine Cyberversicherung mit ausreichender Drittschaden-Deckung und einer IT-Berufshaftpflicht-Komponente ist deshalb fuer MSPs und Softwareunternehmen fast unverzichtbar.

Achten Sie auf die Sublimits fuer Supply-Chain-Schaeden und pruefen Sie, ob Ihre Obliegenheiten (Patch-Management, MFA, Backup) erfuellbar sind.