Cyberversicherung fuer IT-Dienstleister 2026 vergleichen

Hinweis: Diese Seite enthält Partnerlinks. Bei Abschluss erhalten wir eine Provision ohne Mehrkosten für Sie.
Hinweis zur Beratung
Das Wichtigste in Kürze
- Praemien ab 500 EUR/Jahr (Solo) bis 25.000 EUR/Jahr (Rechenzentrum)
- Aggregationsrisiko: Ein Vorfall trifft beim MSP viele Kunden gleichzeitig
- Drittschaeden an Kundensystemen erfordern eine eigene Deckung
- Technology E&O und Contingent BI fehlen in Standard-Policen oft
- NIS-2 macht Cyberschutz zur Vertragsbedingung bei regulierten Auftraggebern
Eine Cyberversicherung fuer IT-Dienstleister kostet je nach Unternehmensgroesse zwischen 500 EUR im Jahr fuer Solo-Berater und mehreren tausend Euro fuer einen Managed Service Provider (MSP) mit zweistelliger Kundenzahl. Den Unterschied zur normalen Police macht ein Detail: IT-Dienstleister verwalten fremde Systeme. Wird ein MSP gehackt, trifft der Schaden nicht nur den eigenen Betrieb, sondern oft gleichzeitig Dutzende Kunden. Genau dieses Mehrkundenmanagement, das sogenannte Aggregationsrisiko, deckt eine Standard-Cyberpolice fuer Einzelunternehmer meist nicht ab. Wer als Solo-Selbststaendiger ohne Zugriff auf Kundensysteme arbeitet, ist auf der Seite Cyberversicherung fuer Freiberufler besser aufgehoben. Dieser Vergleich richtet sich an Unternehmen mit Kundensystemzugang: MSPs, Systemhaeuser, Softwarehaeuser und Cloud-Dienstleister. Eine spezialisierte Cyberversicherung sichert hier Drittschaeden an Kundensystemen, eigene Betriebsausfaelle und die Folgen von Supply-Chain-Angriffen ab.
Schadenbeispiele aus der IT-Praxis
Wie schnell ein IT-Dienstleister in die Haftung geraet, zeigen drei typische Faelle aus dem Alltag. Sie folgen Schadenmustern, wie sie Versicherer und das BSI regelmaessig dokumentieren.
MSP: Ransomware ueber RMM-Tool
Angreifer kompromittieren das Remote-Management-Tool eines MSPs mit 35 betreuten Kunden. Ueber Nacht wird Ransomware auf allen verwalteten Endpunkten verteilt. 28 Unternehmen sind betroffen, die Wiederherstellung dauert drei Wochen.
Schadenshoehe: circa 320.000 EUR (Forensik, Wiederherstellung, Haftung, Betriebsunterbrechung)
Softwarehaus: Datenleck durch Programmierfehler
Ein Softwareentwickler liefert ein Update mit einer SQL-Injection-Schwachstelle aus. Angreifer nutzen die Luecke, um 12.000 Kundendatensaetze des Auftraggebers zu exfiltrieren. Der Auftraggeber meldet die Datenpanne bei der Aufsichtsbehoerde und fordert Schadensersatz.
Schadenshoehe: circa 85.000 EUR (DSGVO-Meldung, Rechtsverteidigung, Schadensersatz)
Cloud-Dienstleister: Fehlkonfiguration in AWS
Ein Cloud-Berater konfiguriert S3-Buckets eines Kunden versehentlich als oeffentlich zugaenglich. Vertrauliche Geschaeftsdokumente sind mehrere Tage lang im Internet abrufbar. Der Kunde verlangt Schadensersatz und kuendigt den Vertrag.
Schadenshoehe: circa 45.000 EUR (Forensik, Rechtskosten, entgangener Vertrag)
Welche Risiken treffen IT-Dienstleister besonders?
Cyberangriffe sind in Deutschland Alltag geworden. 87 Prozent aller Unternehmen waren 2024 betroffen, der wirtschaftliche Gesamtschaden lag bei 289,2 Mrd. EUR (Bitkom Wirtschaftsschutz 2025). IT-Dienstleister stehen dabei doppelt im Feuer. Sie sind selbst Ziel, und sie sind zugleich der Hebel, ueber den Angreifer an die Systeme ihrer Kunden gelangen. Wer fremde Netzwerke administriert, wird damit automatisch zu einem lohnenden Ziel.
Supply-Chain-Angriffe: Das groesste Risiko fuer IT-Dienstleister
Bei SolarWinds (2020) und Kaseya (2021) lief der Angriff jeweils ueber einen einzigen Dienstleister, traf aber hunderte nachgelagerte Kundennetzwerke. Genau das ist das Aggregationsrisiko: Ein Vorfall multipliziert sich. Der durchschnittliche Cyberschaden eines deutschen Unternehmens liegt bei 45.370 EUR (GDV 2024). Wenn ein kompromittiertes Wartungstool 20 oder 30 Kunden gleichzeitig lahmlegt, addiert sich dieser Betrag entsprechend, und die Deckungssumme einer Standardpolice ist schnell erreicht.
Typische Risikoszenarien
- Kompromittierte Fernwartung: Angreifer nutzen RMM-Tools (Remote Monitoring & Management), um Ransomware gleichzeitig an alle betreuten Kunden zu verteilen
- Fehlkonfiguration: Eine falsche Einstellung in der Cloud-Infrastruktur legt Kundendaten offen
- Softwarefehler: Ein Bug in Ihrer Software verursacht Datenverlust oder Betriebsunterbrechung beim Kunden
- Gekaperte Admin-Zugaenge: Angreifer erbeuten Ihre privilegierten Administratorzugaenge zu Kundensystemen
- Insider-Bedrohung: Ein ehemaliger Mitarbeiter nutzt noch aktive Zugangsdaten fuer unbefugte Zugriffe
Das BSI registriert taeglich rund 309.000 neue Schadprogramm-Varianten (BSI Lagebericht 2024). Die Angriffsflaeche waechst also laufend. Eine allgemeine Cyberversicherung fuer KMU deckt zwar Eigenschaeden ab, laesst die branchentypischen Drittschaeden an Kundensystemen aber oft offen. Fuer IT-Dienstleister ist das die entscheidende Luecke.
Was sollte die Cyberversicherung abdecken?
Drei Bereiche entscheiden, ob eine Police zu einem IT-Dienstleister passt: Drittschaeden an Kundensystemen, der Schutz des eigenen Betriebs und einige IT-spezifische Bausteine, die in Standardtarifen fehlen. Drittschaeden sind dabei der wichtigste Punkt, denn hier liegt der Unterschied zu jeder anderen Branche.
Drittschaeden (besonders wichtig fuer IT-Dienstleister)
- Haftung bei Schaeden an Kundensystemen durch Ihre Dienstleistung
- Schadensersatz bei Datenpannen, die ueber Ihre Systeme Kunden betreffen
- Vertragsstrafen bei SLA-Verletzungen (je nach Police)
- Rechtsverteidigungskosten bei Haftungsanspruechen
Eigenschaeden
- Eigene Betriebsunterbrechung und entgangene Einnahmen
- Wiederherstellung eigener Systeme und Daten
- IT-Forensik (Untersuchung nach einem Cyberangriff) und Ursachenanalyse
- Benachrichtigungskosten bei eigener DSGVO-Datenpanne
Spezielle Bausteine fuer IT-Dienstleister
- Technology E&O (Technology Errors & Omissions): Deckung fuer Schaeden durch technische Fehler und Versaeumnisse in Ihrer Software oder Beratung
- Contingent Business Interruption: Schutz, wenn ein wichtiger Kunde oder Zulieferer ausfaellt und Sie dadurch Einnahmen verlieren
- System Failure: Deckung auch ohne externen Angriff, zum Beispiel bei Hardware-Ausfall oder Bedienfehler
- Cyber-Erpressung: Erweiterte Ransomware-Deckung einschliesslich Verhandlungshilfe und Loesegeld-Erstattung
| Merkmal | Basis-Schutz | Erweiterter Schutz |
|---|---|---|
| Eigenschaeden (eigene Systeme) | ||
| Betriebsunterbrechung | ||
| IT-Forensik und Ursachenanalyse | ||
| Drittschaeden (Kundensysteme) | Begrenzt | |
| Technology E&O | ||
| Contingent Business Interruption | ||
| Cyber-Erpressung / Ransomware | Optional | |
| DSGVO-Bussgelder und Rechtsverteidigung | Optional | |
| Reputationsmanagement |
Was kostet eine Cyberversicherung fuer IT-Unternehmen?
IT-Dienstleister zahlen mehr als die meisten anderen Branchen, weil Kundensystemzugang und Datenverarbeitung das Risiko erhoehen. Die Spanne reicht von rund 500 EUR im Jahr fuer einen Solo-Berater bis zu 25.000 EUR fuer ein Rechenzentrum. Die folgende Tabelle ordnet die Richtwerte nach Unternehmensgroesse. Was Sie am Ende zahlen, haengt von Umsatz, Deckungssumme und Ihren IT-Sicherheitsmassnahmen ab.
| IT-Unternehmenstyp | Mitarbeiter | Praemie/Jahr (circa) | Empfohlene Deckung |
|---|---|---|---|
| Solo-IT-Berater / Freelancer | 1 | 500 - 1.000 EUR | 250.000 - 500.000 EUR |
| Softwarehaus / Webagentur | 5 - 10 | 1.200 - 2.500 EUR | 500.000 - 1 Mio. EUR |
| MSP / Systemhaus | 10 - 50 | 2.500 - 8.000 EUR | 1 - 3 Mio. EUR |
| Cloud-Dienstleister / Rechenzentrum | 50+ | 8.000 - 25.000 EUR | 3 - 10 Mio. EUR |
Stand: Maerz 2026. Preise sind Richtwerte und koennen je nach Versicherer, Selbstbeteiligung und individueller Risikobewertung abweichen. Vergleichen Sie Cyberversicherung Kosten fuer detaillierte Preisinformationen.
IT-Haftpflicht, Berufshaftpflicht oder Cyberversicherung?
Reicht eine IT-Berufshaftpflicht aus, oder braucht es zusaetzlich eine Cyberversicherung? In den meisten Faellen beides. Die beiden Policen decken naemlich unterschiedliche Risiken ab: Die eine den beruflichen Fehler, die andere den Angriff von aussen. Die Tabelle stellt beide gegenueber.
| Kriterium | IT-Haftpflicht | Cyberversicherung |
|---|---|---|
| Schuetzt vor | Beruflichen Fehlern | Cyberangriffen, Datenpannen |
| Programmierfehler | Ja | Teilweise |
| Hackerangriff auf Kundensystem | Teilweise | Ja |
| Eigene Betriebsunterbrechung | Nein | Ja |
| Ransomware / Erpressung | Nein | Ja |
| IT-Forensik | Nein | Ja |
| Praemie (circa) | Ab 300 EUR/Jahr | Ab 500 EUR/Jahr |
Empfehlung: Kombinieren Sie beide Policen, oder waehlen Sie eine kombinierte Loesung, die IT-Haftpflicht und Cyberversicherung in einem Vertrag vereint. Einige Versicherer wie Hiscox oder exali bieten solche Kombi-Policen speziell fuer IT-Dienstleister an. Pruefen Sie auch, ob eine D&O-Versicherung fuer die persoenliche Haftung der Geschaeftsfuehrung sinnvoll ist.
Deckungsluecken und Ausschluesse
Nicht jede Cyberversicherung deckt alle Risiken ab. Gerade IT-Dienstleister sollten die Versicherungsbedingungen sorgfaeltig pruefen. Die folgenden Einschraenkungen kommen in vielen Policen vor:
- Wissentliche Pflichtverletzung: Schaeden, die durch bewusst ignorierte Sicherheitsluecken entstehen, sind ausgeschlossen
- Kriegsausschluss: Staatlich gelenkte Cyberangriffe (z. B. APT-Gruppen) koennen unter den Kriegsausschluss fallen; fragen Sie gezielt nach
- Bekannte Schwachstellen: Schaeden durch nicht gepatchte bekannte Schwachstellen werden von einigen Versicherern ausgeschlossen
- Sublimits fuer Betriebsunterbrechung: Die Deckung fuer entgangene Einnahmen ist oft auf einen Bruchteil der Deckungssumme begrenzt
- Karenzzeit: Betriebsunterbrechungsschaeden werden erst nach einer Wartezeit (oft 8 bis 24 Stunden) erstattet
- Nachhaftung: Nach Vertragsende werden keine neuen Schaeden gedeckt; achten Sie auf eine ausreichende Nachhaftungsfrist (mindestens 36 Monate)
Worauf muessen Managed Service Provider achten?
Unter allen IT-Dienstleister-Typen tragen MSPs das hoechste Risiko. Sie halten den administrativen Schluessel zu Dutzenden, teils Hunderten von Kundensystemen. Faellt dieser eine Zugang in falsche Haende, trifft es nicht einen Kunden, sondern viele auf einmal. Drei Punkte verdienen beim Versicherungsschutz deshalb besondere Aufmerksamkeit.
- Aggregationsrisiko: Ein Vorfall betrifft viele Kunden gleichzeitig. Die Summe aller Einzelschaeden kann die Deckungssumme schnell uebersteigen. Achten Sie auf ausreichend hohe Limits.
- RMM-Tool-Sicherheit: Remote-Management-Tools sind die kritischsten Angriffsziele. Laut Coveware betraegt die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff rund 23 Tage (Coveware 2024). Bei MSPs, deren RMM kompromittiert wird, kann die Ausfallzeit bei allen Kunden gleichzeitig eintreten.
- Vertragsgestaltung: Stimmen Sie die Haftungsbegrenzungen in Ihren Kundenvertraegen mit der Versicherungsdeckung ab. Viele MSPs haben Haftungsgrenzen von 1 bis 2 Mio. EUR in ihren AGB, die Versicherung sollte mindestens diese Summe abdecken.
Mehr zum Thema Supply-Chain-Sicherheit finden Sie in unserem Ratgeber Ransomware-Schutz.
Was bedeutet NIS-2 konkret fuer IT-Dienstleister?
Die NIS-2-Richtlinie ist seit dem 6. Dezember 2025 in Kraft und betrifft rund 29.500 Unternehmen in Deutschland direkt (BSI 2025). Ein Teil der IT-Branche faellt sogar unmittelbar darunter: Anbieter verwalteter Dienste, also klassische MSPs, sowie DNS- und Cloud-Dienste gelten in der Richtlinie als wichtige Einrichtungen, teils ohne die sonst ueblichen Schwellenwerte bei Mitarbeiterzahl oder Umsatz. Die uebrigen IT-Dienstleister sind indirekt betroffen, sobald sie regulierte Auftraggeber versorgen:
Orientierungshilfe, kein Rechtsrat
NIS-2 Quick-Check: Sind Sie pflichtig?
Fuenf Fragen, eine erste Einschaetzung. Die endgueltige Pruefung sollten Sie durch eine Fachperson absichern lassen.
1Beschaeftigen Sie mindestens 50 Mitarbeitende?
Mitarbeitende in Vollzeit-Aequivalenten, einschliesslich Tochtergesellschaften.
2Liegt Ihr Jahresumsatz oder Ihre Bilanzsumme bei mindestens 10 Millionen Euro?
3Sind Sie in einem NIS-2-Sektor taetig (z. B. Energie, Trinkwasser, Gesundheit, Lebensmittelproduktion, Post, IT-Dienste, digitale Infrastruktur)?
4Wuerde ein Ausfall Ihrer IT-Systeme die Versorgung anderer Unternehmen oder Buergerinnen unmittelbar gefaehrden?
5Beliefern Sie KRITIS-Betreiber (Krankenhaeuser, Energieversorger, oeffentliche Verwaltung)?
Beantworten Sie alle fuenf Fragen, um das Ergebnis zu sehen.
Quelle: BSI, NIS-2-Umsetzungsgesetz (in Kraft seit 6. Dezember 2025). Diese Vorauswahl ersetzt keine individuelle Rechts- oder Versicherungsberatung im Sinne des VVG.
- Lieferketten-Anforderungen: NIS-2-betroffene Auftraggeber muessen Cybersicherheit in ihrer gesamten Lieferkette gewaehrleisten. Das betrifft direkt ihre IT-Dienstleister.
- Vertragliche Nachweise: Auftraggeber fordern zunehmend Nachweise ueber IT-Sicherheitsstandards, Zertifizierungen und Cyberversicherungsschutz in Lieferantenvertraegen.
- Bussgelder: Bei Verstoessen drohen Bussgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Auch wenn diese Bussgelder primaer die betroffenen Unternehmen treffen, koennen Regressforderungen an IT-Dienstleister weitergereicht werden.
Fuer IT-Dienstleister, die Kunden aus regulierten Branchen betreuen, wird eine Cyberversicherung damit zunehmend zur Voraussetzung fuer neue Auftraege.
Wie senken IT-Dienstleister ihre Praemie?
Nachweisbare IT-Sicherheit zahlt sich direkt aus. Versicherer geben Rabatte fuer dokumentierte Massnahmen und setzen einige davon zugleich als Mindestanforderung voraus. Ohne Multi-Faktor-Authentifizierung auf administrativen Zugaengen lehnen viele Anbieter den Antrag inzwischen ganz ab. Die folgenden sechs Hebel wirken am staerksten:
- ISO 27001 Zertifizierung: Hiscox gewaehrt bis zu 10 % Praemienrabatt fuer zertifizierte Unternehmen
- SOC 2 Report: Zeigt Versicherern Ihre Sicherheitsreife und kann die Risikoeinstufung verbessern
- Multi-Faktor-Authentifizierung (MFA): MFA auf allen administrativen Zugaengen ist bei vielen Versicherern inzwischen Pflicht; HDI gewaehrt bis zu 7,5 % Rabatt bei dokumentierter MFA-Nutzung
- Endpoint Detection & Response (EDR): Moderne EDR-Loesungen verbessern das Risikoprofil erheblich
- Dokumentierter Incident-Response-Plan: Ein getesteter Notfallplan zeigt Versicherern, dass Sie auf Vorfaelle vorbereitet sind
- Regelmaessige Penetrationstests: Jaehrliche Penetrationstests durch externe Dienstleister signalisieren proaktive Sicherheitskultur
Lesen Sie unseren Ratgeber Cyber-Risiken fuer KMU fuer weitere Tipps zur IT-Sicherheit.
Worauf kommt es beim Vergleich an?
Tarife unterscheiden sich fuer IT-Dienstleister vor allem im Kleingedruckten. Sechs Punkte trennen eine passende Police von einer, die im Schadenfall Luecken zeigt:
- Drittschaeden-Deckung: Die Police muss Schaeden an Kundensystemen explizit einschliessen, nicht nur Eigenschaeden.
- Technology E&O inklusive: Nicht jede Cyber-Police deckt technische Fehler und Versaeumnisse ab. Fragen Sie gezielt nach diesem Baustein.
- Angemessene Deckungssumme: Beruecksichtigen Sie das Aggregationsrisiko. Ein Vorfall, der 20 Kunden gleichzeitig trifft, erfordert deutlich hoehere Limits.
- Nachhaftung: Mindestens 36 Monate Nachhaftungsfrist nach Vertragsende. Schaeden koennen erst Monate nach einem Vorfall bekannt werden.
- Sublimits pruefen: Betriebsunterbrechung, Loesegeld und Rechtsverteidigung haben oft eigene Sublimits. Stellen Sie sicher, dass diese fuer Ihr Geschaeftsmodell ausreichen.
- 24/7-Notfall-Hotline: Bei einem Cyberangriff zaehlt jede Stunde. Pruefen Sie, ob der Versicherer eine rund um die Uhr erreichbare Hotline mit IT-Forensik-Expertise anbietet.
Mehr zu unserer Bewertungsmethodik finden Sie auf der Seite So vergleichen wir.
Cyberversicherung nach IT-Spezialisierung
Nicht jeder IT-Betrieb braucht denselben Schutz. Ein MSP kaempft vor allem mit dem Aggregationsrisiko, ein Softwarehaus eher mit fehlerhaftem Code, eine Webagentur mit DSGVO-Bussgeldern. Die folgenden Profile zeigen, welcher Baustein jeweils im Vordergrund steht.
Cyberversicherung Softwarehaus
Softwarehaeuser mit eigenem Produkt haften fuer Bugs, die beim Kunden Daten zerstoeren oder Betriebsunterbrechungen ausloesen. Wichtige Bausteine sind Technology E&O, eine ausreichende Nachhaftungsfrist von mindestens 36 Monaten und Schutz bei Schadensersatzforderungen aus Liefervertraegen. Empfohlene Deckungssumme bei 5 bis 10 Mitarbeitern: 500.000 bis 1 Mio. EUR.
Cyberversicherung Systemhaus
Systemhaeuser betreuen oft heterogene Kundenumgebungen mit On-Premises-Servern, Cloud-Diensten und Netzwerktechnik. Das Aggregationsrisiko ist hoch: Ein kompromittiertes Management-Tool kann mehrere Kunden gleichzeitig treffen. Pruefen Sie Sublimits fuer Drittschaeden, eine 24/7-Hotline mit Forensik-Anbindung und ob die Police auch RMM-Toolausfaelle als versichertes Ereignis akzeptiert.
Cyberversicherung Agentur (Web, Marketing, E-Commerce)
Webagenturen und Marketing-Dienstleister verarbeiten Tracking-Daten, betreuen Shop-Systeme und haben oft administrativen Zugriff auf CMS und Zahlungsabwicklung. DSGVO-Bussgelder bei Datenpannen sind das groesste finanzielle Risiko. Die Cyberversicherung sollte Rechtsverteidigungskosten, Forensik und Benachrichtigungskosten abdecken.
Solo-IT-Berater ohne Mitarbeiter und ohne Multi-Client-Zugriff sind eher dem Freiberufler-Profil zuzuordnen. In dem Fall ist die Spezialseite Cyberversicherung fuer Freiberufler die passende Anlaufstelle.
Folgende Unterseiten bieten branchenspezifische Informationen:
- Cyberversicherung fuer KMU (allgemeine Gewerbebetriebe)
- Cyberversicherung fuer Freiberufler (Solo-IT-Berater)
- IT-Haftpflicht fuer Softwareentwickler (Haftung bei Softwarefehlern)
- Cyberversicherung fuer Handwerker (Betriebe mit digitaler Steuerung)
- IT-Berufshaftpflicht (Haftpflichtschutz fuer IT-Berater)
Für wen ist die IT-Dienstleister-Cyberversicherung geeignet?
Geeignet für
- Managed Service Provider (MSPs)
- Softwareentwickler und IT-Berater
- Cloud-Dienstleister und Rechenzentren
- IT-Systemhaeuser und Systemintegratoren
- Webagenturen und Digitaldienstleister
Weniger geeignet für
- Reine Hardware-Haendler ohne Servicevertrag
- IT-Unternehmen ohne Kundensystemzugang
Cyberversicherung fuer IT-Dienstleister vergleichen
Vergleichen Sie Angebote speziell fuer IT-Dienstleister, MSPs und Softwareunternehmen. Kostenlos und unabhaengig.
Kostenlos Angebote vergleichenFazit
IT-Dienstleister tragen ein doppeltes Risiko: Sie koennen selbst angegriffen werden und haften gleichzeitig, wenn ueber ihre Systeme Kundennetzwerke kompromittiert werden. Fuer MSPs und Softwareunternehmen gehoeren deshalb eine Cyberversicherung mit ausreichender Drittschaden-Deckung und eine IT-Berufshaftpflicht zur Grundausstattung, nicht zur Kuer.
Pruefen Sie vor dem Abschluss zwei Dinge: ob die Sublimits fuer Supply-Chain-Schaeden zu Ihrer Kundenzahl passen und ob Sie die geforderten Obliegenheiten (Patch-Management, MFA, Backup) im Alltag wirklich erfuellen koennen. Danach vergleichen Sie die Tarife der spezialisierten Anbieter.