Cyberversicherung 2026: Was sich aendert
Das Wichtigste in Kürze
- GDV 2023: 309 Mio. EUR Praemien, 180 Mio. EUR Schaeden, 261.000 Policen. Markt naehert sich 1 Mrd.
- 31 % der Antraege werden abgelehnt (MRTK 2025). MFA ist faktisch Pflicht.
- BaFin: Netto-Schadenquote 2024 auf 50 % gesunken (2023: 74 %). Praemien stabilisieren sich.
- NIS-2 seit Dezember 2025 in Kraft. GF haften persoenlich fuer Cybersicherheit.
- Allianz Risk Barometer 2026: Cyber ist Unternehmensrisiko Nr. 1 (42 %), KI auf Platz 2 (32 %).
202 Milliarden EUR Schaden durch Cyberkriminalitaet in der deutschen Wirtschaft, allein 2025 (Bitkom). 67 Prozent der KMU mindestens einmal angegriffen (Hiscox). Und trotzdem sind 60 Prozent der kleinen und mittleren Unternehmen nicht ausreichend gegen Cyberrisiken versichert.
Dieser Ratgeber fasst zusammen, wie sich der Cyberversicherungsmarkt 2026 entwickelt: Marktdaten aus GDV und BaFin, tatsaechliche Kosten fuer KMU, die verschaerften Obliegenheiten und die Auswirkungen von NIS-2 auf den Versicherungsschutz. Alle Zahlen sind verifiziert und mit Quellen belegt.
Der Markt in Zahlen: GDV und BaFin-Daten
| Kennzahl | 2022 | 2023 | Trend |
|---|---|---|---|
| Praemienvolumen (GDV) | 249 Mio. EUR | 309 Mio. EUR | +24 % |
| Schadenaufwand | 121 Mio. EUR | 180 Mio. EUR | +49 % |
| Durchschnittsschaden | 41.876 EUR | 45.370 EUR | +8,3 % |
| Policenanzahl | ca. 226.000 | ca. 261.000 | +15,7 % |
| Combined Ratio (GDV) | 77,7 % | 97 % | Nahe Breakeven |
| Netto-Schadenquote (BaFin) | 65,2 % | 74 % | 2024: 50,4 % (verbessert!) |
Die BaFin erwartet, dass der Gesamtmarkt (einschliesslich uebernommenem Rueckversicherungsgeschaeft) bald die 1-Milliarden-EUR-Schwelle ueberschreitet. Fuer 2024 hat der GDV noch keine separaten Cyberversicherungszahlen veroeffentlicht. Das Wachstum liegt aber nur noch im einstelligen Bereich, nach 40 Prozent in den Vorjahren.
Globaler Markt (Munich Re)
Munich Re beziffert das globale Cyberversicherungs-Praemienvolumen 2025 auf 16,3 Milliarden USD und prognostiziert 29 Milliarden USD bis 2027. Europa hat einen Marktanteil von 21 Prozent, Nordamerika dominiert mit 69 Prozent.
Bedrohungslage: BSI, BKA, Bitkom
| Kennzahl | Quelle | Wert |
|---|---|---|
| Neue Schadprogramm-Varianten pro Tag | BSI 2024 | 309.000 (+26 %) |
| Cybercrime-Faelle im Inland | BKA 2024 | 131.391 |
| Gemeldete Ransomware-Faelle | BKA 2024 | 950 |
| Gesamtschaden Cyberkriminalitaet | Bitkom 2025 | 202,4 Mrd. EUR |
| Betroffene Unternehmen | Bitkom 2025 | 87 % |
| Ransomware schadenverursachend | Bitkom 2025 | 34 % der Unternehmen |
| KMU mindestens einmal angegriffen | Hiscox 2025 | 67 % |
| Aktive APT-Gruppen in Deutschland | BSI 2024 | 22 |
Die BSI-Bewertung bleibt "angespannt und besorgniserregend". Ransomware ist weiterhin die gravierendste Bedrohung, besonders fuer KMU. 80 Prozent der Ransomware-Angriffe zielen laut BSI auf kleine und mittlere Unternehmen. Mehr zu Schutzmassnahmen im Ratgeber Ransomware-Schutz.
KI veraendert die Bedrohungslage
Laut Hiscox Cyber Readiness Report 2025 vermuten 62 Prozent der deutschen KMU, bereits Opfer KI-basierter Angriffe geworden zu sein. Der Allianz Risk Barometer 2026 zeigt: KI ist vom zehnten auf den zweiten Platz der groessten Unternehmensrisiken gesprungen (32 Prozent). Cyber bleibt auf Platz 1 (42 Prozent).
Durchschnittsschaeden fuer KMU: Was ein Angriff wirklich kostet
| Quelle | Zielgruppe | Durchschnittsschaden |
|---|---|---|
| GDV 2023 | Alle Policen | 45.370 EUR |
| HDI Cyberstudie 2024 | KMU | 95.000 EUR |
| HDI Cyberstudie 2024 | Freiberufler | 120.000 EUR |
| Bitkom 2025 | Deutsche Wirtschaft gesamt | 202,4 Mrd. EUR (jaehrlich) |
Die HDI-Zahlen zeigen: Freiberufler werden im Schnitt haerter getroffen als KMU. 45 Prozent der betroffenen Unternehmen litten unter Betriebsunterbrechungen, 28 Prozent entdeckten den Angriff nur zufaellig. Eine Cyberversicherung haette in diesen Faellen Forensik, Wiederherstellung und Umsatzausfall gedeckt.
Was eine Cyberversicherung 2026 kostet
| Unternehmenstyp | Jahresumsatz | Typische Jahrespraemie |
|---|---|---|
| Freiberufler / Solo | Bis 200.000 EUR | 250 bis 600 EUR |
| Kleinunternehmen | Bis 1 Mio. EUR | 500 bis 2.000 EUR |
| KMU (10 bis 50 MA) | Bis 5 Mio. EUR | 1.000 bis 5.000 EUR |
| Mittelstand (50 bis 250 MA) | Bis 25 Mio. EUR | 5.000 bis 25.000 EUR |
Faustregel: 0,1 bis 0,5 Prozent des Jahresumsatzes. Unternehmen mit dokumentierter IT-Sicherheit (MFA, EDR, Backups) erhalten Rabatte von 10 bis 25 Prozent. Wer eine ISO-27001-Zertifizierung vorweisen kann, spart bei vielen Versicherern 15 bis 25 Prozent. IT-Dienstleister sollten zusaetzlich ihre Berufshaftpflicht pruefen, da ab Dezember 2026 die neue Produkthaftungsrichtlinie Software als Produkt erfasst.
Praemienentwicklung: Stabilisierung statt Explosion
Die Praemienentwicklung hat sich gedreht. Nach Jahren starker Erhoehungen (2021: Combined Ratio 124 Prozent, Verlustjahr) zeigen die Daten 2024 eine deutliche Verbesserung:
- BaFin Schadenquote 2024: 50,4 % (2023: 74 %, 2021: 102 %)
- Weltweit: Cyberversicherungspraemien sanken 2025 um ca. 7 % (Swiss Re)
- Gute Risiken: Praemienrueckgang moeglich
- Schlechte Risiken: Erhoehungen oder Ablehnung
Die Spreizung zwischen Unternehmen mit guter und schlechter IT-Sicherheit nimmt zu. Wer seine Obliegenheiten erfuellt, profitiert von der Stabilisierung. Wer IT-Maengel hat, zahlt mehr oder wird gar nicht versichert.
31 % Ablehnungsquote: Warum Antraege scheitern
Fast jeder dritte Antrag auf eine Cyberversicherung wird abgelehnt (MRTK Cyber-Monitor 2025, Befragung von ueber 200 Maklern). Die haeufigsten Gruende:
- Fehlende Multi-Faktor-Authentifizierung (MFA)
- Keine dokumentierte Backup-Strategie
- Kein Patch-Management-Prozess
- End-of-Life-Software im Einsatz
- Fehlende IT-Dokumentation und Schulungsnachweise
Die Makler-Praeferenz fuehrt Hiscox (50 Prozent), gefolgt von Markel (44 Prozent). HDI und Allianz sind stark gewachsen. Cogitanda meldete im November 2024 Insolvenz an, ebenso Element Insurance. Rund ein Drittel der Makler berichtete von negativen Auswirkungen auf das Kundenvertrauen.
Verschaerfte Obliegenheiten 2026
MFA: Faktisch Pflicht
Nahezu alle Versicherer verlangen MFA fuer Remote-Zugaenge (VPN, RDP), Admin-Konten, E-Mail und Cloud-Dienste. SMS als zweiter Faktor gilt bei vielen Versicherern nicht mehr als ausreichend. TOTP-Apps oder Hardware-Token werden bevorzugt.
EDR statt Antivirus
Immer mehr Versicherer fordern Endpoint Detection and Response (EDR) statt klassischer signaturbasierter Antivirensoftware. EDR erkennt verdaechtiges Verhalten, isoliert befallene Geraete automatisch und liefert forensische Daten. Wer EDR implementiert, erhaelt bei vielen Versicherern 5 bis 15 Prozent Praemienrabatt.
Backup-Anforderungen (3-2-1-Regel)
- 3 Kopien der Daten, 2 verschiedene Medien, 1 extern
- Mindestens eine Offline- oder Air-Gapped-Kopie
- Quartalmaessige Wiederherstellungstests, dokumentiert
- RTO und RPO definiert und getestet
Patch-Management
- Kritische Patches (CVSS 9-10): Installation innerhalb weniger Tage
- Standardpatches: innerhalb von 14 bis 30 Tagen
- Keine End-of-Life-Software mit bekannten Sicherheitsluecken
- Dokumentierter Prozess
Detaillierte Uebersicht aller Obliegenheiten, einschliesslich Rechtsprechung (LG Tuebingen, LG Kiel, OLG Schleswig), im Ratgeber Cyberversicherung Obliegenheiten.
NIS-2 und Cyberversicherung
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Rund 30.000 Unternehmen in Deutschland sind direkt betroffen (50+ Mitarbeiter oder 10 Mio.+ Umsatz in kritischen Sektoren).
Auswirkungen auf die Cyberversicherung
- Underwriting: Versicherer pruefen den NIS-2-Status bei betroffenen Unternehmen
- Praemien: NIS-2-konforme Unternehmen erhalten bessere Konditionen
- Obliegenheiten: NIS-2-Verstoesse koennen als Obliegenheitsverletzung gewertet werden
- GF-Haftung: Paragraf 38 BSIG, persoenlich, nicht delegierbar. D&O-Versicherung deckt fahrlaeessige Verstoesse.
NIS-2 schreibt keine Cyberversicherungspflicht vor. Aber die Kombination aus persoenlicher GF-Haftung, Bussgeldern bis 10 Mio. EUR und verschaerften Meldepflichten (24 Stunden Erstmeldung an BSI) macht den Versicherungsschutz fuer betroffene Unternehmen de facto unverzichtbar. Mehr zur persoenlichen Haftung im Ratgeber Geschaeftsfuehrer-Haftung.
Neue Ausschluesse und Deckungstrends
| Ausschluss / Trend | Was bedeutet das? |
|---|---|
| Staatliche Cyberangriffe (War Exclusion) | Seit Maerz 2023 bei Lloyd's Pflicht. Deutsche Versicherer haben nachgezogen. GDV-Musterbedingungen 2024 schliessen Staatsangriffe auf KRITIS aus. |
| Systemische Risiken | Grossflaechige IT-Ausfaelle (Beispiel: CrowdStrike Juli 2024) werden zunehmend separat behandelt oder ausgeschlossen. |
| Bekannte ungepatchte Schwachstellen | Wer bekannte Sicherheitsluecken 30+ Tage nicht schliesst, riskiert Leistungskuerzung. |
| KI-bezogene Deckung | 42 % der Policen enthalten KI-Ausschluesse. Deckungslage noch nicht konsolidiert. |
| Loesegeld (Ransomware) | Kein Verbot geplant (IMK Dezember 2024). 25 % der Versicherer erstatten uneingeschraenkt, 56 % mit Sublimits. |
Versicherungsdurchdringung: Die Luecke bei KMU
Laut Hiscox Cyber Readiness Report 2025 haben 40 Prozent der deutschen KMU eine eigenstaendige Cyberversicherung, 38 Prozent sind ueber andere Policen teilweise gedeckt. Das heisst: 60 Prozent sind nicht ausreichend versichert.
Munich Re schaetzt, dass weniger als 5 Prozent des gesamten Cyberrisikos weltweit versichert sind. Neun von zehn Fuehrungskraeften halten sich fuer unzureichend geschuetzt. Die groesste Luecke: KMU mit weniger als 50 Mitarbeitern.
Checkliste: Fit fuer die Cyberversicherung 2026
Technische Massnahmen
- ☐MFA fuer alle Remote-Zugaenge, Admin- und E-Mail-Konten (TOTP/Hardware)
- ☐EDR-Loesung auf allen Endgeraeten (nicht nur klassischer Antivirus)
- ☐Backup-Strategie nach 3-2-1-Regel mit Offline-Kopie
- ☐Patch-Prozess dokumentiert, kritische Patches innerhalb 14 Tagen
- ☐Keine End-of-Life-Software im Einsatz
- ☐Netzwerksegmentierung und Firewall konfiguriert
Organisatorische Massnahmen
- ☐Mitarbeiterschulungen jaehrlich, mit Phishing-Simulationen
- ☐Notfallplan erstellt und getestet
- ☐NIS-2-Status geprueft (50+ MA oder 10 Mio.+ Umsatz?)
- ☐IT-Sicherheitsrichtlinien aktuell und dokumentiert
Versicherung
- ☐Bestehende Police auf War Exclusion und KI-Ausschluesse pruefen
- ☐Deckungssumme noch angemessen?
- ☐Obliegenheiten erfuellt und dokumentiert?
- ☐D&O-Versicherung auf NIS-2-Deckung pruefen
Fazit: Der Markt wird reifer, die Anforderungen steigen
Die Cyberversicherung in Deutschland ist 2026 kein Nischenprodukt mehr. 309 Mio. EUR Praemien, 261.000 Policen, und die BaFin sieht die 1-Milliarden-Schwelle in Reichweite. Gleichzeitig hat sich die Schadenquote 2024 auf 50 Prozent verbessert, was fuer gute Risiken stabile Praemien bedeutet.
Die Kehrseite: 31 Prozent der Antraege werden abgelehnt, weil Unternehmen die Mindestanforderungen nicht erfuellen. MFA, EDR und dokumentierte Backups sind keine Kuer mehr, sondern Voraussetzung. Wer NIS-2-betroffen ist, braucht zusaetzlich eine D&O-Versicherung fuer die persoenliche Geschaeftsfuehrerhaftung. Der erste Schritt: Die eigene IT-Sicherheit ehrlich bewerten und die Cyberversicherung vergleichen.
NIS-2 ist seit Dezember 2025 in Kraft (persoenliche GF-Haftung). MFA ist faktisch Pflicht. EDR ersetzt zunehmend klassischen Antivirus. Die Obliegenheiten sind strenger, und 31 Prozent der Antraege werden abgelehnt. Gleichzeitig hat sich die Schadenquote 2024 auf 50 Prozent verbessert, was die Praemien stabilisiert.
Nicht pauschal. Die BaFin meldet eine verbesserte Schadenquote von 50 Prozent fuer 2024 (2023: 74 Prozent). Weltweit sanken Cyberversicherungspraemien 2025 um rund 7 Prozent. Unternehmen mit guter IT-Sicherheit erhalten stabile oder sinkende Praemien. Unternehmen mit Maengeln zahlen mehr oder werden abgelehnt.
GDV: 309 Mio. EUR Praemien und 261.000 Policen im Jahr 2023. Laut BaFin naehert sich der Markt der 1-Milliarden-EUR-Schwelle. Global rechnet Munich Re mit 29 Mrd. USD bis 2027. Europa hat einen Marktanteil von 21 Prozent.
Laut GDV lag der Durchschnittsschaden 2023 bei 45.370 EUR. Die HDI Cyberstudie 2024 nennt 95.000 EUR fuer KMU und 120.000 EUR fuer Freiberufler. Bitkom beziffert den Gesamtschaden der deutschen Wirtschaft durch Cyberkriminalitaet auf 202 Milliarden EUR jaehrlich.
Faktisch ja. Nahezu alle Versicherer verlangen Multi-Faktor-Authentifizierung fuer Remote-Zugaenge, Admin-Konten und E-Mail. Ohne MFA wird der Antrag oft direkt abgelehnt oder die Praemie deutlich erhoeht. SMS als zweiter Faktor reicht bei vielen Versicherern nicht mehr aus.
Ja. NIS-2 ist seit Dezember 2025 in Kraft, rund 30.000 Unternehmen sind betroffen. Viele Versicherer pruefen den NIS-2-Status im Underwriting. NIS-2-konforme Unternehmen erhalten bessere Konditionen. Verstoesse koennen als Obliegenheitsverletzung gewertet werden.
Richtwerte: Freiberufler 250 bis 600 EUR pro Jahr, kleine Unternehmen (bis 1 Mio. Umsatz) 500 bis 2.000 EUR, KMU (10 bis 50 Mitarbeiter) 1.000 bis 5.000 EUR, Mittelstand 5.000 bis 25.000 EUR. Als Faustregel: 0,1 bis 0,5 Prozent des Jahresumsatzes.
Rund 31 Prozent der Cyberversicherungsantraege scheitern laut MRTK Cyber-Monitor 2025 im Underwriting. Hauptgruende: fehlende MFA, keine dokumentierten Backups, kein Patch-Management-Prozess, veraltete Software und fehlende IT-Dokumentation. Der Ratgeber zu Obliegenheiten erklaert die Anforderungen im Detail.
Fazit
2026 wird Cyberversicherung fuer KMU wichtiger denn je. NIS-2, steigende Praemien und ausgefeiltere Angriffsmethoden erhoehen den Druck. Wer jetzt die Obliegenheiten erfuellt und die IT-Sicherheit nachweisbar verbessert, sichert sich bessere Konditionen.