Zum Hauptinhalt springen
Update 2026

Cyberversicherung 2026: Marktdaten und Regulierung

Veröffentlicht: Aktualisiert:

Das Wichtigste in Kürze

  • GDV 2023: 309 Mio. EUR Praemien, 180 Mio. EUR Schaeden, 261.000 Policen. Markt naehert sich 1 Mrd.
  • 31 % der Antraege werden abgelehnt (MRTK 2025). MFA ist faktisch Pflicht.
  • BaFin: Netto-Schadenquote 2024 auf 50 % gesunken (2023: 74 %). Praemien stabilisieren sich.
  • NIS-2 seit Dezember 2025 in Kraft. GF haften persoenlich fuer Cybersicherheit.
  • Allianz Risk Barometer 2026: Cyber ist Unternehmensrisiko Nr. 1 (42 %), KI auf Platz 2 (32 %).
Cyberversicherung 2026: Marktdaten und Regulierung in Deutschland

Der deutsche Cyberversicherungsmarkt liegt 2026 bei 309 Mio. EUR Praemienvolumen und 261.000 Policen (GDV, 2023), und die BaFin sieht die 1-Milliarden-Schwelle in Reichweite. Gleichzeitig lehnen Versicherer rund 31 Prozent der Antraege ab (MRTK Cyber-Monitor 2025), weil Mindestanforderungen wie MFA fehlen. Dieser Ratgeber ordnet die Marktlage ein: Praemienentwicklung, NIS-2-Folgen und die Regulierung 2026.

Den konkreten Tarif- und Anbietervergleich finden Sie auf unserer Seite zur Cyberversicherung, eine detaillierte Kostenaufschluesselung im Beitrag zu Cyberversicherung Kosten. Hier geht es um die Frage dahinter: Wie veraendert sich der Markt, und was bedeutet das fuer Unternehmen, die 2026 Versicherungsschutz suchen? Alle Zahlen sind mit Quellen aus GDV, BaFin, BSI und Bitkom belegt.

Der Markt in Zahlen: GDV und BaFin-Daten

Kennzahl20222023Trend
Praemienvolumen (GDV)249 Mio. EUR309 Mio. EUR+24 %
Schadenaufwand121 Mio. EUR180 Mio. EUR+49 %
Durchschnittsschaden41.876 EUR45.370 EUR+8,3 %
Policenanzahlca. 226.000ca. 261.000+15,7 %
Combined Ratio (GDV)77,7 %97 %Nahe Breakeven
Netto-Schadenquote (BaFin)65,2 %74 %2024: 50,4 % (verbessert!)

Die BaFin erwartet, dass der Gesamtmarkt (einschliesslich uebernommenem Rueckversicherungsgeschaeft) bald die 1-Milliarden-EUR-Schwelle ueberschreitet. Fuer 2024 hat der GDV noch keine separaten Cyberversicherungszahlen veroeffentlicht. Das Wachstum liegt aber nur noch im einstelligen Bereich, nach 40 Prozent in den Vorjahren.

Globaler Markt (Munich Re)

Munich Re beziffert das globale Cyberversicherungs-Praemienvolumen 2025 auf 16,3 Milliarden USD und prognostiziert 29 Milliarden USD bis 2027. Europa hat einen Marktanteil von 21 Prozent, Nordamerika dominiert mit 69 Prozent.

Bedrohungslage: BSI, BKA, Bitkom

KennzahlQuelleWert
Neue Schadprogramm-Varianten pro TagBSI 2024309.000 (+26 %)
Cybercrime-Faelle im InlandBKA 2024131.391
Gemeldete Ransomware-FaelleBKA 2024950
Gesamtschaden CyberkriminalitaetBitkom 2025202,4 Mrd. EUR
Betroffene UnternehmenBitkom 202587 %
Ransomware schadenverursachendBitkom 202534 % der Unternehmen
KMU mindestens einmal angegriffenHiscox 202567 %
Aktive APT-Gruppen in DeutschlandBSI 202422

Die BSI-Bewertung bleibt "angespannt und besorgniserregend". Ransomware ist weiterhin die gravierendste Bedrohung, besonders fuer KMU. 80 Prozent der Ransomware-Angriffe zielen laut BSI auf kleine und mittlere Unternehmen. Mehr zu Schutzmassnahmen im Ratgeber Ransomware-Schutz.

KI veraendert die Bedrohungslage

Laut Hiscox Cyber Readiness Report 2025 vermuten 62 Prozent der deutschen KMU, bereits Opfer KI-basierter Angriffe geworden zu sein. Der Allianz Risk Barometer 2026 zeigt: KI ist vom zehnten auf den zweiten Platz der groessten Unternehmensrisiken gesprungen (32 Prozent). Cyber bleibt auf Platz 1 (42 Prozent).

Durchschnittsschaeden fuer KMU: Was ein Angriff wirklich kostet

QuelleZielgruppeDurchschnittsschaden
GDV 2023Alle Policen45.370 EUR
HDI Cyberstudie 2024KMU95.000 EUR
HDI Cyberstudie 2024Freiberufler120.000 EUR
Bitkom 2025Deutsche Wirtschaft gesamt202,4 Mrd. EUR (jaehrlich)

Die HDI-Zahlen zeigen: Freiberufler werden im Schnitt haerter getroffen als KMU. 45 Prozent der betroffenen Unternehmen litten unter Betriebsunterbrechungen, 28 Prozent entdeckten den Angriff nur zufaellig. Eine Cyberversicherung haette in diesen Faellen Forensik, Wiederherstellung und Umsatzausfall gedeckt.

Was kostet eine Cyberversicherung 2026 im Ueberblick?

Die Praemien haengen vor allem vom Jahresumsatz und vom IT-Sicherheitsniveau ab. Als Faustregel gelten 0,1 bis 0,5 Prozent des Jahresumsatzes: Ein Freiberufler zahlt grob 250 bis 600 EUR pro Jahr, ein KMU mit 10 bis 50 Mitarbeitenden eher 1.000 bis 5.000 EUR. Unternehmen mit dokumentierter Sicherheit (MFA, EDR, Backups) bekommen 10 bis 25 Prozent Rabatt, eine ISO-27001-Zertifizierung spart bei vielen Versicherern noch einmal 15 bis 25 Prozent.

Diese Spannen sind nur eine Orientierung. Die vollstaendige Aufschluesselung nach Branche, Deckungssumme und Selbstbehalt finden Sie im Beitrag zu Cyberversicherung Kosten. IT-Dienstleister sollten zusaetzlich ihre Berufshaftpflicht pruefen, denn ab Dezember 2026 erfasst die neue EU-Produkthaftungsrichtlinie auch Software als Produkt.

Praemienentwicklung: Stabilisierung statt Explosion

Die Praemienentwicklung hat sich gedreht. Nach Jahren starker Erhoehungen (2021: Combined Ratio 124 Prozent, Verlustjahr) zeigen die Daten 2024 eine deutliche Verbesserung:

  • BaFin Schadenquote 2024: 50,4 % (2023: 74 %, 2021: 102 %)
  • Weltweit: Cyberversicherungspraemien sanken 2025 um ca. 7 % (Swiss Re)
  • Gute Risiken: Praemienrueckgang moeglich
  • Schlechte Risiken: Erhoehungen oder Ablehnung

Die Spreizung zwischen Unternehmen mit guter und schlechter IT-Sicherheit nimmt zu. Wer seine Obliegenheiten erfuellt, profitiert von der Stabilisierung. Wer IT-Maengel hat, zahlt mehr oder wird gar nicht versichert.

31 % Ablehnungsquote: Warum Antraege scheitern

Fast jeder dritte Antrag auf eine Cyberversicherung wird abgelehnt (MRTK Cyber-Monitor 2025, Befragung von ueber 200 Maklern). Die haeufigsten Gruende:

  • Fehlende Multi-Faktor-Authentifizierung (MFA)
  • Keine dokumentierte Backup-Strategie
  • Kein Patch-Management-Prozess
  • End-of-Life-Software im Einsatz
  • Fehlende IT-Dokumentation und Schulungsnachweise

Die Makler-Praeferenz fuehrt Hiscox (50 Prozent), gefolgt von Markel (44 Prozent). HDI und Allianz sind stark gewachsen. Cogitanda meldete im November 2024 Insolvenz an, ebenso Element Insurance. Rund ein Drittel der Makler berichtete von negativen Auswirkungen auf das Kundenvertrauen.

Verschaerfte Obliegenheiten 2026

MFA: Faktisch Pflicht

Nahezu alle Versicherer verlangen MFA fuer Remote-Zugaenge (VPN, RDP), Admin-Konten, E-Mail und Cloud-Dienste. SMS als zweiter Faktor gilt bei vielen Versicherern nicht mehr als ausreichend. TOTP-Apps oder Hardware-Token werden bevorzugt.

EDR statt Antivirus

Immer mehr Versicherer fordern Endpoint Detection and Response (EDR) statt klassischer signaturbasierter Antivirensoftware. EDR erkennt verdaechtiges Verhalten, isoliert befallene Geraete automatisch und liefert forensische Daten. Wer EDR implementiert, erhaelt bei vielen Versicherern 5 bis 15 Prozent Praemienrabatt.

Backup-Anforderungen (3-2-1-Regel)

  • 3 Kopien der Daten, 2 verschiedene Medien, 1 extern
  • Mindestens eine Offline- oder Air-Gapped-Kopie
  • Quartalmaessige Wiederherstellungstests, dokumentiert
  • RTO und RPO definiert und getestet

Patch-Management

  • Kritische Patches (CVSS 9-10): Installation innerhalb weniger Tage
  • Standardpatches: innerhalb von 14 bis 30 Tagen
  • Keine End-of-Life-Software mit bekannten Sicherheitsluecken
  • Dokumentierter Prozess

Detaillierte Uebersicht aller Obliegenheiten, einschliesslich Rechtsprechung (LG Tuebingen, LG Kiel, OLG Schleswig), im Ratgeber Cyberversicherung Obliegenheiten.

NIS-2 und Cyberversicherung

Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Rund 30.000 Unternehmen in Deutschland sind direkt betroffen (50+ Mitarbeiter oder 10 Mio.+ Umsatz in kritischen Sektoren).

Auswirkungen auf die Cyberversicherung

  • Underwriting: Versicherer pruefen den NIS-2-Status bei betroffenen Unternehmen
  • Praemien: NIS-2-konforme Unternehmen erhalten bessere Konditionen
  • Obliegenheiten: NIS-2-Verstoesse koennen als Obliegenheitsverletzung gewertet werden
  • GF-Haftung: Paragraf 38 BSIG, persoenlich, nicht delegierbar. D&O-Versicherung deckt fahrlaeessige Verstoesse.

NIS-2 schreibt keine Cyberversicherungspflicht vor. Aber die Kombination aus persoenlicher GF-Haftung, Bussgeldern bis 10 Mio. EUR und verschaerften Meldepflichten (24 Stunden Erstmeldung an BSI) macht den Versicherungsschutz fuer betroffene Unternehmen de facto unverzichtbar. Mehr zur persoenlichen Haftung im Ratgeber Geschaeftsfuehrer-Haftung.

Neue Ausschluesse und Deckungstrends

Ausschluss / TrendWas bedeutet das?
Staatliche Cyberangriffe (War Exclusion)Seit Maerz 2023 bei Lloyd's Pflicht. Deutsche Versicherer haben nachgezogen. GDV-Musterbedingungen 2024 schliessen Staatsangriffe auf KRITIS aus.
Systemische RisikenGrossflaechige IT-Ausfaelle (Beispiel: CrowdStrike Juli 2024) werden zunehmend separat behandelt oder ausgeschlossen.
Bekannte ungepatchte SchwachstellenWer bekannte Sicherheitsluecken 30+ Tage nicht schliesst, riskiert Leistungskuerzung.
KI-bezogene Deckung42 % der Policen enthalten KI-Ausschluesse. Deckungslage noch nicht konsolidiert.
Loesegeld (Ransomware)Kein Verbot geplant (IMK Dezember 2024). 25 % der Versicherer erstatten uneingeschraenkt, 56 % mit Sublimits.

Versicherungsdurchdringung: Die Luecke bei KMU

Laut Hiscox Cyber Readiness Report 2025 haben 40 Prozent der deutschen KMU eine eigenstaendige Cyberversicherung, 38 Prozent sind ueber andere Policen teilweise gedeckt. Das heisst: 60 Prozent sind nicht ausreichend versichert.

Munich Re schaetzt, dass weniger als 5 Prozent des gesamten Cyberrisikos weltweit versichert sind. Neun von zehn Fuehrungskraeften halten sich fuer unzureichend geschuetzt. Die groesste Luecke: KMU mit weniger als 50 Mitarbeitern.

Checkliste: Fit fuer die Cyberversicherung 2026

Technische Massnahmen

  • MFA fuer alle Remote-Zugaenge, Admin- und E-Mail-Konten (TOTP/Hardware)
  • EDR-Loesung auf allen Endgeraeten (nicht nur klassischer Antivirus)
  • Backup-Strategie nach 3-2-1-Regel mit Offline-Kopie
  • Patch-Prozess dokumentiert, kritische Patches innerhalb 14 Tagen
  • Keine End-of-Life-Software im Einsatz
  • Netzwerksegmentierung und Firewall konfiguriert

Organisatorische Massnahmen

  • Mitarbeiterschulungen jaehrlich, mit Phishing-Simulationen
  • Notfallplan erstellt und getestet
  • NIS-2-Status geprueft (50+ MA oder 10 Mio.+ Umsatz?)
  • IT-Sicherheitsrichtlinien aktuell und dokumentiert

Versicherung

  • Bestehende Police auf War Exclusion und KI-Ausschluesse pruefen
  • Deckungssumme noch angemessen?
  • Obliegenheiten erfuellt und dokumentiert?
  • D&O-Versicherung auf NIS-2-Deckung pruefen

Fazit: Der Markt reift, die Anforderungen steigen

Cyberversicherung ist in Deutschland 2026 kein Nischenprodukt mehr. Bei 309 Mio. EUR Praemien und 261.000 Policen sieht die BaFin die 1-Milliarden-Schwelle in Reichweite. Weil sich die Schadenquote 2024 auf rund 50 Prozent verbessert hat, bleiben die Praemien fuer gut abgesicherte Unternehmen stabil.

Die andere Seite: Versicherer lehnen 31 Prozent der Antraege ab, weil die Mindestanforderungen fehlen. MFA, EDR und getestete Backups sind heute Voraussetzung, nicht Kuer. Wer unter NIS-2 faellt, braucht zusaetzlich eine D&O-Versicherung fuer die persoenliche Geschaeftsfuehrerhaftung. Bewerten Sie zuerst Ihre eigene IT-Sicherheit ehrlich und vergleichen Sie dann die Cyberversicherung.

NIS-2 ist seit Dezember 2025 in Kraft (persoenliche GF-Haftung). MFA ist faktisch Pflicht. EDR ersetzt zunehmend klassischen Antivirus. Die Obliegenheiten sind strenger, und 31 Prozent der Antraege werden abgelehnt. Gleichzeitig hat sich die Schadenquote 2024 auf 50 Prozent verbessert, was die Praemien stabilisiert.

Nicht pauschal. Die BaFin meldet eine verbesserte Schadenquote von 50 Prozent fuer 2024 (2023: 74 Prozent). Weltweit sanken Cyberversicherungspraemien 2025 um rund 7 Prozent. Unternehmen mit guter IT-Sicherheit erhalten stabile oder sinkende Praemien. Unternehmen mit Maengeln zahlen mehr oder werden abgelehnt.

GDV: 309 Mio. EUR Praemien und 261.000 Policen im Jahr 2023. Laut BaFin naehert sich der Markt der 1-Milliarden-EUR-Schwelle. Global rechnet Munich Re mit 29 Mrd. USD bis 2027. Europa hat einen Marktanteil von 21 Prozent.

Laut GDV lag der Durchschnittsschaden 2023 bei 45.370 EUR. Die HDI Cyberstudie 2024 nennt 95.000 EUR fuer KMU und 120.000 EUR fuer Freiberufler. Bitkom beziffert den Gesamtschaden der deutschen Wirtschaft durch Cyberkriminalitaet auf 202 Milliarden EUR jaehrlich.

Faktisch ja. Nahezu alle Versicherer verlangen Multi-Faktor-Authentifizierung fuer Remote-Zugaenge, Admin-Konten und E-Mail. Ohne MFA wird der Antrag oft direkt abgelehnt oder die Praemie deutlich erhoeht. SMS als zweiter Faktor reicht bei vielen Versicherern nicht mehr aus.

Ja. NIS-2 ist seit Dezember 2025 in Kraft, rund 30.000 Unternehmen sind betroffen. Viele Versicherer pruefen den NIS-2-Status im Underwriting. NIS-2-konforme Unternehmen erhalten bessere Konditionen. Verstoesse koennen als Obliegenheitsverletzung gewertet werden.

Als Orientierung gelten 0,1 bis 0,5 Prozent des Jahresumsatzes. Ein KMU mit 10 bis 50 Mitarbeitenden zahlt damit grob 1.000 bis 5.000 EUR pro Jahr, ein Freiberufler 250 bis 600 EUR. Die genaue Praemie haengt von Deckungssumme, Branche und Selbstbehalt ab. Eine detaillierte Aufschluesselung finden Sie im Beitrag zu Cyberversicherung Kosten.

Rund 31 Prozent der Cyberversicherungsantraege scheitern laut MRTK Cyber-Monitor 2025 im Underwriting. Hauptgruende: fehlende MFA, keine dokumentierten Backups, kein Patch-Management-Prozess, veraltete Software und fehlende IT-Dokumentation. Der Ratgeber zu Obliegenheiten erklaert die Anforderungen im Detail.

Hinweis: Die Inhalte auf dieser Seite dienen der allgemeinen Information. Sie ersetzen keine individuelle Beratung durch einen zugelassenen Versicherungsvermittler oder -berater. Alle Marktzahlen beziehen sich auf die jeweils angegebene Quelle und das genannte Stichjahr.

Cyberversicherung 2026 vergleichen

60 Prozent der KMU sind nicht ausreichend versichert. Vergleichen Sie Tarife und pruefen Sie Ihre Obliegenheiten.

Cyberversicherung vergleichen