Zum Inhalt

Cyberversicherung

Cyberversicherung – Schutz, Fallstricke und was für Selbständige wirklich zählt

Die Cyberversicherung wird im Guide an mehreren Stellen als hilfreiche Ressource im Krisenfall erwähnt. Aber was ist das eigentlich genau, lohnt sie sich für Selbständige, was leistet sie wirklich – und was steht im Kleingedruckten, das im Schadensfall zum Problem wird? Dieser Deep Dive beantwortet diese Fragen.

Was ein Sicherheitsvorfall wirklich kostet

Bevor wir zur Versicherung kommen, lohnt sich ein nüchterner Blick auf das, was sie abdecken soll. Die Frage „Was kostet mich ein Cyberangriff?" klingt einfach. Die Antwort ist es nicht. Studien zu Angriffskosten beziehen sich meistens auf mittlere und große Unternehmen – die haben Compliance-Abteilungen, die solche Vorfälle dokumentieren. Selbständige und Kleinstunternehmen erfassen ihre Schäden selten systematisch, viele melden Vorfälle erst gar nicht.

Trotzdem gibt es genug Datenmaterial, um ein realistisches Bild zu zeichnen.

Die Kostenstruktur: Drei Wellen

Ein Sicherheitsvorfall erzeugt Kosten in drei Wellen, die zeitlich versetzt einschlagen.

Welle 1: Sofortkosten (Tage bis Wochen)

IT-Forensik und Incident Response kosten zwischen 150 und 300 Euro pro Stunde; eine grundlegende Forensik dauert selten weniger als ein bis zwei Tage – also 1.200 bis 5.000 Euro, eher mehr. Dazu kommen Systemwiederherstellung, Notfallhardware (ein Ersatzlaptop: 800 bis 1.500 Euro) und externe Rechts- und Datenschutzberatung. Der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) hat für ein Ransomware-Szenario einer kleinen Arztpraxis direkte Sofortkosten von rund 18.500 Euro errechnet; für ein Datenklau-Szenario derselben Praxis rund 37.000 Euro – allein die Informationspflichten gegenüber Patienten schlugen mit 4.000 Euro zu Buche.1

Welle 2: Betriebsunterbrechungskosten (Tage bis Monate)

Das ist oft der größte Posten – und derjenige, der Selbständige am härtesten trifft. Eine Praxis mit einem Jahresumsatz von 200.000 Euro erzielt täglich rund 800 Euro. Eine Ausfallzeit von zehn Tagen entspricht 8.000 Euro Umsatzverlust – die laufenden Fixkosten nicht eingerechnet.

Welle 3: Folgekosten (Monate bis Jahre)

DSGVO-Bußgelder können sich auch bei kleinen Betrieben schnell im fünfstelligen Bereich bewegen – Art. 83 DSGVO sieht bis zu 4 Prozent des Vorjahresumsatzes vor. Schadensersatzforderungen betroffener Kunden oder Patienten kommen hinzu, ebenso wie dauerhafte Reputationsschäden und höhere Versicherungsprämien nach einem Vorfall.

Fasst man die Wellen zusammen, ergibt sich für einen mittelgravierenden Vorfall bei einer kleinen Praxis oder einem Selbständigen ein realistisches Schadensband von 15.000 bis 150.000 Euro – je nach Branche, Datenmenge, Reaktionsgeschwindigkeit und ob ein funktionierendes Backup vorhanden war. Die durchschnittlichen Wiederherstellungskosten nach einem Ransomware-Angriff in Deutschland liegen laut ExtraHop (2024) bei 1,2 Millionen Euro – gemessen über alle Unternehmensgrößen.2 Für kleine Betriebe sind die absoluten Beträge kleiner, aber relativ zum Umsatz oft verheerender.

Besondere Risiken für bestimmte Branchen

Arztpraxen und Heilberufe: Gesundheitsdaten sind auf dem Schwarzmarkt besonders wertvoll. Laut einer BSI-Studie von 2024 war jede zehnte befragte Arztpraxis mindestens einmal von einem IT-Sicherheitsvorfall betroffen – und zwei Drittel erfüllten die gesetzlich vorgeschriebenen Schutzmaßnahmen nicht vollständig.3 Moderne Ransomware nutzt die „Double-Extortion"-Methode – Daten werden erst kopiert, dann verschlüsselt. Selbst ein funktionierendes Backup schützt nicht vor der Erpressung mit gestohlenen Patientendaten.

Rechtsanwälte und Steuerberater: Mandantendaten und Betriebsgeheimnisse sind lukrative Ziele. Ein Angriff kann nicht nur finanzielle, sondern auch berufsrechtliche Konsequenzen haben – bis hin zu Haftungsansprüchen, die weit über den direkten IT-Schaden hinausgehen.

Kreative und Medienberufe: Häufig unterschätzte Zielgruppe. Ein Totalverlust ohne Backup kann laufende Projekte und Kundenverhältnisse zerstören.

Die Kalkulation, die fast niemand macht

Die Kosten grundlegender IT-Sicherheitsmaßnahmen für Selbständige sind überschaubar: Ein Passwort-Manager kostet 2 bis 5 Euro pro Monat, eine saubere Backup-Lösung 10 bis 30 Euro, eine Cyberversicherung ab etwa 20 bis 50 Euro. Die Gesamtkosten einer soliden Basisabsicherung liegen also bei etwa 500 bis 1.000 Euro pro Jahr – einem möglichen Schaden von 15.000 bis 150.000 Euro gegenübergestellt, ist das eine eindeutige Kalkulation.

Quellen: BSI Lagebericht 2024; ExtraHop Global Ransomware Trends Report 2024; Sophos State of Ransomware 2024; GDV Musterszenarien Cyberversicherung. Alle Zahlen beziehen sich auf den Stand der Drucklegung.

Lohnt sich eine Cyberversicherung für Selbständige?

Die kurze Antwort: Ja, wenn du von deiner IT abhängig bist, Kundendaten verarbeitest und einen Ausfall nicht einfach aussitzen kannst.

Eine Cyberversicherung ist keine Alternative zu guter IT-Sicherheit. Wer kein Backup hat, keine Geräteverschlüsselung nutzt und auf jedem Dienst dasselbe Passwort verwendet, ist für viele Versicherer gar nicht oder nur zu sehr hohen Prämien versicherbar. Die Versicherung setzt voraus, dass du Grundmaßnahmen ergreifst – sie federt die Restrisiken ab, die trotz dieser Maßnahmen bleiben.

Was für eine Cyberversicherung spricht:

Der wichtigste Vorteil ist oft nicht das Geld, sondern die Infrastruktur im Krisenfall. Gute Cyberversicherungen bieten eine 24/7-Hotline, über die du sofort IT-Forensiker, Rechtsanwälte und Krisenberater erreichst. Als Selbständige/r hast du im Ernstfall niemanden, der dir sagt, was als nächstes zu tun ist – eine Cyber-Police kauft dir dieses Netzwerk ein.

Was gegen eine Cyberversicherung sprechen könnte:

Eine Cyberversicherung ist kein Freifahrtschein. Wer grundlegende Sicherheitsmaßnahmen vernachlässigt, verliert den Versicherungsschutz – ganz oder teilweise. Und wer glaubt, die Versicherung erledige schon alles, wird im Schadensfall enttäuscht sein, wenn Obliegenheitsverletzungen oder Ausschlussklauseln greifen. Dazu unten mehr.

Grobe Kostenorientierung:

Für Selbständige mit einem Jahresumsatz unter 100.000 € und einer Deckungssumme von 100.000 € beginnen seriöse Tarife ab etwa 300–600 € jährlich, je nach Branche, Risikoeinschätzung und gewünschten Leistungsbausteinen.4 IT-nahe Berufe zahlen mehr als ein Textredakteur mit überschaubarem Kundendatenstamm. Berufsgeheimnisträger mit Gesundheitsdaten zahlen erfahrungsgemäß ebenfalls mehr.

Was eine Cyberversicherung leistet – und was nicht

Eigenschäden (eigene Kosten nach einem Angriff)

Das ist der Kernbereich. Gute Tarife decken:

IT-Forensik und Systemwiederherstellung: Die Kosten für die Analyse des Angriffs, die Bereinigung oder Neuinstallation des Systems und die Wiederherstellung von Daten. Das ist oft der größte Posten – mehrere tausend Euro für Spezialisten sind keine Seltenheit.

Betriebsunterbrechung: Wenn du durch den Angriff nicht arbeiten kannst, zahlt die Versicherung ein Tagegeld oder ersetzt den entgangenen Umsatz für die Dauer des Ausfalls – bis zu einem vertraglich festgelegten Maximum. Für Selbständige ist dieser Baustein besonders wichtig, weil kein Betrieb = kein Einkommen.

Krisenmanagement und PR: Kosten für Krisenberater, die dir helfen, den Vorfall zu managen und die Kommunikation zu gestalten – intern wie extern.

Rechtsberatung und DSGVO-Kosten: Anwaltskosten für die Erfüllung der Informationspflichten nach Art. 33 und 34 DSGVO, Kosten für die Kommunikation mit der Datenschutzbehörde, und – in manchen Tarifen – DSGVO-Bußgelder. Wichtig: Nicht alle Versicherer decken Bußgelder ab; in Deutschland ist die Versicherbarkeit von Bußgeldern rechtlich nicht abschließend geklärt. Lies hier den Tarif sehr genau.

Erpressung/Ransomware: Manche Tarife übernehmen Kosten im Zusammenhang mit Ransomware-Erpressungen – darunter Verhandlungsführung durch Spezialisten und in manchen Fällen das Lösegeld selbst. Aber: Behörden (BSI, BKA) raten von Lösegeldzahlungen ab, und viele Versicherer erstatten das Lösegeld nur, wenn eine Zahlung ausdrücklich mit ihnen abgestimmt wurde. Eigenmächtige Zahlungen können den Anspruch vernichten.

Drittschäden (Schäden bei anderen durch deinen Vorfall)

Wenn durch einen Angriff auf dein System Kunden oder Geschäftspartner geschädigt werden – etwa weil du versehentlich Schadsoftware weitergeleitet hast oder weil gestohlene Daten zu Schäden bei Dritten geführt haben –, übernimmt die Versicherung begründete Schadensersatzforderungen und wehrt unbegründete ab (Abwehrschutz).

Dieser Baustein ist besonders relevant für alle, die Kundendaten verarbeiten oder eng in die IT-Infrastruktur von Kunden eingebunden sind – Webdesigner, IT-Berater, Buchhalter mit Zugang zu Kundensystemen.

Was typischerweise nicht versichert ist

  • Vorsätzliche Handlungen: Selbst verursachte Schäden durch bewusstes Fehlverhalten.
  • Bekannte Sicherheitslücken: Wenn der Angriff über eine Schwachstelle lief, die du kanntest oder hättest kennen müssen und nicht behoben hast.
  • Hardwareschäden: Eine Cyberversicherung deckt keine physischen Geräteschäden durch Feuer, Wasser oder Sturz – das ist Aufgabe der Geschäftsinhaltsversicherung.
  • Rein finanzieller Betrug: CEO-Fraud oder Phishing, bei dem du selbst Geld überwiesen hast, weil du eine gefälschte E-Mail für echt gehalten hast – dieser Bereich ist in vielen Tarifen ausgeschlossen oder nur als Zusatzbaustein versicherbar.
  • Krieg und staatliche Angriffe: Nach den jüngsten Diskussionen in der Branche haben viele Versicherer Kriegsausschlüsse für Cyberangriffe verschärft. Achte auf die Formulierung in den Bedingungen.

Die Fußangeln – was im Schadensfall schiefgehen kann

Das ist der wichtigste Abschnitt dieses Kapitels. Viele Versicherte erleben die böse Überraschung erst, wenn sie den Versicherungsschutz in Anspruch nehmen wollen.

Obliegenheitsverletzungen: Der häufigste Ablehnungsgrund

Eine Obliegenheit ist eine Pflicht, die du als Versicherungsnehmer einhalten musst – nicht als gesetzliche Pflicht, aber als vertragliche Voraussetzung für den Versicherungsschutz. Die häufigsten Obliegenheiten in Cyberpolicen:

Mindest-Sicherheitsmaßnahmen: Fast alle Cyberversicherungen verlangen als Voraussetzung, dass du grundlegende Sicherheitsmaßnahmen einhältst – aktueller Virenschutz, aktuelle Updates, regelmäßige Backups, starke Passwörter und 2FA für kritische Zugänge, separate Backups die nicht dauerhaft mit dem Hauptsystem verbunden sind.

Der Teufel steckt im Detail: Wenn du beim Antragsformular angibst, dass du all das machst, und beim Schadensfall stellt sich heraus, dass dein Betriebssystem seit einem Jahr nicht aktualisiert wurde, kann der Versicherer die Leistung kürzen oder verweigern. Das ist einer der häufigsten Ablehnungsgründe.

Sofortige Schadenmeldung: Die meisten Policen verlangen eine Meldung binnen 24 bis 72 Stunden nach Entdeckung. Merk dir: Versicherung melden ist Priorität 1B, direkt nach dem Netzwerkkabel ziehen.

Kein eigenmächtiges Handeln: Viele Versicherer verlangen, dass du vor größeren Schritten – insbesondere der Einleitung von Wiederherstellungsmaßnahmen oder einer Lösegeldzahlung – ihre Zustimmung einholst. Wer eigenständig teure Forensiker beauftragt, ohne die Versicherung einzubinden, kann auf den Kosten sitzen bleiben.

Vorvertragliche Anzeigepflicht

Beim Abschluss musst du alle gefahrrelevanten Umstände wahrheitsgemäß angeben – frühere Vorfälle, eingesetzte Sicherheitsmaßnahmen, Branche und Datenarten. Wer hier unvollständige oder falsche Angaben macht – auch unabsichtlich –, riskiert, dass die Versicherung im Schadensfall vom Vertrag zurücktritt.

Die Deckungssumme ist oft zu niedrig angesetzt

Viele Selbständige wählen aus Kostengründen eine Deckungssumme von 50.000 oder 100.000 Euro. Das klingt viel – aber ein ernsthafter Vorfall mit DSGVO-Bußgeldern, IT-Forensik, Anwaltskosten, Betriebsunterbrechung und Drittschadensersatz kann diese Summe überschreiten. Mindestens 250.000 Euro sind für die meisten Selbständigen sinnvoller als Orientierung.

Kriegsausschlüsse und Ransomware

Nach dem NotPetya-Angriff 2017 haben viele Versicherer ihre Bedingungen verschärft. Achte auf Formulierungen wie „staatlich gelenkte Cyberangriffe" oder „Cyberwar" – in der Praxis ist die Abgrenzung oft unklar, aber du solltest wissen, ob dieser Ausschluss in deiner Police steht.

Welche Leistungen für Selbständige wirklich wichtig sind

Nicht jeder Baustein ist gleich wichtig. Eine Priorisierung speziell für Selbständige:

Unverzichtbar: IT-Forensik und Systemwiederherstellung; 24/7-Notfallhotline mit Vermittlung von IT-Spezialisten; Betriebsunterbrechung; Rechtsberatung und DSGVO-Kosten.

Sehr sinnvoll: Drittschadenshaftpflicht (wenn du Kundendaten verarbeitest oder Zugang zu Kundensystemen hast); Ransomware/Erpressung inklusive Krisenverhandlungsführung.

Je nach Situation: CEO-Fraud/Social Engineering (wenn du regelmäßig mit Banküberweisungen arbeitest); Reputationsmanagement (wenn deine Marke ein wesentlicher Geschäftswert ist).

Wie komme ich zu einer guten Cyberversicherung?

Online-Vergleichsportale und Direktabschluss: Anbieter wie finanzchef24.de, hiscox.de oder exali.de (letzterer speziell für Freelancer und IT-Berufe) bieten Online-Rechner und Direktabschlüsse. Das ist schnell und günstig – aber du triffst die Entscheidung ohne Beratung. Für Standardsituationen kann das funktionieren; für ungewöhnliche Berufsbilder oder höhere Risiken ist es riskant.

Unabhängiger Versicherungsmakler: Ein Makler, der auf Gewerbepolicen spezialisiert ist, kann den Markt für dich sondieren, Bedingungen vergleichen und dich im Schadensfall unterstützen. Empfehlenswert für alle, die mehr als 50.000 Euro Jahresumsatz haben oder besondere Risiken mitbringen (Gesundheitsdaten, IT-Dienstleistungen, enge Kundeneinbindung).

Vor dem Abschluss – was du prüfen solltest: Leistungsauslöser (greift die Versicherung nur bei externen Angriffen oder auch bei menschlichem Versagen?); Obliegenheiten (welche Sicherheitsmaßnahmen sind Pflicht, kannst du sie nachweisen?); Schadensmeldungsfrist; Selbstbeteiligung; Deckungssumme pro Schadenfall und pro Jahr; Rückwärtsdeckung (Retroaktivität); Kriegsausschluss-Formulierung; Absicherung für Home-Office und Subunternehmer.

Den Fragebogen ernst nehmen: Das ist keine Formalität – es ist die Grundlage des Vertrags. Wenn du unsicher bist, ob du eine Frage mit „Ja" beantworten kannst: Hol dir zuerst die Maßnahme nach, dann schließ die Versicherung ab.

Die wichtigsten Verhaltenspflichten nach Abschluss

Eine Cyberversicherung ist kein einmaliger Kauf, der dann im Schrank liegt. Du hast laufende Pflichten: Sicherheitsmaßnahmen aufrechterhalten; wesentliche Änderungen des Risikos melden (neues Geschäftsfeld, gestiegener Umsatz, neue Datenarten); im Schadensfall sofort melden – nicht nach einer Woche; keine unnötigen Kosten verursachen, ohne die Versicherung einzubinden.

Checkliste: Cyberversicherung

Vor dem Abschluss

  • Ich habe die grundlegenden Sicherheitsmaßnahmen umgesetzt, die als Obliegenheit verlangt werden (Antivirus, Updates, Backup, 2FA).
  • Ich habe den Fragebogen vollständig und wahrheitsgemäß ausgefüllt.
  • Ich habe die Obliegenheiten im Vertrag gelesen und verstanden.
  • Ich habe die Deckungssumme realistisch gewählt (mindestens 250.000 € als Orientierung).
  • Ich habe die Selbstbeteiligung und ihre Auswirkungen verstanden.
  • Ich weiß, was der Kriegsausschluss in meiner Police besagt.
  • Ich weiß, ob CEO-Fraud/Social Engineering mitversichert ist.
  • Ich habe die Notfall-Hotline-Nummer der Versicherung im Notfalldokument eingetragen.

Im laufenden Betrieb

  • Ich halte die vertraglich zugesicherten Sicherheitsmaßnahmen aufrecht.
  • Ich melde wesentliche Änderungen meines Risikoprofils an den Versicherer.
  • Ich überprüfe meinen Versicherungsschutz jährlich – deckt er noch meinen aktuellen Betrieb ab?

Im Schadensfall

  • Versicherung sofort nach Entdeckung informiert (Frist beachten).
  • Keine eigenmächtigen Kosten oder Entscheidungen ohne Rücksprache mit Versicherung.
  • Alle Maßnahmen und Kommunikation dokumentiert.

  1. GDV, Musterszenarien Cyberversicherung, Stand 2023. Abrufbar unter: gdv.de/gdv/themen/digitalisierung/aerzte-und-apotheker-verdraengen-ihre-cyberrisiken 

  2. ExtraHop, Global Ransomware Trends 2024 Report. extrahop.com/resources/reports/global-ransomware-trends-2024 

  3. BSI, Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen (SiRiPrax 2024), März 2024. bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/SiRiPrax/SiRiPrax_2024.pdf 

  4. Diese Preisspanne basiert auf öffentlich verfügbaren Vergleichsrechnern und Anbieterinformationen (Stand: Frühjahr 2026). Prämien variieren erheblich je nach Branche, Deckungsumfang und individueller Risikolage. Für verbindliche Angaben: finanzchef24.de oder exali.de nutzen bzw. einen spezialisierten Versicherungsmakler befragen.