Die typischen Deckungsbausteine einer Cyberpolice
Cyberversicherungen sind keine standardisierten Produkte. Die Marktstandards haben sich aber in den vergangenen Jahren stark angeglichen, sodass eine moderne Police für den Mittelstand regelmäßig folgende Bausteine enthält: erstens die Eigenschadenversicherung mit Wiederherstellungs- und Forensikkosten, Datenrettung, Krisenkommunikation, Erpressungsschaden mit Lösegelddeckung sowie Ertragsausfall durch Betriebsunterbrechung; zweitens die Drittschadenversicherung, die Haftpflichtansprüche Dritter — etwa nach einer Datenpanne — abdeckt; drittens die Service- und Assistanceleistungen, also der Zugriff auf Forensik, Verhandler, Krisen-PR und juristische Beratung über ein 24/7-Notfallpanel des Versicherers.
Jeder dieser Bausteine ist mit einem Sublimit versehen, also einer Obergrenze innerhalb der Gesamtsumme. Wer eine Police abschließt, sollte die Sublimits an die eigene Risikolage anpassen — eine Lösegelddeckung von 100.000 Euro nutzt einem Mittelstandsunternehmen wenig, wenn die typische Lösegeldforderung in der eigenen Branche bei sieben- oder achtstelligen Beträgen liegt.
Lösegeld: gedeckt, aber nicht beliebig
Die Frage nach der Lösegelddeckung ist in der öffentlichen Diskussion politisch aufgeladen, in der Vertragspraxis dagegen klar geregelt. Viele Policen sehen eine Erpressungsschadendeckung vor, knüpfen sie aber an Bedingungen: vorherige Zustimmung des Versicherers, Prüfung der Sanktionslisten, Einbindung eines vorgegebenen Verhandlers und Verwendung eines zugelassenen Zahlungsdienstleisters. Wer ohne Abstimmung zahlt, läuft Gefahr, die Deckung zu verlieren — und sich zugleich strafrechtlich angreifbar zu machen, wie im Beitrag Lösegeld bei Ransomware zahlen vertieft.
Ertragsausfall: der unterschätzte Posten
In der Schadenpraxis ist der Ertragsausfall häufig der größte Einzelposten. Eine Cyberpolice deckt ihn üblicherweise nach einer Karenzzeit von acht bis 24 Stunden und für eine Höchstdauer, die zwischen 30 und 365 Tagen liegt. Wer eine Police abschließt, sollte prüfen, ob die Karenzzeit zur eigenen Wiederherstellungsfähigkeit passt — eine Karenz von 24 Stunden ist für einen Online-Händler eine andere Belastung als für einen B2B-Dienstleister. Auch die Berechnungsmethode des Ertragsausfalls — Deckungsbeitrag, Gewinn oder Umsatzrückgang — ist regelmäßig streitig und sollte vertraglich klargestellt sein.
Obliegenheiten: die Achillesferse der Deckung
Die wichtigsten Streitpunkte im Schadenfall drehen sich nicht um den Deckungsumfang, sondern um die Einhaltung der Obliegenheiten. Typische Pflichten sind: Meldung des Vorfalls binnen 24 bis 72 Stunden, Erstattung der Strafanzeige (siehe Strafanzeige nach Ransomware), Auswahl von Dienstleistern aus einer Liste des Versicherers, Mitwirkung an der Schadenermittlung und Einhaltung der vorgegebenen Sicherheits-Mindeststandards. Wer eigenmächtig forensische Dienstleister beauftragt oder Daten wiederherstellt, bevor der Versicherer das Vorgehen freigegeben hat, riskiert eine Quotenkürzung oder den vollständigen Leistungsverlust.
Aus anwaltlicher Sicht ist deshalb empfehlenswert, die Obliegenheiten der eigenen Police im Notfallplan zu spiegeln. Wer im Krisenstab erst nach Stunden bemerkt, dass der eigene Versicherer einen bestimmten Forensiker vorschreibt, verliert wertvolle Zeit und gegebenenfalls die Deckung.
Streitpunkt DSGVO-Bußgelder
Ob DSGVO-Bußgelder versicherbar sind, ist in Deutschland nicht abschließend geklärt. Die ganz herrschende Meinung sieht in einer Versicherung von Bußgeldern einen Verstoß gegen den Strafzweck der Sanktion und damit gegen die guten Sitten. Manche Policen schließen die Übernahme deshalb ausdrücklich aus, andere bieten eine subsidiäre Übernahme an, soweit gesetzlich zulässig. Im Schadenfall ist die genaue Vertragsformulierung — und die anwendbare Rechtsordnung — entscheidend.
Vorbereitung statt Improvisation
Die wichtigste Schlussfolgerung aus der Schadenpraxis ist nicht juristisch, sondern organisatorisch: Eine Cyberpolice entfaltet ihren Wert nur, wenn sie vor dem Vorfall in den Notfallplan eingebaut ist. Das bedeutet, dass die wichtigsten Obliegenheiten, die 24/7-Notfallnummer des Versicherers und die vorgegebene Dienstleisterliste in der Krisenstabsdokumentation hinterlegt sind. Andernfalls versucht die Geschäftsleitung im Schock, parallel den Vorfall zu bewältigen und das Kleingedruckte der Police zu lesen — selten mit gutem Ergebnis.
Häufige Fragen
- Deckt die Cyberversicherung das Lösegeld?
- Viele Policen sehen eine Lösegelddeckung vor, aber nur mit Zustimmung des Versicherers, nach Prüfung der Sanktionslisten und meist mit eigenen Sublimits. Eigenmächtige Zahlungen sind regelmäßig nicht gedeckt.
- Was sind typische Obliegenheiten?
- Meldung des Vorfalls binnen 24 bis 72 Stunden, Strafanzeige, Auswahl von Forensik- und IT-Dienstleistern aus einer Anbieterliste des Versicherers, Mitwirkung an der Schadenermittlung.
- Sind DSGVO-Bußgelder mitversichert?
- Die Versicherbarkeit von DSGVO-Bußgeldern ist in Deutschland umstritten. Manche Versicherer schließen sie ausdrücklich aus, andere bieten sie subsidiär an. Im Schadenfall ist die genaue Vertragslage entscheidend.
- Was passiert bei verspäteter Meldung?
- Verspätung kann zur Leistungsfreiheit führen, je nach Vertragstyp ganz oder teilweise. Wer einen Vorfall hat, sollte den Versicherer parallel zum Krisenstab informieren.
- Hilft die Versicherung bei der Verhandlung mit Erpressern?
- Größere Cyberversicherer stellen Verhandlungsführer und Krypto-Zahlungsdienstleister bereit. Diese Leistungen sind oft an die Einhaltung des Krisenprozesses des Versicherers gebunden.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
