+49 (0) 6103 / 20 55 300
info@bristol.de
Produkt wurde deinem Warenkorb hinzugefügt.

Cyberversicherung – klingt beruhigend. Ist es aber nicht immer.

Unser Sicherheits-Experte Knox wollte es genau wissen und hat sich auf den Weg gemacht. Nicht in ein Rechenzentrum, sondern dorthin, wo heute über Schadenssummen, Sublimite und Risikofragebögen entschieden wird. In die Welt der Cyberversicherungen. Knox ist zu Besuch bei einem mittelständischen Versicherer, der zwar immer mehr Policen an industrielle Betriebe verkauft, gleichzeitig aber auch zunehmend Schadensfälle ablehnen muss.

Denn viele Unternehmen glauben, mit dem Abschluss einer Cyberversicherung sei der Ernstfall abgedeckt. Doch Knox hat gelernt: Nur wer sein OT- und IT-Risiko sauber dokumentiert, regelmäßig bewertet und alle Anforderungen erfüllt, hat im Ernstfall Anspruch auf Ersatz.
„Es reicht nicht, eine Police zu besitzen“, erklärt ihm die Underwriting-Spezialistin beim Kaffee. „Die häufigste Ursache für Leistungsfreiheit sind falsch beantwortete Risikofragen oder nicht eingehaltene Sicherheitsmaßnahmen.“

Was deckt eine Cyberversicherung wirklich ab?

Die gute Nachricht zuerst: Eine moderne Cyberversicherung kann Unternehmen im Ernstfall vor enormen finanziellen Schäden bewahren. Doch: Nicht alles, was nach „Cyber“ klingt, ist automatisch versichert und viele Policen unterscheiden nicht klar zwischen IT- und OT-Umgebungen. Ein Gesprächspartner von Knox im Versicherungsunternehmen bringt es auf den Punkt:

„Cyberversicherung ist keine Allgefahrendeckung – sie greift nur, wenn klar definierte Bedingungen erfüllt sind.“

Was viele nicht wissen

Viele Policen fokussieren sich stark auf klassische IT-Infrastrukturen. Produktionsbezogene Systeme (OT), SCADA, SPS oder Maschinensteuerungen sind häufig nicht explizit abgedeckt – oder nur unter engen Voraussetzungen. Das betrifft nicht nur die Technik, sondern auch die Ursache: Ein durch Fernwartung kompromittiertes Steuerungssystem kann in der Regulierung schnell zur Streitfrage werden.

OT-Systeme sind ein Sonderfall – Warum?

Während IT-Systeme meist klar definiert und relativ gut standardisiert sind, gilt das für die Welt der OT (Operational Technology) nur sehr eingeschränkt. Und genau hier beginnt das Problem – vor allem im Kontext von Cyberversicherungen.
„Wir merken schnell, wenn ein Antragsteller OT-Systeme im Einsatz hat“, erzählt ein Underwriter Knox. „Dann müssen wir gezielt nachfragen – denn diese Umgebungen sind technisch, organisatorisch und versicherungstechnisch eine ganz eigene Welt.“

Was macht OT so besonders?

  • Langjährige Lebensdauer: Viele OT-Komponenten laufen seit über zehn Jahren – oft auf veralteten Betriebssystemen, ohne Updates oder Patches. Das erhöht die Angriffsfläche massiv.
  • Hoher Verfügbarkeitsdruck: In der Produktion zählt jede Minute. Ein System, das täglich rund um die Uhr läuft, kann nicht einfach für Wartung oder Sicherheitsupdates heruntergefahren werden.
  • Protokolle und Schnittstellen: OT-Komponenten kommunizieren mit spezialisierten, teils proprietären Protokollen wie Modbus, Profinet oder OPC UA – diese werden von vielen klassischen IT-Sicherheitslösungen gar nicht erkannt.
  • Geringe Transparenz und Segmentierung: In vielen Fällen fehlt ein vollständiger Überblick über angeschlossene Steuerungssysteme – von Netzwerksegmentierung ganz zu schweigen

Was bedeutet das für die Versicherung?

Viele Cyberversicherungen setzen Sicherheitsmaßnahmen voraus, die in OT-Umgebungen nicht ohne Weiteres umsetzbar sind. Dazu zählen z. B. regelmäßige Patches, Endpoint Detection oder Zero-Trust-Zugänge. Wer hier keine Alternativen nachweisen kann, riskiert im Ernstfall den Versicherungsschutz.

Jetzt Platz sichern: OT-Security Leadership Summit 2025

Treffen Sie führende Köpfe aus IT, OT und Industrie auf dem OT-Security Leadership Summit 2025 und diskutieren Sie mit über die neuesten Strategien, gesetzliche Anforderungen (NIS-2) und bewährte Sicherheitsarchitekturen. Profitieren Sie von Praxispanels, Networking und exklusiven Einblicken aus der Versicherungswelt.

➤ Zum Event & Anmeldung

Die Sache mit den Risikofragen – und was viele falsch machen

Kleine Fehler, große Folgen

Der Abschluss einer Cyberversicherung beginnt selten mit einem Mausklick – sondern mit einem umfangreichen Risikofragebogen. Für viele Unternehmen ist das eine lästige Formalität. Für Versicherer ist es die Grundlage der gesamten Deckung.

Knox erfährt bei seinem Besuch: „80 % der Streitfälle im Schadenfall lassen sich auf unzureichend oder falsch beantwortete Risikofragen zurückführen. Das Risiko ist bekannt aber schlecht dokumentiert.“

Typische Fragen in Cyberverischerungs-Anträgen:

  • Gibt es ein aktuelles Asset-Inventar für IT und OT?
  • Werden regelmäßige Schwachstellenscans durchgeführt?
  • Gibt es ein Netzwerksegmentierungskonzept?
  • Sind Multi-Faktor-Authentifizierung und Zugriffsrichtlinien etabliert?
  • Liegt ein Notfall- und Wiederanlaufplan für Produktionssysteme vor?

Das Problem: Viele dieser Fragen werden mit „Ja“ beantwortet – auch wenn es in der Praxis bestenfalls einen Excel-Plan, aber keine dokumentierte Umsetzung gibt. Diese Sorglosigkeit kann im Ernstfall teuer werden, denn: Wer unzutreffende Angaben macht oder relevante Risiken verschweigt, verliert schlimmstenfalls den Versicherungsschutz (§ 19 VVG – vorvertragliche Anzeigepflicht).

Was hilft?

  • Rücksprache mit der IT und OT-Abteilung, bevor ein Antrag eingereicht wird.
  • Dokumentation prüfen und ggf. nachbessern.
  • Antworten ggf. mit Einschränkungen oder Erläuterungen versehen (z. B. „für IT umgesetzt, OT in Umsetzung bis Q4/2025“).
Hinweis: Risikobewertung mit System und VaaS

Moderne Ansätze zur Risikobewertung setzen auf systematische Bestandsaufnahmen. Services wie Visibility-as-a-Service (VaaS) dokumentieren den tatsächlichen IT-Sicherheitsstatus durch spezialisierte Scans, Penetrationstests und Health-Checks. Diese evidenzbasierte Dokumentation schützt vor späteren Anfechtungen und liefert belastbare Grundlagen für korrekte Risikoantworten.

Was viele vergessen:

Diese Sorglosigkeit kann im Ernstfall teuer werden, denn: Wer unzutreffende Angaben macht oder relevante Risiken verschweigt, verliert schlimmstenfalls den Versicherungsschutz (§ 19 VVG – vorvertragliche Anzeigepflicht).

Fallbeispiel: Landgericht Kiel (Az. 5 O 128/21) – ein Unternehmen erlitt 420.000 Euro Schaden durch Ransomware, erhielt jedoch keine Erstattung: Die Risikofragen waren bei Vertragsabschluss falsch beantwortet worden. Der Versicherer konnte den Vertrag wegen arglistiger Täuschung anfechten.

Sicherheitsvorgaben der Versicherer – Was zählt wirklich?

Technik, Prozesse, Dokumentation – und der Wille zur Umsetzung

Cyberversicherer übernehmen heute nicht mehr einfach nur Risiken – sie fordern auch klare Sicherheitsstandards. Was früher mit einer Unterschrift erledigt war, ist heute ein dynamisches Risikomanagement: Wer versichert sein will, muss nachweisen, dass angemessene technische und organisatorische Schutzmaßnahmen etabliert sind.

Knox erfährt im Gespräch mit dem Risikoprüfer:
„Wir brauchen keine perfekten Systeme aber wir erwarten, dass ein Unternehmen weiß, wo es steht, wo es hinwill und was konkret getan wird.“

Genau hier setzen moderne Informationssicherheits-Managementsysteme (ISMS) an. Ein ISMS schafft die notwendige Struktur, um Sicherheitsmaßnahmen systematisch zu planen, umzusetzen und kontinuierlich zu verbessern.

Auch gesetzlich wird diese systematische Herangehensweise immer stärker gefordert: Mit der neuen NIS-2-Richtlinie der EU werden viele mittelständische Unternehmen verpflichtet, nachweisbare Sicherheitsmaßnahmen umzusetzen – inklusive Risikobewertungen, Reaktionsplänen und technischen Schutzmaßnahmen für kritische Systeme.

Diese Sicherheitsmaßnahmen gelten mittlerweile als Mindeststandard:

  • Multi-Faktor-Authentifizierung (MFA):
    Besonders bei VPN-Zugängen, Admin-Accounts oder Fernwartungslösungen.
  • Netzwerksegmentierung:
    Trennung von IT und OT, idealerweise mit DMZ-Zonen und Firewalls. Inklusive Zugriffskontrollen für Wartung und Externe.
  • Patch- und Schwachstellenmanagement:
    Auch bei OT-Systemen sollte es ein nachvollziehbares Konzept geben – auch wenn klassische Updates nicht immer möglich sind.
  • Backups & Recovery-Strategien:
    Regelmäßige, getrennte und getestete Backups – idealerweise offline und mit Wiederanlaufplänen für die Produktion.
  • Security-Awareness & Schulungen:
    Mitarbeiter müssen wissen, wie sie Phishing erkennen, mit USB-Sticks umgehen und welche Meldewege im Ernstfall gelten.
  • Notfallmanagement:
    Ein dokumentierter und geübter Incident-Response-Plan – abgestimmt auf IT und OT.

Fallstricke im Schadensfall – Wann zahlt die Versicherung nicht?

Wenn der Schutz im Kleingedruckten endet

Viele Unternehmen wiegen sich in Sicherheit, sobald die Cyberversicherung unterzeichnet ist. Doch die böse Überraschung folgt oft erst im Ernstfall: Der Angriff war erfolgreich – doch die Versicherung zahlt nicht. Warum?

Knox erfährt in seinem Gespräch mit dem Schadenregulierer:
„Die häufigsten Ablehnungsgründe sind Verletzungen von Obliegenheiten, falsch beantwortete Risikofragen und unzureichende Dokumentation.“

Typische Fallstricke, die zur Leistungsfreiheit führen:

  • Veraltete Technik ohne Schutzmaßnahmen:
    Ein nicht gepatchter Industrie-PC mit Internetzugang – und kein dokumentiertes Schwachstellenmanagement. Für die Versicherung: grob fahrlässig.
  • Falschangaben im Antrag:
    Wurde im Fragebogen behauptet, es gäbe Segmentierung zwischen IT und OT – de facto ist alles flach vernetzt? Das kann als arglistige Täuschung gewertet werden.
  • Nicht eingehaltene Obliegenheiten:
    Etwa fehlende MFA für Administratoren, keine Mitarbeiterschulung oder keine aktuelle Notfallplanung. Diese Punkte sind oft vertraglich geregelt.
  • Versicherungslücke im OT-Bereich:
    Der Angriff trifft eine SCADA-Steuerung – diese ist aber nicht explizit versichert oder nur unter bestimmten technischen Voraussetzungen (z. B. mit aktiver IDS-Überwachung).
  • Fehlende Beweise und Nachweise:
    Die forensische Analyse ist mangelhaft, Logs fehlen oder Backups wurden nie getestet – im Zweifelsfall fehlt der Beleg, dass alle Pflichten erfüllt wurden.

Realitätscheck: Gescheiterte und erfolgreiche Fälle

Positivbeispiel – Mittelstandsunternehmen:
Ein systematisch vorbereitetes Unternehmen erlitt einen Ransomware-Angriff mit 2,3 Millionen Euro Gesamtschaden. Durch sofortige Schadensmeldung binnen 4 Stunden, forensisch korrekte Dokumentation und VaaS-Nachweise zur Sicherheitslage wurde die vollständige Erstattung durch den Versicherer gewährt.

Negativbeispiele – Urteile mit Signalwirkung:

LG Kiel (Az. 5 O 128/21): 420.000 € nicht ersetzt – falsche Risikobewertung.

LG Hagen (Az. 9 O 258/23): 85.000 € Schaden durch CEO-Fraud, jedoch auf Fremdsystem – keine Deckung.

LG Tübingen (Az. 4 O 193/21): >4 Mio. € Schaden – trotz Leistungsverweigerung urteilte das Gericht zugunsten des Versicherungsnehmers, da der Versicherer den Risikocharakter hätte kennen müssen.