Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

Cyber-Versicherung 2026: Warum Versicherer immer öfter ablehnen – und wie man sich darauf vorbereitet

SecTepe Redaktion
|
|
6 Min. Lesezeit

Die Zeit der „Cyber-Police für 4.000 € im Jahr, deckt 5 Mio." ist vorbei. Versicherer haben in 2023–2025 dramatische Schadensquoten gesehen – Ransomware-Großschäden im siebenstelligen Bereich, BEC-Vorfälle mit Direktverlusten, Betriebsunterbrechungen über Wochen. Die Folge: 2026 sind Cyber-Policen entweder deutlich teurer, deutlich enger – oder gar nicht erhältlich.

Die neuen Mindest-Voraussetzungen der Versicherer

Ein durchschnittlicher Risiko-Fragebogen 2026 fragt nicht mehr „haben Sie ein Backup?" sondern technisch sehr konkret:

  • authentifizierung-mfa" class="sec-autolink" title="Multi-Faktor-Authentifizierung (MFA)">Multi-Faktor-Authentifizierung: für alle privilegierten Konten, externen Zugänge, E-Mail-Webzugriffe. „Auf 80 % ausgerollt" reicht nicht – der Auditor will 100 % sehen.
  • Endpoint-Detection-and-Response (EDR/XDR): nicht „klassisches AV", sondern verhaltensbasierte Erkennung mit zentralem Telemetrie-Backend.
  • Backup-Strategie 3-2-1-1-0: drei Kopien, zwei Medien, eine Off-Site, eine immutable, null Fehler beim letzten Restore-Test. Restore-Test ist nachweispflichtig.
  • SIEM mit Log-Retention ≥ 12 Monate: für Forensik nach einem Vorfall. Self-hosted Wazuh oder ähnlich akzeptiert, wenn Logs unveränderbar.
  • Patch-Management mit SLA: kritische CVEs binnen 72 h gepatcht oder dokumentiert kompensiert.
  • Phishing-Awareness mit Wirksamkeitsmessung: jährliche Schulung, Simulationen mit Click-Rate-Trend.
  • Incident Response Plan">Incident-Response-Plan, getestet: jährliche Tabletop-Übung mit GF-Beteiligung.
  • Lieferanten-Risiko-Bewertung (TPRM): zumindest für die Top-10-kritischen Provider.

Wer diese Punkte nicht alle erfüllt, bekommt entweder Zuschlag oder Ablehnung. „Ablehnung" heißt: keine Police mehr von diesem Versicherer – und der nächste sieht den Fragebogen dann skeptisch.

Der gefährlichste Teil: die Obliegenheits-Klauseln

Selbst eine bestehende Police schützt nicht, wenn nach einem Schaden nachgewiesen wird, dass die zugesicherten Mindeststandards nicht eingehalten wurden. Standard-Formulierung 2026:

„Der Versicherungsschutz entfällt, soweit die im Risiko-Fragebogen zugesicherten technischen und organisatorischen Maßnahmen zum Zeitpunkt des Versicherungsfalls nicht in zugesicherter Weise umgesetzt waren."

Praktische Übersetzung: Hat man im Fragebogen 100 % MFA bestätigt, in Wahrheit aber 70 %, und der Schaden geht über ein Konto ohne MFA – Police zahlt nicht. Das ist kein theoretisches Konstrukt, das ist gelebte Praxis 2025.

Wie eine integrierte Plattform die Police rettet

Eine Plattform wie SecTepe.Comm + SecTepe.Core bringt mehrere Versicherer-Anforderungen direkt mit – und liefert vor allem den Nachweis:

  • MFA-Coverage-Report: aus Keycloak, automatisch. „Wieviel Prozent unserer Konten haben FIDO2 oder TOTP aktiv?" als Live-Zahl.
  • SIEM-Logs: Wazuh als anerkannter SIEM, Append-only-Storage, 12+ Monate Retention konfiguriert.
  • Backup-Audit-Trail: WORM-Archiv für Mail-Forensik, Borg/Restic für Asset-Backups, Restore-Test-Protokolle automatisch.
  • Phishing-Simulation: GoPhish integriert, Click-Rate-Trends ohne externes Tool.
  • Awareness-Schulungen: Wiki-Modul mit Quiz und Anwesenheits-Quoten.
  • TPRM-Modul: Lieferanten-Inventar, Risiko-Score, Re-Assessment-Cadence.
  • Incident-Response-Runbooks: in Wiki versioniert, Tabletop-Protokolle im Audit-Log.

Die Versicherungs-Mathematik

Mittelständler mit 200 MA, alte Police: 8.000 € p. a., Selbstbehalt 25.000 €, Ausschluss „BEC" und „Insider-Threats". Neue Anfrage 2026 bei vier Versicherern: zwei lehnen ab, einer fordert 35.000 € p. a. mit 100.000 € Selbstbehalt, einer macht 18.000 € p. a. – aber unter Auflage „SIEM, MFA, EDR, Awareness wie im Fragebogen, jährliche Bestätigung".

Der eingesparte Versicherungs-Aufschlag (~17.000 € p. a.) finanziert das ISMS-Tooling über die Laufzeit. Plus die Sicherheit, dass die Police im Schadenfall tatsächlich zahlt.

Was die GF jetzt fragen sollte

  • Wann wurde unser Cyber-Risiko-Fragebogen zuletzt aktualisiert? Wer hat ihn unterschrieben?
  • Welche zugesicherten Maßnahmen haben wir – und sind die nachweisbar wirksam?
  • Wie hoch ist unser MFA-Coverage tatsächlich? (nicht „wir wollen" – sondern Live-Zahl)
  • Wie lange werden unsere Logs aktuell aufbewahrt? Sind sie unveränderbar?
  • Wann war der letzte erfolgreiche Restore-Test?

Fazit

Cyber-Versicherung 2026 ist kein Add-on mehr, das man nebenbei abschließt. Sie ist ein Verfahren, das die eigene Sicherheits-Reife objektiv prüft. Eine integrierte Sicherheits- und GRC-Plattform liefert genau die Nachweise, die der Versicherer fordert – und damit die Police, die der GF im Schadensfall braucht.

Alle Artikel ansehen Mehr aus dieser Kategorie