Cyberversicherung: Warum Policen kein Freifahrtschein sind

Ein Unternehmen verliert 85.000,00 Euro durch einen einfachen E-Mail-Betrug.

Die Verantwortlichen atmen auf: „Wir haben ja eine Cyberversicherung.“ Doch dann der Schock: Die Versicherung zahlt nicht.Ein aktuelles Urteil des Landgerichts Hagen (LG Hagen, 9 O 258/23 vom 15.10.2024) zeigt, warum Cyberversicherungen kein Ersatz für funktionierende Sicherheitsmaßnahmen sind – und warum viele Unternehmen ein falsches Sicherheitsgefühl haben.

Was ist passiert?

Im Jahr 2024 wurde ein mittelständisches Unternehmen Opfer eines klassischen Betrugs: Kriminelle manipulierten E-Mails und brachten das Unternehmen dazu, Geld auf ein falsches Konto zu überweisen. Der Schaden lag bei rund 85.000,00 Euro.

Das Unternehmen wandte sich an seine Cyberversicherung. Doch die lehnte die Zahlung ab. Begründung: Solche Betrugsfälle seien nicht von der Police abgedeckt. Das Gericht gab der Versicherung Recht. Das Geld war verloren.

Juristische Einordung: Grenzen der Cyberversicherung

Grundsätzlich kann eine Cyberversicherung viele Risiken abdecken: Datenpannen, Systemausfälle, forensische Untersuchungen, manchmal auch Lösegeldforderungen bei Ransomware.

Aber:

  • Nicht jeder Angriff ist versichert. Betrugsfälle wie „CEO-Fraud“ oder „Invoice Fraud“ fallen oft unter Ausschlüsse.
  • Versicherungen prüfen sehr genau, ob Unternehmen die vereinbarten technischen und organisatorischen Mindeststandards eingehalten haben. Wer hier nachlässig ist, riskiert den Versicherungsschutz.
  • Eigenverantwortung bleibt. Artikel 82 DSGVO sieht klare Haftungspflichten vor. Eine Versicherung kann nicht verhindern, dass Betroffene Schadensersatz verlangen.

Warum betrifft das KMU direkt?

Gerade kleine und mittlere Unternehmen verlassen sich oft auf die Versicherung: „Wir sind ja abgesichert.“ Das Problem:

  • Verträge sind kompliziert und enthalten viele Ausschlüsse.
  • Ohne solide IT-Sicherheit zahlt die Versicherung im Zweifel nicht.
  • Ein Cybervorfall verursacht neben dem finanziellen Schaden auch Reputationsverlust, Vertrauensbruch und juristische Risiken.

Das Ergebnis: Unternehmen haben am Ende nicht nur den Schaden, sondern auch ein massives Problem mit Kunden und Partnern.

Handlungsmöglichkeiten für Unternehmen

Vertrag genau prüfen

  • Welche Risiken sind abgedeckt?
  • Sind Betrugsfälle (z. B. falsche Überweisungen) eingeschlossen?
  • Gibt es Ausschlüsse, die für das eigene Geschäftsmodell besonders relevant sind?

Sicherheitsstandards umsetzen

  • Versicherungen verlangen in der Regel bestimmte Mindestmaßnahmen (z. B. Firewalls, aktuelle Patches, Zugangskontrollen).
  • Wer diese nicht dokumentiert, riskiert, dass die Versicherung im Ernstfall nicht zahlt.

Organisatorische Prozesse stärken

  • Zahlungsfreigaben ab einem bestimmten Betrag nur nach dem Vier-Augen-Prinzip.
  • Bankverbindungen immer über einen zweiten Kanal bestätigen (z. B. Telefon).
  • Schulungen zu typischen Angriffsmustern wie CEO-Fraud oder gefälschten Rechnungen.

Versicherung als Ergänzung, nicht als Ersatz

  • Eine Police kann helfen, Kosten abzufedern.
  • Aber sie ersetzt keine Sicherheitsmaßnahmen und schützt nicht vor Reputationsverlust.

FAQ: Häufig gestellte Fragen zur Cyberversicherung

Zahlt eine Cyberversicherung immer bei Betrugsfällen? Nein. Viele Verträge schließen genau solche Fälle aus.

Reicht es, eine Cyberversicherung zu haben, um geschützt zu sein? Nein. Ohne funktionierende IT-Sicherheit und klare Prozesse ist der Versicherungsschutz unsicher.

Lohnt sich eine Cyberversicherung für KMU trotzdem? Ja – wenn die Bedingungen verstanden und die internen Prozesse entsprechend angepasst werden.

Fazit

Eine Cyberversicherung kann sinnvoll sein – aber nur als Ergänzung, nicht als Freifahrtschein. Wer glaubt, sich im Ernstfall auf die Police verlassen zu können, riskiert eine böse Überraschung. Entscheidend bleibt: Prävention durch Technik, Prozesse und Schulung.

Uta Rusch Foto
Uta Rusch

Als geschäftsführende Gesellschafterin bewege ich mich an der Schnittstelle von Technologie, Prozessen und Menschen. Mit unserem Team begleite ich digitale Transformationen – und dabei geht es mir selten um die nächste Software. Es geht darum, den Kontext zu vermitteln. In meiner Arbeit geht es mir nie nur um das Was, sondern vor allem um das Warum. Wenn das klar ist, wird auch der Weg zum Ziel für alle verständlich.

Hier - unter Wissenswertes - schreibe ich über digitale Geschäftsprozesse, Transformation und ein Thema, das mich besonders umtreibt: echte Verantwortungsübernahme. Mein Ansatz dabei ist Klarheit – komplexe Zusammenhänge auf das Wesentliche herunterbrechen, Entscheidungsfähigkeit schaffen und Veränderungsbereitschaft ermöglichen. Denn Verantwortung kann nur übernehmen, wer versteht, worum es geht.

Für mich persönlich gibt es keine "Fehler" im klassischen Sinn – solange ich mit dem Wissen handle, das mir in diesem Moment zur Verfügung steht. Ob eine Entscheidung optimal war, weiß ich erst hinterher. Aber genau dieser Erkenntnisgewinn bringt mich weiter. Nur wer entscheidet, kann lernen.

Das gilt allerdings nicht grenzenlos. Wenn Fakten auf dem Tisch liegen, Ergebnisse bekannt sind und trotzdem dieselbe Richtung eingeschlagen wird – dann ist das kein Fehler aus Unwissenheit mehr. Dann ist es das Verweigern von Verantwortung. Und genau das ist der Unterschied, über den ich hier schreibe.

Was mich antreibt, ist die Überzeugung, dass Klarheit und Verantwortung keine Gegensätze sind – sondern zwei Seiten derselben Medaille. Wer Zusammenhänge wirklich versteht, kann auch wirklich Verantwortung übernehmen. Und wer Verantwortung übernimmt, schafft Veränderungen, die im Alltag auch wirklich funktionieren.

Artikel: 5

Ähnliche Beiträge

Cookie-Einstellungen
advantegy GmbH Logo

Um das bestmögliche Erlebnis zu bieten, verwenden wir für den Betrieb dieser Website unbedingt erforderliche Cookies sowie optionale Funktions-, Leistungs- und Targeting-Cookies. Wir verkaufen Deine Daten nicht. In den Einstellungen kannst Du mehr darüber erfahren, welche Cookies wir verwenden, oder diese deaktivieren.

Technisch notwendig

Technisch notwendige Cookies sollten aktiviert sein, damit wir Deine Cookie-Einstellungen speichern können