Vor 2020 war Cyber-Versicherung ein Nischenprodukt. Heute ist sie Pflicht. Aber die Spielregeln haben sich fundamental geändert — und die meisten Mittelständler haben das nicht mitbekommen.
Wenn Sie eine Cyber-Versicherung abschließen oder erneuern wollen, stehen Sie 2026 vor einer anderen Welt als noch vor drei Jahren. Die Versicherer haben aus den Milliarden-Schäden der Ransomware-Wellen gelernt. Und sie geben dieses Wissen als harte Anforderungen an Sie weiter.
Wie es früher war
In den Anfangstagen der Cyber-Versicherung — bis etwa 2020 — war Underwriting einfach. Der Versicherer fragte nach Unternehmensgröße, Branche und Umsatz. Vielleicht noch nach einer Firewall. Dann wurde eine Police geschrieben. Laut AlphaSense-Experten betrachteten viele Unternehmensführer den Austausch von Geräten als primäre Incident-Response-Maßnahme. Security war kein Thema.
Dann kamen die Ransomware-Wellen. Die Versicherer zahlten. Und zahlten. Und zahlten. Die Schadenquoten explodierten. Und die Branche reagierte.
Was Versicherer 2026 verlangen
Heute ist Underwriting ein analytischer Prozess. Versicherer führen umfassende Risikoanalysen durch, bevor sie eine Police schreiben. Laut Branchenanalysen und Oppenheimer & Co.-Research umfassen die Anforderungen:
Vulnerability Scanning: Pflicht. Nahezu alle Cyber-Versicherer fordern den Nachweis regelmäßiger Vulnerability Scans. Nicht als Empfehlung. Als Bedingung. Ohne Scans keine Police.
Privileged Access Management (PAM): Standard. 40-50% der Versicherer fordern inzwischen PAM-Lösungen oder Zero Standing Privileges (ZSP). Das bedeutet: Kein Mitarbeiter hat dauerhaft Admin-Rechte. Privilegierte Zugriffe werden nur temporär und dokumentiert vergeben.
Multi-Faktor-Authentifizierung: Baseline. MFA auf allen Systemen ist keine Besonderheit mehr. Es ist die absolute Mindestanforderung. Ohne MFA kein Angebot.
Incident Response Readiness: Nachgewiesen. Versicherer wollen sehen, dass Sie einen Plan haben. Dass er dokumentiert ist. Dass er getestet wurde. Nicht irgendwann — kürzlich.
Tiered Cyber Quantification (CyQ). Fortschrittliche Versicherer bieten gestufte Cyber-Quantifizierungsdienste an: Audits, Phishing-Simulationen, Reifegradbewertungen. Die Ergebnisse fließen direkt in die Prämienberechnung ein.
Die Mid-Market-Realität
Die unbequeme Wahrheit: Die meisten mittelständischen Unternehmen erfüllen diese Anforderungen nicht.
Laut AlphaSense-Expert-Calls ist das Kaufverhalten im Mittelstand reaktiv, nicht proaktiv. Unternehmen kaufen Cyber-Versicherung nach einem Angriff auf einen Wettbewerber. Nicht vorher. Nicht aus Einsicht. Aus Angst.
Und dann stellen sie fest: Die Versicherung, die sie haben wollten, gibt es zu dem Preis nicht mehr. Oder gar nicht. Denn ohne die grundlegenden Sicherheitsmaßnahmen schreiben Versicherer keine Police.
Die Folge: Unternehmen, die am dringendsten Schutz brauchen — weil ihre Security mangelhaft ist — bekommen keinen. Ein Paradox, das im Mittelstand täglich zuschlägt.
Was einen Antrag scheitern lässt
Wenn ein mittelständisches Unternehmen eine Ransomware-Police beantragt, löst das beim Versicherer sofort eine umfassende Prüfung aus. Laut AlphaSense-Experten verlangen Versicherer dann:
- Vollständige Dokumentation aller Cybersecurity-Kontrollen
- Nachweis über Brand Protection-Strategien
- Tiered Audit durch externe Prüfer
- Phishing-Simulationsergebnisse
- Employee Readiness Scores
Wenn diese Nachweise fehlen — und bei den meisten Mittelständlern fehlen sie — wird der Antrag abgelehnt oder die Prämie so hoch angesetzt, dass sie wirtschaftlich nicht tragbar ist.
Der Versicherungs-Compliance-Kreislauf
Es entsteht ein neuer Kreislauf: NIS2 verlangt Cybersicherheit. Versicherer verlangen dieselben Maßnahmen als Voraussetzung für eine Police. Auftraggeber verlangen beides — NIS2-Compliance und Versicherungsnachweis — von ihren Zulieferern.
Wer eines nicht hat, verliert alles: Versicherungsschutz, Compliance-Status und Geschäftsbeziehungen.
Die Prämien-Schere
Die Prämienentwicklung zeigt eine klare Schere:
Unternehmen mit nachgewiesener Security: Prämien stagnieren oder sinken. Coalition-Daten zeigen -7% Schadenshöhe und -3% Häufigkeit. Ein globaler Retailer erreichte -30% Prämienreduktion durch Managed Threat Hunting.
Unternehmen ohne nachgewiesene Security: Prämien steigen zweistellig. Oder die Deckung wird eingeschränkt. Oder die Police wird gekündigt.
Die Schere wird jedes Jahr größer. 2026 ist der Punkt, an dem Unternehmen ohne professionelle Security-Maßnahmen faktisch unversicherbar werden.
Was Sie tun sollten
1. Prüfen Sie Ihre aktuelle Police. Was genau ist gedeckt? Was ist ausgeschlossen? Gibt es Cyber-Ausschlussklauseln? Was sind die Voraussetzungen für eine Schadensregulierung?
2. Implementieren Sie die Mindestanforderungen. MFA, Vulnerability Scanning, PAM — das sind keine optionalen Extras mehr. Es sind Versicherungsvoraussetzungen.
3. Dokumentieren Sie alles. Versicherer wollen Nachweise. Keine Versprechen. Führen Sie Protokoll über Scans, Patches, Schulungen, Tests.
4. Verhandeln Sie mit Daten. Zeigen Sie Ihrem Versicherer Ihre Security-Posture. Je besser Ihre Dokumentation, desto besser Ihre Verhandlungsposition.
Kengo liefert alles was Ihr Versicherer verlangt. Automatisch. Kengo prüft Ihre IT in 60 Minuten. Kostenlos.
Bereit, Ihr Unternehmen autonom zu betreiben?
15 Minuten. Keine Verpflichtung. Kein Verkaufsdruck.
Gespräch vereinbaren →