Versicherer haben den Cyber-Markt 2025 und 2026 systematisch verschärft. Wer 2023 noch mit einem ausgefüllten Selbstauskunftsformular eine Cyber-Police für unter 1.500 € bekommen hat, steht 2026 vor einem 60-seitigen Risikofragebogen, einem technischen Audit und der Anforderung von MFA, EDR und getesteten Backups. Wer das nicht liefern kann, bekommt entweder keine Police mehr — oder zahlt die dreifache Prämie.
Wir betreuen als IT-Dienstleister in Hamburg seit 18 Monaten verstärkt Mandanten, die für eine Cyber-Versicherung vorbereitet werden müssen oder deren Police nach einem Schadenfall nicht geleistet hat. Dieser Artikel ist die Praxisbestandsaufnahme: Was die fünf großen Versicherer 2026 verlangen, wie sich Hamburger Mittelständler sauber vorbereiten und was eine Police wirklich kostet.
Eine Cyber-Versicherung 2026 für ein Hamburger KMU mit 30 Mitarbeitern kostet bei sauberer IT-Hygiene rund 2.000 bis 4.500 € Jahresprämie bei 1 Mio. € Deckung. Versicherer wie Hiscox, Allianz und HDI verlangen zwingend MFA auf allen Konten, EDR statt Virenscanner, getestete Backups nach 3-2-1-Regel, dokumentiertes Patch-Management und einen jährlich geübten Incident-Response-Plan. Ohne diese Maßnahmen gibt es keine Police mehr.
Inhalt in Kürze
- Der Markt hat sich gedreht: Seit 2024 sind Cyber-Versicherer hochselektiv. 2026 lehnen sie pro Quartal rund ein Drittel aller Anträge ab.
- Pflicht-Maßnahmen 2026: MFA überall, EDR, getestete Backups, Patch-Management, Incident-Response-Plan. Ohne diese fünf Bausteine keine Police.
- Preise 2026 für KMU 30 Mitarbeiter: 2.000 bis 15.000 € Jahresprämie je nach Risikoprofil. Selbstbehalt 5.000 bis 25.000 €.
- NIS-2 und Cyber-Versicherung verstärken sich: NIS-2-Konformität deckt rund 80 Prozent der Versicherer-Anforderungen ab.
- Die fünf großen Anbieter: Hiscox (Marktführer KMU), Allianz, AXA, HDI, ERGO — plus Spezialisten für größere Unternehmen.
Warum der Cyber-Markt sich 2024 bis 2026 gedreht hat
Bis 2022 war Cyber-Versicherung im deutschen Mittelstand ein Wachstumssegment mit niedrigen Prämien und liberalen Bedingungen. Versicherer wollten Marktanteil gewinnen, die Schadenquoten waren überschaubar. Das hat sich mit der Ransomware-Welle 2022/2023 fundamental geändert.
Der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) weist in seiner Cyber-Schaden-Statistik 2024 für deutsche Cyber-Policen eine Schadenquote von 124 % aus — Versicherer haben mehr ausgezahlt, als sie an Prämien eingenommen haben. Die Folge: Marktbereinigung. Mehrere Versicherer haben sich aus dem Cyber-Markt zurückgezogen (allem voran AIG für deutsche Mittelstandsrisiken). Die verbliebenen Anbieter haben drei Hebel gezogen: Prämien erhöht, Bedingungen verschärft, Auswahl strenger gestaltet.
Der BSI-Lagebericht 2025 nennt für den Berichtszeitraum 2024/2025 einen Anstieg gezielter Ransomware-Angriffe auf KMU um 28 %. Die Angreifer haben sich auf den Mittelstand spezialisiert, weil dort die IT-Hygiene schwächer ist als im Konzernumfeld — und die Lösegelder schneller fließen. Versicherer haben darauf reagiert.
Die fünf Pflicht-Maßnahmen, ohne die 2026 keine Police mehr kommt
Wir haben in den letzten 18 Monaten in Hamburg über 40 Cyber-Versicherungs-Vorbereitungen begleitet. Was alle fünf großen Versicherer 2026 zwingend verlangen:
- Multi-Faktor-Authentifizierung (MFA): Auf allen Konten mit administrativem Zugriff zwingend. Bei Hiscox, Allianz und HDI auch auf allen Office-365-Konten Pflicht. SMS-basierte MFA ist 2026 nicht mehr ausreichend — gefordert ist App-basierte (Microsoft Authenticator, Google Authenticator) oder hardware-basierte MFA (FIDO2, YubiKey).
- Endpoint Detection and Response (EDR): Klassischer Virenscanner reicht nicht mehr. Gefordert sind verhaltensbasierte EDR-Lösungen wie Microsoft Defender for Endpoint Plan 2, Bitdefender GravityZone Premium, CrowdStrike Falcon oder SentinelOne. Mit dokumentiertem 24/7-Monitoring.
- Getestete Backup-Strategie: Drei Kopien, zwei verschiedene Medien, eine Offsite-Kopie (3-2-1-Regel). Plus: Dokumentierter Restore-Test innerhalb der letzten 12 Monate. Versicherer verlangen Test-Protokolle.
- Patch-Management: Dokumentierter Prozess, mit Patch-Latenz von maximal 30 Tagen für kritische Updates und 90 Tagen für reguläre Updates. Microsoft-Patches binnen 14 Tagen sind Goldstandard.
- Incident-Response-Plan (IRP): Schriftlich dokumentiert, mindestens einmal pro Jahr in einer Tabletop-Übung getestet, mit klaren Eskalationsstufen und externen Kontakten (Forensik, Rechtsanwalt, BSI).
Hiscox hat im März 2026 zusätzlich verbindliche Awareness-Trainings für Mitarbeiter eingeführt. Gefordert sind mindestens zwei Phishing-Simulationen pro Jahr mit dokumentierter Klickrate. Bei Klickrate über 15 % gibt es Auflagen, bei über 25 % keine Police.
Die fünf großen Versicherer im Vergleich
| Versicherer | Stärke | Schwäche | Typ. Prämie 30-MA-KMU |
|---|---|---|---|
| Hiscox | Marktführer KMU, klare Bedingungen | strengste Risikoprüfung 2026 | 2.500–4.500 € |
| Allianz | starke Marktpräsenz, gute Schadenregulierung | strikte Social-Engineering-Ausschlüsse | 2.800–5.200 € |
| AXA | breites Branchenangebot | Branchen-Ablehnung Kanzleien/Gesundheit | 2.000–4.000 € |
| HDI | mittelstandsfreundlich | Wartezeiten bei Schadenfall hoch | 2.200–4.500 € |
| ERGO | Bausteine flexibel kombinierbar | begrenzte Deckung Großschäden | 1.800–3.800 € |
Spezialanbieter für größere Mittelständler ab 100 Mitarbeitern: CYRES Consulting, Coalition (US-getrieben, deutsche Niederlassung), Munich Re Cyber, Chubb. Hier liegen Prämien für 100-MA-Unternehmen bei 8.000 bis 25.000 € je nach Risikoprofil.
Wir haben in Hamburg im letzten Halbjahr zwei Kunden gehabt, denen die alte Cyber-Police nach einem Schadenfall gekündigt wurde — mit der Begründung, sie hätten die zugesicherten Sicherheitsmaßnahmen nicht eingehalten. Beide hatten zwar das Häkchen bei „MFA aktiv" gesetzt, aber faktisch lief es nur für die Geschäftsführung. Versicherer kontrollieren das mittlerweile mit Screenshots aus dem Microsoft-365-Admin.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Konkrete Preise und Selbstbehalte 2026 für Hamburger KMU
Wir haben in den letzten 90 Tagen 14 Cyber-Policen für Hamburger Mandanten begleitet. Die Bandbreiten:
| Unternehmensgröße | Risikoprofil | Jahresprämie | Selbstbehalt | Deckung |
|---|---|---|---|---|
| 10 MA, Handwerk | sauber | 1.400–2.200 € | 5.000 € | 500.000 € |
| 30 MA, Beratung | sauber | 2.500–4.500 € | 5.000–10.000 € | 1.000.000 € |
| 30 MA, Kanzlei | sauber | 4.000–7.500 € | 10.000–15.000 € | 1.000.000 € |
| 50 MA, Logistik | sauber | 4.500–8.000 € | 10.000 € | 1.500.000 € |
| 100 MA, Industrie | sauber | 8.000–14.000 € | 15.000–25.000 € | 2.500.000 € |
| 30 MA, beliebig | ohne MFA/EDR | 8.000–15.000 € oder Ablehnung | 25.000 € | 500.000 € |
Branchenfaktor 2026: Anwaltskanzleien, Steuerberater, Gesundheitswesen, Logistik und Architektur werden als Hochrisiko eingestuft. Aufpreis 30 bis 60 % gegenüber dem Durchschnitt — und teils nur noch von Spezialanbietern versicherbar.
Was eine Cyber-Police 2026 abdeckt — und was nicht
Eine moderne Cyber-Versicherung 2026 deckt typischerweise diese Bereiche ab:
- Eigenschäden: Wiederherstellungskosten, Betriebsausfall, IT-Forensik, Krisenkommunikation, Datenrekonstruktion, Hardware-Ersatz wenn kontaminiert.
- Drittschäden: Schadenersatzforderungen Dritter, vertragliche Haftung, Verteidigungskosten, DSGVO-Bußgelder soweit versicherbar.
- Lösegeld (mit Auflagen): Lösegeldzahlungen bei Ransomware, sofern Täter nicht auf Sanktionslisten stehen und Polizei eingebunden wurde.
- Cyber-Erpressung: Beratungskosten, Verhandlungsleitung durch externe Dienstleister.
- Reputationsschaden: PR-Beratung, Krisenkommunikation, Mediabuying nach Vorfall.
Was eine Cyber-Police 2026 typischerweise NICHT abdeckt:
- Schäden vor Vertragsbeginn (Cold-Boot-Klausel) — bekannt gewordene Lücken müssen angegeben werden.
- Lösegeldzahlungen bei Sanctions-Listed-Tätern (OFAC-Sanktionen).
- Fahrlässige Verstöße gegen zugesicherte Sicherheitsmaßnahmen.
- Schäden durch ungepatchte Schwachstellen, deren Patch seit mehr als 30 Tagen verfügbar war.
- Insider-Taten mit Vorsatz.
- Schäden durch nicht autorisierte Cloud-Dienste (Schatten-IT).
Wenn die Versicherung im Schadenfall behauptet, Sie hätten die zugesicherten Sicherheitsmaßnahmen nicht eingehalten, müssen Sie das Gegenteil belegen. Konkret: Screenshots, Protokolle, Audit-Berichte, Schulungsnachweise. Wer das nicht hat, bekommt im Ernstfall kein Geld.
NIS-2 und Cyber-Versicherung — Synergien nutzen
Seit dem 17. Oktober 2024 ist die NIS-2-Richtlinie der EU in Kraft. Deutschland hat die Umsetzung mit dem NIS-2-Umsetzungsgesetz nachgezogen. In Hamburg sind nach Schätzungen rund 4.500 Unternehmen direkt betroffen — plus etwa 8.000 indirekt über Lieferkettenanforderungen.
Die NIS-2-Pflichten überschneiden sich zu rund 80 % mit den Cyber-Versicherer-Anforderungen:
| NIS-2-Pflicht | Versicherer-Anforderung 2026 | Überschneidung |
|---|---|---|
| Risikomanagement | Risikofragebogen | hoch |
| Incident-Response-Plan | IRP mit Tabletop-Übung | vollständig |
| Lieferkettensicherheit | Drittanbieter-Audit | hoch |
| Notfallübungen | jährliche Simulation | vollständig |
| Cybersecurity-Schulungen | Awareness-Training | vollständig |
| Verschlüsselung | EDR, Disk-Encryption | hoch |
| Multi-Faktor-Authentifizierung | MFA überall | vollständig |
| Kontinuitätsmanagement | Backup-Strategie | hoch |
Wer NIS-2-konform ist, erfüllt automatisch die meisten Versicherer-Anforderungen. Umgekehrt prüfen Versicherer seit 2026 explizit, ob NIS-2-betroffene Unternehmen die Pflichten umgesetzt haben. Unser Beitrag NIS2 Beratung Hamburg zeigt den vollständigen Umsetzungsweg. Die kombinierte Audit-Begleitung mit Versicherungs-Vorbereitung läuft bei uns über die NIS2 & Compliance Hamburg.
Wenn Sie unsicher sind, ob NIS-2 Ihr Unternehmen betrifft — der schnellste Weg ist unser NIS2-Check:
Risikofragebogen 2026 — die 12 wichtigsten Fragen
Die großen Versicherer verwenden 2026 ähnliche Risikofragebögen mit 40 bis 80 Fragen. Aus unserer Praxis sind diese 12 die kritischsten:
- Ist MFA auf allen Konten mit administrativem Zugriff aktiviert? Antwort „nein" = Ablehnung.
- Ist MFA auf allen Office-365-Konten aktiviert? Antwort „nein" bei Hiscox/Allianz = Ablehnung.
- Welche EDR-Lösung ist im Einsatz? Antwort „klassischer Virenscanner" = Auflage oder Aufpreis.
- Wann war der letzte erfolgreiche Backup-Restore-Test? Antwort „älter als 12 Monate" = Auflage.
- Werden Backups offline oder unveränderbar gespeichert? Antwort „nein" = Aufpreis.
- Wie hoch ist die Patch-Latenz für kritische Updates? Antwort „über 30 Tage" = Auflage.
- Gibt es einen dokumentierten Incident-Response-Plan? Antwort „nein" = Ablehnung.
- Wann war die letzte IRP-Tabletop-Übung? Antwort „nie" = Auflage.
- Werden Mitarbeiter regelmäßig zu Phishing geschult? Antwort „nein" = Auflage.
- Gibt es ein dokumentiertes Berechtigungskonzept? Antwort „nein" = Auflage.
- Sind frühere Cyber-Schäden bekannt? Antwort „ja, ohne Maßnahmen" = Ablehnung.
- Werden Remote-Zugänge per VPN oder Zero Trust abgesichert? Antwort „nur Passwort" = Ablehnung.
Bei einem Hamburger Bauunternehmen mit 45 Mitarbeitern haben wir 14 Wochen lang gearbeitet, bis der Cyber-Antrag durchging. Der erste Antrag wurde abgelehnt — keine MFA auf Office 365, kein dokumentierter Restore-Test, Patch-Stand von 2024. Wir haben die Lücken systematisch geschlossen, beim zweiten Antrag lief die Police durch. Aber: Es war ein echtes Projekt, nicht ein Häkchen.
Philip KraatzGeschäftsführer, hagel IT-Services GmbH
Praxis-Beispiele aus Hamburg — drei Fälle aus 2025/2026
Fall 1 — Anwaltskanzlei in Hamburg-Eppendorf, 22 Mitarbeiter: Antrag bei Hiscox im Februar 2026 abgelehnt. Gründe: SMS-basierte MFA (statt App/Hardware), kein dokumentierter Restore-Test, ungepatchte Exchange-Schwachstelle aus November 2025. Nach 9 Wochen Vorbereitung (App-MFA-Rollout, Backup-Test, Patch-Sprint) zweiter Antrag erfolgreich. Jahresprämie 4.800 € bei 1 Mio. € Deckung.
Fall 2 — Logistiker in der HafenCity, 38 Mitarbeiter: Schaden im November 2024 durch Ransomware (Datenverschlüsselung, 4 Tage Stillstand). Versicherer prüfte, fand fehlendes Patch-Management und unvollständige MFA — Leistung gekürzt auf 40 % der Schadensumme (rund 80.000 € statt 200.000 €). Folge: Komplett-Neuaufstellung der IT-Sicherheit, neue Police bei AXA mit Auflagen und Selbstbehalt 15.000 €.
Fall 3 — Maklerbüro in Hamburg-Winterhude, 12 Mitarbeiter: Erste Police 2023 bei einer mittlerweile zurückgezogenen Versicherung. Verlängerung 2026 nicht möglich — Versicherer nicht mehr am Markt. Neuantrag bei ERGO mit verschärften Auflagen: EDR-Pflicht, Awareness-Training, Backup-Test. Nach 6 Wochen Vorbereitung Police bei 1.900 € Jahresprämie und 500.000 € Deckung.
Wir wollten eigentlich nur die Cyber-Versicherung verlängern. Dann sagte unser Versicherungsmakler: 'Diesmal gibt es ohne MFA und ohne EDR keine neue Police.' Mit hagel IT haben wir in sechs Wochen die Anforderungen umgesetzt — und jetzt zahlen wir trotz Verschärfung nur 200 € mehr als 2023. Aber wir wissen jetzt auch, dass wir tatsächlich geschützt sind.
DORA-Bezug: Was Finanzunternehmen 2026 zusätzlich brauchen
Seit dem 17. Januar 2025 ist die DORA (Digital Operational Resilience Act) der EU für Finanzunternehmen verbindlich. In Hamburg betrifft das rund 280 Unternehmen direkt (Banken, Versicherer, Zahlungsdienstleister, Investmentfonds) plus die IT-Dienstleister dieser Unternehmen als kritische ICT-Drittanbieter.
DORA verschärft die Cyber-Versicherer-Anforderungen um vier zusätzliche Punkte:
- TLPT (Threat-Led Penetration Testing): Realistische Angriffssimulation alle 3 Jahre für signifikante Finanzunternehmen.
- ICT-Drittanbieter-Register: Vollständige Dokumentation aller IT-Dienstleister mit Kritikalitätsbewertung.
- Incident-Reporting an BaFin: Major-Incidents binnen 4 Stunden, vollständiger Report binnen 72 Stunden.
- Resilience-Testing: Jährliche Übungen zur operationellen Resilienz.
Wenn Sie ein Hamburger Finanzunternehmen sind oder Finanzunternehmen als Kunde haben, beraten wir Sie zur kombinierten DORA-/Cyber-Versicherungs-Vorbereitung. Sprechen Sie uns an.
Lead-Magnet: Cybersicherheits-Checkliste
Häufige Fehler bei der Cyber-Versicherungs-Vorbereitung
Aus unserer Praxis sehen wir immer wieder dieselben fünf Fehler:
- MFA-Häkchen ohne Durchsetzung: „MFA aktiv" in der Microsoft-365-Konsole heißt nicht, dass Mitarbeiter MFA auch nutzen. Wir prüfen mit Sign-In-Logs, ob MFA bei jedem Login wirklich greift.
- Backup ohne Restore-Test: 9 von 10 KMU haben zwar Backups, aber nie einen vollständigen Restore-Test gemacht. Versicherer fragen das gezielt ab.
- Patch-Management nur für Windows: Linux-Server, Firewalls, Netzwerk-Switches, Drucker — alle haben Firmware-Updates. Versicherer prüfen das ganzheitlich.
- IRP als Template aus dem Internet: Ein generischer Incident-Response-Plan ohne unternehmensspezifische Eskalationsstufen und externe Kontakte wird vom Versicherer nicht akzeptiert.
- Awareness-Training nur als E-Learning ohne Phishing-Simulation: Hiscox verlangt seit März 2026 dokumentierte Klickraten aus echten Simulationen — nicht nur „Mitarbeiter haben Kurs absolviert".
Wie wir Hamburger KMU auf Cyber-Versicherungen vorbereiten
Unser Standard-Prozess für die Cyber-Versicherungs-Vorbereitung läuft in drei Stufen:
Phase 1 — Bestandsaufnahme (Woche 1–2): Wir gehen den typischen 60-Fragen-Risikofragebogen mit Ihnen durch und dokumentieren den Ist-Zustand. Ergebnis ist ein Gap-Report mit den 5 bis 15 wichtigsten Lücken.
Phase 2 — Umsetzung (Woche 3–8): Wir schließen die Lücken in priorisierter Reihenfolge. Typisch sind MFA-Rollout auf allen Konten, EDR-Einführung (meist Microsoft Defender for Endpoint Plan 2 oder Bitdefender), dokumentierter Restore-Test, IRP-Erstellung mit Tabletop-Übung, Patch-Management-Prozess.
Phase 3 — Antrag und Begleitung (Woche 9–10): Wir bereiten den finalen Risikofragebogen vor, beschaffen Screenshots und Protokolle und begleiten Sie zum Versicherungsmakler. Bei Bedarf jährliche Re-Audits. Die laufende Betreuung läuft typischerweise über unseren Managed-IT-Festpreis, in dem Cybersecurity-Themen wie MFA, EDR und Patch-Management standardmäßig enthalten sind. Hamburger Unternehmen finden uns am Standort Hamburg-Hammerbrook in der Spaldingstraße 64–68.
Wenn Sie eine Cyber-Police benötigen oder Ihre bestehende Police bedroht ist, prüfen wir in einem 15-Minuten-Erstgespräch, wo Sie aktuell stehen:
Cyber-Versicherung 2026 — was fehlt noch?
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Termin buchen →Weiterführende Quellen
- BSI-Lagebericht 2025
- GDV Cyber-Versicherung
- EU NIS-2-Richtlinie
- BaFin DORA-Übersicht
- Bitkom IT-Sicherheits-Studie
Weitere relevante Hintergrund-Artikel auf unserem Blog: NIS2 Praxis nach 12 Monaten, Cyber-Bedrohungen 2026, MFA & Passwort-Sicherheit und Backup & Disaster Recovery für KMU.
