hagel IT-Services
Termin buchen
hagel IT
Termin buchen 040 284 10 26-0
Kontakt
15 Min.

Cyber-Versicherung 2026: Technische Voraussetzungen & Anforderungen der Versicherer

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • 40 % aller Cyber-Schadensmeldungen werden 2026 abgelehnt — meist wegen Falschangaben im Risiko-Fragebogen oder weil die Voraussetzungen für eine Cyberversicherung nicht erfüllt sind
  • Versicherer verlangen heute phishing-resistente Multi-Faktor-Authentifizierung (MFA/FIDO2), EDR, 3-2-1-1-0-Datensicherung, Schwachstellenmanagement, Mitarbeiterschulungen mit Nachweis und einen getesteten Incident Response Plan — Antivirus und SMS-Code reichen für den Versicherungsschutz nicht mehr
  • Kein Fragebogen lässt sich "nebenbei" beantworten: Wer falsch tickt, riskiert entweder keine Police oder eine wertlose Cyber-Versicherung im Schadenfall
  • Die technische Umsetzung der Voraussetzungen für eine Cyberversicherung deckt sich zu rund 80 % mit dem, was ein KMU ohnehin für NIS-2, Informationssicherheit und saubere Cyber-Sicherheit braucht

Sie haben den Risiko-Fragebogen Ihres Cyber-Versicherers vor sich liegen. 42 Seiten. Fragen nach Multi-Faktor-Authentifizierung, EDR, Patch-Zyklen, Datensicherung, Mitarbeiterschulungen und einem dokumentierten Incident Response Plan. Und die Bitte, alles schriftlich zuzusichern — inklusive persönlicher Haftung, falls ein Vorfall eintritt und sich später etwas als falsch herausstellt.

Willkommen in der Realität 2026. Eine Cyberversicherung mit belastbarem Versicherungsschutz bekommen Sie heute nur noch, wenn Ihre IT die technischen Voraussetzungen der Versicherer erfüllt — und diese Voraussetzungen für eine Cyberversicherung haben sich in den letzten zwei Jahren massiv verschärft. Wir sehen das bei unseren Hamburger Kunden jede Woche: Geschäftsführer, die bei der Verlängerung ihrer Police plötzlich eine rote Ampel vom Makler bekommen.

Dieser Artikel zeigt, was Ihr IT-Team konkret einrichten muss, damit der Versicherer im Ernstfall zahlt. Die juristische Seite — Policen-Bausteine, Obliegenheiten, DSGVO, Haftung — haben wir bewusst ausgeklammert. Die hat unser Schwester-Projekt frag.hugo ausführlich aufbereitet: Cyberversicherung für KMU: Anforderungen, Policen, Kosten.

Warum Versicherer Ihre IT 2026 so genau prüfen

Der Markt für Cyber-Versicherungen ist in den letzten drei Jahren durch Ransomware-Angriffe förmlich durchgeschüttelt worden. Laut Security Today werden 2026 rund 40 % aller Cyber-Claims abgelehnt — überwiegend wegen Falschangaben im Risiko-Fragebogen oder nicht erfüllter Obliegenheiten. Parallel sind die Prämien um 15–20 % gestiegen.

40 %
abgelehnte Claims 2026
15–20 %
Prämienerhöhung
42 Seiten
typischer Risiko-Fragebogen

Was heißt das für Sie? Wenn Ihr Fragebogen nicht deckungsgleich mit Ihrer tatsächlichen Informationssicherheit ist, haben Sie im Ernstfall entweder keinen Versicherungsschutz oder einen jahrelangen Rechtsstreit am Hals. Der Versicherer schickt nach einem Vorfall einen Forensiker — und der findet garantiert die Abweichungen zwischen Fragebogen und Realität.

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat einen unverbindlichen Muster-Fragebogen für KMU veröffentlicht — die meisten Versicherer nutzen ihn als Basis und packen ihre eigenen Zusatzfragen drauf. Wer diesen Fragebogen einmal durchgearbeitet hat, weiß: Das ist eine verdeckte IT-Audit-Checkliste, die systematisch alle Voraussetzungen für eine Cyberversicherung abfragt.

Wichtig:

Der Risiko-Fragebogen ist kein Marketingdokument. Jede Antwort wird im Schadenfall geprüft. Wenn Sie "Ja" ankreuzen bei "Wir setzen Multi-Faktor-Authentifizierung auf allen E-Mail-Konten ein" und der Forensiker findet einen einzigen Account ohne MFA, können Sie den Versicherungsschutz verlieren. Antworten Sie ehrlich — und lassen Sie die fehlenden Punkte vorher technisch sicherstellen.

Die 7 technischen Voraussetzungen für eine Cyberversicherung 2026

Wir haben dutzende Risiko-Fragebögen verschiedener Versicherer (Allianz, Hiscox, Zurich, AXA, HDI) verglichen und die konstanten Kernanforderungen herausgezogen. Hier sind die sieben technischen Bausteine, die heute bei nahezu jedem Abschluss und jeder Verlängerung einer Cyber-Versicherung geprüft werden.

1. Multi-Faktor-Authentifizierung (MFA) — phishing-resistent, nicht mehr SMS

Multi-Faktor-Authentifizierung ist seit Jahren Pflicht. Was sich 2025 geändert hat: SMS-Codes und klassische TOTP-Apps gelten zunehmend nicht mehr als ausreichend, um einen Versicherungsschutz zu rechtfertigen. Versicherer fragen nach phishing-resistenten Verfahren — und das heißt FIDO2, Hardware-Keys (YubiKey, Feitian) oder Passkeys, die an das Gerät gebunden sind.

Der Grund: Moderne Angreifer nutzen Adversary-in-the-Middle-Angriffe (AiTM) wie Evilginx, die MFA-Tokens in Echtzeit abgreifen. Ein SMS-Code landet genauso beim Angreifer wie ein TOTP-Code aus der Authenticator-App. Nur hardwaregebundene Verfahren — bei denen das Gerät die Domain kryptografisch prüft — stoppen diese Angriffswelle zuverlässig und minimieren das Risiko.

Das Landesamt für Sicherheit in der Informationstechnik Bayern empfiehlt explizit FIDO2 oder zertifikatsbasierte PKI-Lösungen. Microsoft hat im September 2025 die Schrauben angezogen und verlangt für Azure-Admin-Rollen MFA per Default — ein klares Signal, dass hardwaregebundene Zugriffskontrollen unerlässlich geworden sind.

Wo Multi-Faktor-Authentifizierung greifen muss (Mindeststandard Versicherer)

  • E-Mail-Zugänge — jeder Mitarbeiter, keine Ausnahme für Geschäftsführung oder "nur Leser"-Konten. Phishing startet fast immer per E-Mail.
  • VPN / Remote-Zugänge — Fernwartung, Homeoffice-VPN, RDP-Gateways. Diese Zugriffskontrollen sind kritisch für den Versicherungsschutz.
  • Cloud-Admin-Konten — Microsoft 365 Global Admin, Google Workspace Super-Admin, AWS Root.
  • Privileged Accounts — lokale Admin-Konten, Service-Accounts, Backup-Systeme.
  • RDP von extern — das ist 2026 sowieso ein No-Go ohne Gateway mit MFA.

Zwei-Faktor-Authentifizierung ist immer noch der Schutz Nummer eins vor Ransomware. Kostet nichts, 5 Minuten pro Mitarbeiter, und macht 99 % der Massen-Cyberangriffe wirkungslos. Wer 2026 noch SMS einsetzt, sollte den Versicherungsfragebogen gar nicht erst ausfüllen.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

2. Schwachstellenmanagement und dokumentierte Patch-SLAs

"Wir patchen regelmäßig" reicht dem Versicherer nicht mehr. Er will Zahlen, Zyklen und Protokolle — ein echtes Schwachstellenmanagement. Der typische Risiko-Fragebogen enthält konkrete Fragen wie:

  • Werden kritische Sicherheitsupdates innerhalb von 14 Tagen eingespielt?
  • Werden alle anderen Sicherheitsupdates innerhalb von 30 Tagen eingespielt?
  • Gibt es einen dokumentierten Patch-Prozess mit Freigaben und Rollback-Plan?
  • Existiert eine Liste aller verwalteten Systeme inkl. Patchlevel und bekannter Schwachstellen?
  • Werden regelmäßige Schwachstellen-Scans oder Penetrationstests durchgeführt?

Der Hintergrund: Der Großteil aller Ransomware-Fälle nutzt eine bereits bekannte Schwachstelle, für die längst ein Patch existiert. Die ProxyShell-Lücke in Microsoft Exchange hat bis heute Unternehmen im Griff, obwohl der Patch seit Mitte 2021 verfügbar ist. Versicherer wissen das und bestehen auf belastbarer Dokumentation des Schwachstellenmanagements.

Vorsicht bei "Stand der Technik":

Viele Versicherer verlangen im Kleingedruckten die Einhaltung des "Standes der Technik" — ein juristisch beweglicher Begriff, den sie im Schadenfall gegen Sie auslegen können. Lassen Sie sich vom Makler schriftlich bestätigen, welche Patch-Fristen, welche Systeme und welche Ausnahmen erlaubt sind — und dass jährliche Penetrationstests nicht verlangt werden, wenn Sie keine durchführen wollen.

Was Sie dokumentieren müssen, um ein Schwachstellenmanagement nachzuweisen

  1. Asset-Inventar: Jedes System (Server, Client, Netzwerkgerät, IoT) mit Betriebssystem, Version, Patchstand und bekannten Schwachstellen.
  2. Patch-Policy: Schriftlich — "kritische CVEs binnen 14 Tagen, sonstige Sicherheitsupdates binnen 30 Tagen, Notfall-Patches sofort".
  3. Monitoring: Tool-gestützt (Intune, WSUS, NinjaOne, Datto RMM). Der Versicherer will Screenshots oder Exporte sehen.
  4. Ausnahmeprotokoll: Systeme, die aus Kompatibilitätsgründen nicht gepatcht werden, brauchen dokumentierte Ausgleichsmaßnahmen (Netzwerksegmentierung, virtuelles Patching).
  5. Regelmäßige Schwachstellen-Scans / Penetrationstests: Mindestens jährlich. Das Ergebnis fließt zurück in die Maßnahmenliste.
  6. Monatlicher Audit-Report: An die Geschäftsführung, archiviert — der Nachweis, dass die Informationssicherheit laufend gesteuert wird.

Wenn Ihr interner IT-Verantwortlicher dafür keine Zeit hat: Unsere Managed IT Services übernehmen genau diesen Dokumentationsaufwand — inklusive monatlichem Compliance-Report, den Sie eins zu eins dem Versicherer vorlegen können.

3. EDR/XDR statt klassischem Antivirus — schneller erkennen, Vorfall eindämmen

Wer heute mit "Wir haben ein Antivirenprogramm" zum Versicherer geht, bekommt im besten Fall eine sehr teure Police. Im Fragebogen steht stattdessen die Frage nach Endpoint Detection & Response (EDR) oder Extended Detection & Response (XDR) mit 24/7-Monitoring. Ohne diesen Baustein ist ein umfassender Schutz vor modernen Cyberangriffen kaum noch zu rechtfertigen.

Der Unterschied: Klassischer Antivirus arbeitet signaturbasiert und erkennt nur bekannte Schadsoftware. EDR beobachtet Prozesse, Dateizugriffe und Netzwerkverbindungen in Echtzeit, erkennt verdächtiges Verhalten (z. B. PowerShell, die Massenverschlüsselung startet) und kann Endpunkte automatisch isolieren. Das ist die Technik, mit der ein Ransomware-Vorfall um 02:00 Uhr nachts gestoppt wird, bevor Sie am Morgen ins Büro kommen — genau der Moment, in dem Betriebsunterbrechungen minimiert werden.

Akzeptierte EDR/XDR-Lösungen

Produkt Zielgröße Hinweis
Microsoft Defender for Endpoint (Plan 2) KMU bis Enterprise In Microsoft 365 E5 enthalten, oft schon lizenziert
CrowdStrike Falcon Enterprise, anspruchsvolle KMU Goldstandard, aber teurer
SentinelOne Singularity KMU bis Enterprise Starkes Preis-Leistungs-Verhältnis
Sophos Intercept X KMU Einfache Integration, deutscher Support

Wichtig ist der 24/7-Aspekt: Ein EDR-Tool allein genügt vielen Versicherern nicht mehr. Sie wollen ein Managed-SOC dahinter — echte Menschen, die rund um die Uhr Alarme triagieren und im Ernstfall eskalieren. Für KMU lohnt sich ein externer MSSP fast immer, weil ein eigenes 24/7-Team drei bis fünf Vollzeitkräfte bedeutet. Nur so lassen sich Schwachstellen in Echtzeit identifizieren und ein Vorfall eindämmen, bevor der Versicherer eine Meldung bekommt.

Unser Modul Managed Security kombiniert Microsoft Defender for Endpoint mit einem 24/7-Monitoring für KMU — Festpreis pro Arbeitsplatz, keine Überraschungsrechnung bei Zwischenfällen.

4. Datensicherung nach der 3-2-1-1-0-Regel

Die alte 3-2-1-Regel (3 Kopien, 2 Medien, 1 extern) genügt den Voraussetzungen für eine Cyberversicherung im Jahr 2026 nicht mehr. Der neue Standard für die Datensicherung heißt 3-2-1-1-0 und ergänzt zwei entscheidende Punkte: 1 Immutable/Offline-Kopie und 0 Fehler beim Restore-Test.

  • 3 Kopien der Daten — Produktivsystem + 2 Backups.
  • 2 verschiedene Medien für die Datensicherung — Disk, Tape, Cloud, Objektspeicher.
  • 1 Kopie offsite — geografisch getrennt vom Primärstandort.
  • 1 Kopie immutable oder air-gapped — unveränderbar, nicht durch Ransomware manipulierbar.
  • 0 Fehler beim regelmäßigen Restore-Test — lückenlos dokumentiert.

Immutable Backups sind das entscheidende neue Element. Die Kopie wird für einen definierten Zeitraum (meist 30–90 Tage) schreibgeschützt — selbst ein Angreifer mit Admin-Rechten kann sie nicht löschen oder verschlüsseln. Tools wie Veeam Hardened Repository, Wasabi Object Lock oder Azure Blob Storage mit Immutability-Policy setzen das technisch um. Details zur Umsetzung finden Sie in der Veeam-Dokumentation zu Air-Gap vs. Immutable Backups.

Praxis-Warnung:

Wir übernehmen regelmäßig Kunden, deren alter Dienstleister "tägliche Datensicherung" im Angebot hatte — aber kein Immutable-Repository und keinen Restore-Test. Im Schadenfall sind die Daten dann zwar technisch gesichert, aber vom Verschlüsselungstrojaner mit erwischt worden. Genau das prüft ein Cyber-Versicherer. Ohne saubere Datensicherung kein Versicherungsschutz.

Drei Monate komplett alles weg. Alles, was wir geschrieben haben, alles, was wir gemacht haben. Nur weil ein Mitarbeiter am Freitag noch eine externe Festplatte mit nach Hause genommen hat, hatten wir überhaupt noch einen Ausgangspunkt.

Bernd Kühn · Geschäftsführer, Sanitärbetrieb, 20–25 Mitarbeiter (nach Ransomware-Angriff)

Unser Modul Backup & Recovery setzt 3-2-1-1-0 als Standard um — inklusive automatisiertem monatlichem Restore-Test und Protokoll für den Versicherer. So wird die Datensicherung vom Kostenblock zum Baustein, der Betriebsunterbrechungen minimiert.

5. Privileged Access Management (PAM) — Zugriffskontrollen für Admin-Konten

Der Versicherer will wissen: Wer darf was, und wie lange? Gemeinsame Admin-Konten ("Administrator"/"admin123") sind ein K.o.-Kriterium. Ebenso: Mitarbeiter, die dauerhaft mit lokalen Admin-Rechten arbeiten. PAM bedeutet übersetzt: saubere Zugriffskontrollen für genau die Konten, die bei einem Cyberangriff das größte Risiko darstellen.

Die drei Kernanforderungen

  1. Getrennte Admin-Konten: Jeder Admin hat ein separates Konto für administrative Tätigkeiten — nicht das tägliche E-Mail-Konto. Damit ist der Phishing-Schaden begrenzt, wenn doch mal jemand auf einen Link klickt.
  2. Just-in-Time-Rechte: Admin-Rechte werden nur bei Bedarf temporär zugeteilt (z. B. über Microsoft Entra Privileged Identity Management). Nach 4 Stunden werden sie automatisch entzogen.
  3. LAPS für lokale Admin-Passwörter: Das Windows Local Administrator Password Solution rotiert automatisch alle lokalen Admin-Passwörter. Ein kompromittiertes Client-Passwort funktioniert nur auf genau diesem einen Rechner, nicht auf allen.

PAM gilt in den Risiko-Fragebögen als harte Voraussetzung für eine Cyberversicherung — nicht als Nice-to-have. Es kostet wenig in der Einrichtung (LAPS ist kostenlos, PIM in M365 E5 enthalten), wird aber von vielen KMU schlicht nicht implementiert. Genau diese Lücke ist für Versicherer ein rotes Tuch, weil sie das Risiko für Ransomware dramatisch erhöht.

6. Mitarbeiterschulungen mit dokumentiertem Nachweis

"Wir schulen unsere Mitarbeiter" reicht dem Versicherer nicht. Er will Schulungs-Logs sehen. Der Risiko-Fragebogen prüft konkret:

  • Finden regelmäßige Mitarbeiterschulungen zur Cyber-Sicherheit statt (jährlich reicht nicht, quartalsweise ist Standard)?
  • Gibt es Phishing-Simulationen mit Auswertung?
  • Wird die Teilnahme an jeder Schulung pro Mitarbeiter dokumentiert?
  • Werden Wiederholungstäter gezielt nachgeschult?
  • Schult die Geschäftsleitung selbst — und kann das nachgewiesen werden?

Der Grund ist einfach: Laut Hiscox Cyber Readiness Report 2025 beginnen die meisten erfolgreichen Cyberangriffe immer noch mit Phishing. Wer nachweisen kann, dass er seine Mitarbeiter regelmäßig mit einer Schulung sensibilisiert, bekommt bessere Policen und im Schadenfall weniger Diskussionen. Mitarbeiterschulungen sind damit kein weiches Thema, sondern eine harte technische Anforderung in jedem Fragebogen.

Unser Modul Security Awareness Training liefert monatliche Micro-Learnings, simulierte Phishing-Mails und den vollständigen Audit-Trail für den Versicherer — pro Mitarbeiter und Schulung dokumentiert. So wird jede Mitarbeiterschulung zur prüfbaren Pflichtleistung im Versicherungsvertrag.

7. Incident Response Plan — schriftlich, getestet, Vorfall eingedämmt

Der vielleicht am häufigsten unterschätzte Punkt im Fragebogen: Haben Sie einen schriftlichen Incident Response Plan? Die meisten KMU antworten reflexhaft mit "Ja" — und haben dann im Ernstfall nichts Konkretes in der Hand, wenn ein Vorfall eintritt.

Ein belastbarer Incident Response Plan beantwortet mindestens diese Fragen:

  • Wer ist Incident Commander — und wer ist die Vertretung, wenn derjenige im Urlaub ist?
  • Wen rufen Sie zuerst an? Telefonnummern auf Papier, nicht nur im verschlüsselten Outlook.
  • Welche Systeme werden in welcher Reihenfolge isoliert? Netzwerksegmentierung hilft nur, wenn klar ist, wo der Kill Switch sitzt und wie der Vorfall eingedämmt wird.
  • Welche Behörden müssen binnen 24 / 72 Stunden informiert werden? (BSI, Datenschutzbehörde, ggf. Versicherer.)
  • Wie kommunizieren Sie mit Mitarbeitern und Kunden? Vorlagen für E-Mail, Pressemitteilung, Social Media — fertig geschrieben.
  • Ab wann wird der Versicherer eingebunden? Die meisten Policen verlangen die Meldung des Vorfalls binnen 24 Stunden, sonst erlischt der Versicherungsschutz.

Der Incident Response Plan muss getestet sein. Mindestens einmal pro Jahr eine Tabletop-Übung — 2 Stunden, Flipchart, Szenario durchspielen. Klingt aufwendig, spart aber im Ernstfall Tage und minimiert Betriebsunterbrechungen drastisch. Wer sich an NIS-2 hält, erfüllt diese Anforderung automatisch — ein guter Einstieg dazu ist unser NIS-2-Check, der die Schwachstellen in Ihrer Organisation zeigt.

Das Wichtigste: Cyberversicherung ist kein Blankoscheck mehr. Wer 2026 abschließt oder verlängert, muss die technischen Voraussetzungen für eine Cyberversicherung vollständig erfüllen — sonst zahlt im Ernstfall niemand. Die gute Nachricht: 80 % dieser Voraussetzungen decken sich mit dem, was NIS-2, BSI-Grundschutz und eine vernünftige Informationssicherheit sowieso verlangen.

Voraussetzungen für eine Cyberversicherung im Überblick

Für eilige Leser hier die sieben Kernbausteine auf einen Blick — genau so, wie sie im Risiko-Fragebogen 2026 abgefragt werden:

# Voraussetzung Was Versicherer sehen wollen
1 Phishing-resistente MFA FIDO2/Passkeys auf E-Mail, VPN, Admin-Konten
2 Schwachstellenmanagement Patch-SLA 14/30 Tage, jährliche Penetrationstests
3 EDR/XDR mit 24/7 SOC Microsoft Defender / CrowdStrike / SentinelOne
4 Datensicherung 3-2-1-1-0 Immutable Backup + dokumentierter Restore-Test
5 Privileged Access Management Getrennte Admin-Konten, Just-in-Time, LAPS
6 Mitarbeiterschulungen Quartalsweise Schulung + Phishing-Simulation
7 Incident Response Plan Schriftlich, getestet, 24h-Meldekette

Wer alle sieben Punkte sauber umsetzt, erfüllt gleichzeitig die wichtigsten technischen Anforderungen von NIS-2, BSI IT-Grundschutz und der ISO 27001 — die Investition in Cyber-Sicherheit zahlt sich damit mehrfach aus.

Aus der Praxis: Was wir bei Hamburger KMU sehen

Bei unseren Neukunden in Hamburg sehen wir vor allem drei typische Szenarien, die direkt auf Schwachstellen in den Zugriffskontrollen, der Datensicherung oder den Mitarbeiterschulungen zurückgehen:

Szenario 1 — "Wir hatten das doch schon": Der Versicherungsmakler kommt mit dem Fragebogen, die IT gibt auf Zuruf Antworten, die Police wird unterschrieben. Sechs Monate später ein Ransomware-Vorfall, der Forensiker prüft, stellt Abweichungen fest — und der Versicherer kürzt die Leistung um 60 %. Das ist nicht Theorie, das passiert regelmäßig.

Szenario 2 — "Uns wurde ein Versicherungsschutz verweigert": Der Versicherer schaut sich die technische Landschaft an und lehnt ab. Der Kunde kommt zu uns, wir setzen innerhalb von 6–8 Wochen EDR, Multi-Faktor-Authentifizierung, Schwachstellenmanagement und Datensicherung nach 3-2-1-1-0 um — danach gibt es die Police, meist sogar zu besseren Konditionen.

Szenario 3 — "Unsere Prämie ist explodiert": 60 % Erhöhung bei der Verlängerung, weil der Versicherer den Risiko-Fragebogen neu bewertet hat. Hier hilft nur: die Schwachstellen technisch beheben, Mitarbeiterschulungen aufsetzen und vor der nächsten Verlängerung nachverhandeln. Viele Versicherer geben Rabatte, wenn Sie ein Audit-Protokoll eines externen Dienstleisters vorlegen können — genau das, was wir als Managed-Security-Partner routinemäßig ausstellen.

Gute Nachricht:

Wenn Sie die sieben Voraussetzungen aus diesem Artikel sauber umgesetzt haben, sind Sie gleichzeitig NIS-2-konform (oder sehr nahe dran), erfüllen den Großteil des BSI IT-Grundschutzes in der Informationssicherheit und können jeden Versicherer-Fragebogen mit gutem Gewissen ausfüllen. Die Investition minimiert Cyberangriffe messbar und zahlt sich im Ernstfall mehrfach aus.

Ihr nächster Schritt

Der Markt für Cyber-Versicherungen wird 2026 nicht einfacher. Immer mehr Versicherer lehnen KMU-Policen ab, die Prämien steigen weiter, und die Risiko-Fragebögen werden ausführlicher. Wer jetzt handelt, hat bei der nächsten Verlängerung die bessere Verhandlungsposition — und im Ernstfall eine Cyber-Versicherung, auf die er sich verlassen kann.

Wir bieten Hamburger Unternehmen einen Cyberversicherungs-Check: 15 Minuten kostenlos am Telefon, wir gehen Ihren Risiko-Fragebogen punkt für punkt durch und zeigen, wo technische Schwachstellen sind. Bei Bedarf erstellen wir danach ein konkretes Umsetzungsangebot zum Festpreis — inklusive Dokumentation, die Sie direkt dem Versicherer vorlegen können.

Cyberversicherungs-Check für Ihr Unternehmen

15 Minuten. Kostenlos. Ohne Vertriebsdruck. Wir prüfen Ihren Fragebogen und zeigen die technischen Schwachstellen.

Termin buchen →

Weitere Tiefenartikel zum Thema: unsere Cybersecurity-Services im Überblick, die technischen Details zu Managed Security, unser Leitfaden zur Datensicherung im Unternehmen, der Artikel zum NIS-2-Umsetzungsgesetz und die juristische Einordnung auf frag.hugo: Cyberversicherung für KMU.

Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Gespräch buchen Profil ansehen
Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Security-Check anfragen 040 284 10 26-0

Häufig gestellte Fragen

Versicherer verlangen heute mindestens phishing-resistente MFA (FIDO2), EDR/XDR mit 24/7-Monitoring, dokumentiertes Patch-Management mit SLAs (kritische Patches binnen 14 Tagen), Backups nach der 3-2-1-1-0-Regel inklusive Immutable-Kopie, Privileged Access Management, dokumentierte Security-Awareness-Trainings und einen schriftlichen Incident-Response-Plan.

Nein, immer seltener. Die meisten Versicherer fordern 2026 phishing-resistente MFA-Verfahren wie FIDO2-Hardware-Keys oder gerätegebundene Passkeys. SMS-Codes und klassische TOTP-Apps können durch Adversary-in-the-Middle-Angriffe umgangen werden und gelten nicht mehr als Stand der Technik.

3-2-1-1-0 bedeutet: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medien, davon 1 offsite, 1 immutable oder air-gapped, mit 0 Fehlern beim regelmäßigen Restore-Test. Das unveränderbare Backup stellt sicher, dass selbst Ransomware mit Admin-Rechten die Sicherung nicht löschen oder verschlüsseln kann. Versicherer sehen das 2026 als Standardanforderung für die Cyberversicherung.

Der Versicherer prüft im Schadenfall jede Angabe. Stellen sich Antworten als falsch heraus, kann die Leistung ganz verweigert oder stark gekürzt werden. Laut Branchenzahlen werden bereits rund 40 Prozent aller Cyber-Claims abgelehnt — meist wegen Falschangaben im Risiko-Fragebogen. Antworten Sie ehrlich und lassen Sie Schwachstellen vorher technisch schließen.

Rund 80 Prozent der Voraussetzungen für eine Cyberversicherung decken sich mit NIS-2, BSI IT-Grundschutz und vernünftiger Informationssicherheit. Viele Bausteine wie LAPS, Microsoft Entra PIM oder Immutable Blob Storage sind in bestehenden Microsoft-365-Lizenzen bereits enthalten. Als Managed Service kostet die komplette Umsetzung bei hagel IT ab etwa 50 Euro pro Arbeitsplatz und Monat — inklusive Dokumentation für den Versicherer.

Bei einem typischen KMU mit 20 bis 100 Mitarbeitern dauert die Kernumsetzung 6 bis 8 Wochen: MFA-Rollout, EDR-Einführung, Patch-Prozess mit Sicherheitsupdates, Datensicherung nach 3-2-1-1-0 und Incident Response Plan. Danach ist der Fragebogen sauber beantwortbar und die Police deutlich günstiger als bei lückenhaftem Versicherungsschutz.

Das könnte Sie auch interessieren

IT-Sicherheit

Disaster Recovery Plan: So schützen Sie Ihr Unternehmen vor dem Totalausfall
IT-Sicherheit

NIS-2 Beratung Hamburg: Was Geschäftsführer jetzt tun müssen
IT-Sicherheit

WatchGuard Firewall vom Gold Partner in Hamburg: Warum der Partnerstatus für Sie zählt