Wer eine Cyberversicherung beantragt, merkt schnell: Es geht nicht nur um einen Antrag, sondern um belastbare Antworten. Genau deshalb lautet eine der häufigsten Fragen im Mittelstand: Welche Nachweise verlangen Cyberversicherer tatsächlich – und wie detailliert müssen diese ausfallen? Die kurze Antwort ist: weniger Hochglanz, mehr überprüfbare Praxis. Versicherer wollen heute sehen, ob grundlegende Sicherheitsmaßnahmen nicht nur geplant, sondern im Unternehmen wirksam umgesetzt sind.

Für Geschäftsführer und IT-Verantwortliche ist das ein entscheidender Punkt. Denn im Underwriting zählt nicht, ob Sicherheit intern „eigentlich vorhanden“ ist, sondern ob sie nachvollziehbar dokumentiert, technisch eingerichtet und organisatorisch getragen wird. Gerade bei Ransomware-Risiken, Datenschutzvorfällen und steigenden Anforderungen aus NIS2-nahen Strukturen prüfen Versicherer deutlich genauer als noch vor wenigen Jahren.

Welche Nachweise verlangen Cyberversicherer im Kern?

In der Praxis fragen Cyberversicherer selten nach einem einzelnen Dokument. Sie prüfen vielmehr ein Gesamtbild aus technischen Kontrollen, organisatorischen Regeln und verlässlicher Zuständigkeit. Die Nachweise sollen belegen, dass das Unternehmen ein Mindestniveau an Cyberhygiene erreicht hat und bekannte Einfallstore angemessen absichert.

Besonders häufig geht es um Multifaktor-Authentifizierung, Patch- und Update-Prozesse, Datensicherungen, Berechtigungskonzepte, Endpoint-Schutz, E-Mail-Sicherheit sowie Notfall- und Wiederanlaufplanung. Hinzu kommen Angaben zu ausgelagerten IT-Dienstleistungen, Remote-Zugängen, Cloud-Nutzung und internen Freigabeprozessen. Je nach Branche, Umsatz, Schadenvorgeschichte und IT-Komplexität kann die Prüftiefe deutlich steigen.

Entscheidend ist dabei ein Missverständnis auszuräumen: Versicherer erwarten nicht zwingend perfekte Konzernstrukturen. Sie erwarten aber, dass ein Unternehmen seine Risiken kennt, Maßnahmen nachvollziehbar umgesetzt hat und kritische Schutzmechanismen nicht nur auf dem Papier existieren.

Technische Nachweise: Was wirklich belegt werden muss

Am häufigsten scheitern Anträge nicht an fehlender Absicht, sondern an unklarer technischer Umsetzung. Wenn ein Unternehmen etwa angibt, MFA sei aktiv, der Versicherer aber nachfragt, ob dies auch für Administrator-Zugänge, VPN, Webmail und Microsoft-365-Accounts gilt, wird aus einer einfachen Ja/Nein-Antwort schnell ein Prüfpunkt.

Typische Nachweise sind deshalb Screenshots aus Administrationsoberflächen, Systemdokumentationen, Richtlinien mit Umsetzungsbezug oder Bestätigungen des IT-Dienstleisters. Bei Backups reicht die Aussage „wir sichern täglich“ oft nicht mehr aus. Gefragt wird vielmehr, ob Sicherungen offline oder unveränderbar aufbewahrt werden, ob Wiederherstellungstests stattfinden und ob produktive Systeme von den Backup-Systemen logisch getrennt sind.

Auch beim Patchmanagement wollen Versicherer mehr als eine allgemeine Prozessbeschreibung. Relevant ist, ob kritische Sicherheitsupdates zeitnah eingespielt werden, wie Server und Clients verwaltet werden und ob veraltete, nicht mehr unterstützte Systeme noch im Einsatz sind. Ähnlich verhält es sich beim Endpoint-Schutz: Die Angabe „Antivirus vorhanden“ wirkt heute zu dünn. Häufig wird nach zentral verwalteten Sicherheitslösungen, Monitoring oder zusätzlichen Schutzmechanismen gegen Ransomware gefragt.

Organisatorische Nachweise sind oft genauso wichtig

Cyberrisiken entstehen nicht nur durch Technik, sondern auch durch fehlende Zuständigkeiten und unsaubere Abläufe. Deshalb verlangen Cyberversicherer regelmäßig Nachweise dazu, wie Sicherheit intern organisiert ist. Dazu gehören IT-Sicherheitsrichtlinien, Berechtigungsfreigaben, Joiner-Mover-Leaver-Prozesse, Regelungen für mobile Arbeit und der Umgang mit Dienstleistern.

Gerade kleinere Unternehmen unterschätzen diesen Teil. Sie haben technische Maßnahmen eingeführt, können aber nicht belegen, wer administrative Rechte freigibt, wie Benutzerkonten bei Austritten deaktiviert werden oder wie auf Sicherheitsvorfälle reagiert werden soll. Für den Versicherer ist das relevant, weil viele Schäden nicht aus einer einzigen Schwachstelle entstehen, sondern aus einer Kette von Versäumnissen.

Ein sauberer Notfallplan ist deshalb mehr als ein Formalismus. Er zeigt, ob das Unternehmen im Ernstfall handlungsfähig bleibt, Zuständigkeiten kennt und externe Unterstützung geordnet einbinden kann. Nicht jeder Versicherer verlangt ein ausgereiftes Incident-Response-Handbuch. Aber je höher die gewünschte Deckung und je komplexer die Organisation, desto eher wird ein solcher Nachweis zum Standard.

Welche Dokumente werden konkret angefragt?

Die konkrete Liste unterscheidet sich nach Versicherer und Risikoprofil. In vielen Fällen werden jedoch ähnliche Unterlagen oder Belege erwartet. Dazu zählen ausgefüllte Risikofragebögen, Netzwerk- und Systemübersichten, Backup- und Wiederherstellungskonzepte, MFA-Nachweise, Sicherheitsrichtlinien, Schulungsnachweise oder Bestätigungen durch den IT-Dienstleister. Bei stärker regulierten oder größeren Unternehmen kommen gelegentlich Prüfberichte, Zertifizierungsbezüge oder Ergebnisse externer Assessments hinzu.

Wichtig ist: Nicht jedes Dokument muss in perfekter Audit-Form vorliegen. Aber es sollte konsistent sein. Wenn der Fragebogen zentrale Sicherheitsmaßnahmen bestätigt, die interne Dokumentation aber Lücken zeigt oder der Dienstleister abweichende Aussagen trifft, entsteht ein Glaubwürdigkeitsproblem. Genau das verzögert die Zeichnung oder führt zu Einschränkungen.

Welche Nachweise verlangen Cyberversicherer bei bestehenden Policen?

Auch bei laufenden Verträgen endet die Prüfung nicht mit der Erstzeichnung. Bei Verlängerungen werden Antworten oft aktualisiert, teils deutlich kritischer als in der Vergangenheit. Versicherer fragen dann nach geänderten IT-Strukturen, Sicherheitsvorfällen, Outsourcing-Konstellationen oder neu eingeführten Schutzmaßnahmen. Wer im Vorjahr nur allgemeine Zusagen gemacht hat, muss diese nun unter Umständen belastbarer belegen.

Besonders heikel wird es, wenn eine Police auf früheren Angaben beruht, die heute nicht mehr zutreffen. Wenn MFA zwischenzeitlich nur teilweise genutzt wird, Backups nicht wie beschrieben getestet werden oder Administratorrechte ungeordnet wachsen, kann daraus nicht nur ein Underwriting-Problem werden. Es berührt auch die Frage, ob Angaben zur Risikosituation sauber und dauerhaft tragfähig waren.

Für Unternehmen mit bestehender Cyberversicherung lohnt sich deshalb eine regelmäßige Plausibilitätsprüfung. Nicht mit dem Ziel, ein perfektes Bild zu zeichnen, sondern um Widersprüche zwischen Police, Antrag und realer Sicherheitslage rechtzeitig zu erkennen.

Warum viele Unternehmen trotz guter IT an den Nachweisen scheitern

In vielen Projekten zeigt sich derselbe Befund: Die Sicherheitsmaßnahmen sind teilweise vorhanden, aber nicht sauber dokumentiert oder nicht eindeutig einem Verantwortlichen zugeordnet. Das ist kein seltenes KMU-Problem, sondern ein typischer Reifegradkonflikt zwischen IT-Betrieb und Versicherungslogik.

IT denkt häufig in Systemen, Verfügbarkeit und pragmatischer Umsetzung. Versicherer denken in Nachweisbarkeit, Ausschlussrisiken und Schadenwahrscheinlichkeit. Beides muss zusammengebracht werden. Eine funktionierende MFA ohne klare Abdeckung aller kritischen Zugänge ist aus Versicherungssicht nur bedingt belastbar. Ein Backup ohne Wiederherstellungstest ist besser als gar keines, aber eben kein starker Nachweis für Resilienz.

Genau deshalb ist die Vorbereitung auf die Versicherbarkeit keine reine Formulararbeit. Sie ist eine Übersetzungsleistung zwischen technischer Realität, Management-Verantwortung und den Erwartungen des Marktes.

Wie Unternehmen sich sinnvoll vorbereiten

Der sinnvollste Ansatz ist nicht, erst beim Antrag hektisch Unterlagen zu sammeln. Besser ist eine strukturierte Vorprüfung entlang der typischen Versichererfragen. Dabei wird geklärt, welche Schutzmaßnahmen tatsächlich umgesetzt sind, wo Nachweise fehlen und welche Aussagen im Antrag belastbar getroffen werden können.

Gerade im Mittelstand ist die Zusammenarbeit mit dem internen oder externen IT-Verantwortlichen entscheidend. Viele Antworten lassen sich erst dann sauber geben, wenn technische und organisatorische Sicht zusammengeführt werden. Wer nur den Fragebogen ausfüllt, ohne Systeme und Prozesse dahinter zu prüfen, produziert leicht falsche Sicherheit.

Sinnvoll ist auch, kritische Punkte vorab offen zu adressieren. Nicht jede Lücke macht ein Unternehmen unversicherbar. Aber unausgesprochene Lücken sind im Underwriting fast immer problematischer als bekannte, eingeordnete und mit Maßnahmen versehene Defizite. Versicherer reagieren eher auf Transparenz mit realistischer Risikobewertung als auf pauschale Vollständigkeitsbehauptungen.

Ein spezialisierter Makler kann hier echten Mehrwert schaffen, wenn er nicht nur Policen vergleicht, sondern die Anforderungen der Versicherer mit der Sicherheitsrealität des Unternehmens abgleicht. Genau an dieser Schnittstelle liegt oft der Unterschied zwischen einem ablehnenden Marktfeedback und einer tragfähigen Lösung.

Was Geschäftsführer daraus mitnehmen sollten

Die Frage, welche Nachweise Cyberversicherer verlangen, ist am Ende keine reine Versicherungsfrage. Sie berührt Geschäftsfortführung, Haftungsbewusstsein und die Fähigkeit, Sicherheit nach außen belastbar darzustellen. Für Geschäftsführer bedeutet das: Cyberversicherung ist nicht der Ersatz für IT-Sicherheit, sondern ihre finanzielle und operative Ergänzung.

Wer Nachweise erst dann ernst nimmt, wenn der Versicherer sie fordert, reagiert meist zu spät. Wer sie als Teil der eigenen Risikosteuerung versteht, verbessert nicht nur die Versicherbarkeit, sondern häufig auch die interne Sicherheitsreife. Das zahlt sich doppelt aus – im Underwriting und im Ernstfall.

Wenn Ihr Unternehmen die technischen Anforderungen grundsätzlich erfüllt, aber unsicher ist, ob die vorhandenen Maßnahmen auch versicherungsfähig dokumentiert sind, lohnt sich ein nüchterner Blick von außen. Nicht um mehr Papier zu erzeugen, sondern um aus vorhandener Sicherheit belastbare Versicherbarkeit zu machen.