Wer seine IT ganz oder teilweise an ein Systemhaus, einen MSP oder freie Spezialisten auslagert, stößt bei der Cyberversicherung schnell auf eine heikle Frage: Reicht es dem Versicherer, dass ein externer Dienstleister sich um Sicherheit, Updates und Monitoring kümmert? Die kurze Antwort lautet: nein, jedenfalls nicht automatisch. Eine Cyberversicherung mit externer IT ist versicherbar, aber nur dann tragfähig, wenn Verantwortlichkeiten, technische Standards und vertragliche Regelungen sauber zusammenpassen.

Warum externe IT die Cyberversicherung nicht einfacher macht

Viele Unternehmen gehen verständlicherweise davon aus, dass ein professioneller IT-Dienstleister die Versicherbarkeit verbessert. Das kann stimmen. In der Praxis sehen Versicherer externe IT aber nicht als Ersatz für klare Sicherheitsorganisation, sondern als zusätzlichen Prüfpunkt. Denn ausgelagerte IT schafft Schnittstellen, und genau dort entstehen im Schadenfall oft Diskussionen.

Der Versicherer will wissen, wer welche Systeme betreut, wer sicherheitsrelevante Entscheidungen trifft und wie die Umsetzung kontrolliert wird. Wenn diese Fragen nur allgemein beantwortet werden – etwa mit „macht unser IT-Partner“ – reicht das selten aus. Aus Sicht des Underwritings ist nicht entscheidend, ob die IT intern oder extern organisiert ist. Entscheidend ist, ob der Sicherheitsstatus nachvollziehbar, belastbar und dokumentiert ist.

Gerade im Mittelstand ist das ein häufiger Engpass. Die Geschäftsführung verlässt sich operativ auf den Dienstleister, hat aber keine vollständige Transparenz über Backup-Konzept, Patch-Management, Zugriffsschutz oder Notfallabläufe. Für den Versicherer ist das kein Formalproblem, sondern ein Risikoindikator.

Cyberversicherung mit externer IT: Worauf Versicherer achten

Versicherer prüfen bei einer Cyberversicherung mit externer IT typischerweise nicht nur die Technik, sondern auch das Zusammenspiel zwischen Unternehmen und Dienstleister. Sie wollen erkennen, ob Sicherheitsmaßnahmen tatsächlich betrieben werden oder nur vertraglich irgendwo erwähnt sind.

Besonders relevant ist die Frage der Zuständigkeit. Wenn Multifaktor-Authentifizierung eingeführt sein soll, wer setzt sie um und auf welchen Systemen? Wenn kritische Sicherheitsupdates innerhalb definierter Fristen eingespielt werden müssen, wer überwacht das? Wenn Backups als versicherungsrelevante Voraussetzung gelten, wer prüft regelmäßig die Wiederherstellbarkeit? Je klarer diese Punkte beschrieben sind, desto besser.

Hinzu kommt die Nachweisfähigkeit. Viele Unternehmen haben sinnvolle Maßnahmen etabliert, können sie aber bei Antragstellung oder im Schadenfall nicht sauber belegen. Dann entsteht ein unnötiges Deckungsrisiko. Versicherer fragen heute deutlich präziser nach als noch vor wenigen Jahren. Allgemeine Aussagen zur „Betreuung durch externes IT-Team“ wirken dann schnell zu pauschal.

Der häufigste Irrtum: Verantwortung kann nicht ausgelagert werden

Ein externer IT-Dienstleister kann Aufgaben übernehmen, Prozesse steuern und Sicherheitsmaßnahmen umsetzen. Die Verantwortung für die Auswahl, Steuerung und Kontrolle bleibt trotzdem beim Unternehmen. Das gilt operativ, regulatorisch und versicherungsseitig.

Für Geschäftsführer ist dieser Punkt besonders relevant. Wer annimmt, ein Dienstleistervertrag verschiebe die Verantwortung vollständig nach außen, unterschätzt die eigene Rolle. Versicherer sehen das ähnlich. Sie erwarten keine tieftechnische Expertise auf Geschäftsführungsebene, aber sie erwarten eine nachvollziehbare Governance. Es muss erkennbar sein, dass Sicherheitsanforderungen definiert, Zuständigkeiten zugewiesen und kritische Maßnahmen kontrolliert werden.

Das ist kein Misstrauen gegenüber externen IT-Partnern. Im Gegenteil: Gute Dienstleister erleichtern den Weg zur Versicherbarkeit deutlich. Aber die Zusammenarbeit muss strukturiert sein. Ohne klare Steuerung bleibt selbst ein fachlich starkes Setup aus Sicht der Versicherung angreifbar.

Welche Unterlagen und Informationen wirklich helfen

Im Antragsprozess zählen keine Hochglanzbeschreibungen, sondern belastbare Fakten. Unternehmen mit externer IT sind gut beraten, die eigene Sicherheitsorganisation so darzustellen, dass der Versicherer keine Lücken vermuten muss.

Hilfreich sind ein sauber abgegrenzter Leistungsumfang des IT-Dienstleisters, eine Übersicht betreuter Systeme und ein klares Bild der sicherheitskritischen Maßnahmen. Dazu gehören typischerweise Zugriffsschutz, Backup und Recovery, Patch-Management, E-Mail-Sicherheit, Endpoint-Schutz, Administratorrechte, Protokollierung und Reaktionswege bei Vorfällen. Ebenso wichtig ist die Frage, ob und wie diese Maßnahmen regelmäßig geprüft werden.

Nicht jedes Unternehmen braucht dafür ein komplexes Auditpaket. Aber die Angaben müssen konsistent sein. Wenn im Antrag von zentral gemanagten Updates die Rede ist, sollte der Dienstleister diese Aussage auch fachlich tragen können. Wenn Backups als vorhanden genannt werden, sollte klar sein, in welchen Intervallen gesichert, getrennt gespeichert und Wiederherstellungen getestet werden. Genau an solchen Punkten trennt sich belastbare Versicherbarkeit von bloßer Hoffnung.

Wo es im Schadenfall kritisch werden kann

Die eigentliche Bewährungsprobe beginnt nicht beim Antrag, sondern beim Vorfall. Dann zeigt sich, ob externe IT, interne Zuständigkeiten und Versicherungsschutz wirklich zusammenpassen. Problematisch wird es häufig dann, wenn der Dienstleister zwar operativ eingebunden ist, aber Eskalationswege, Dokumentation oder Sicherheitszusagen unklar geblieben sind.

Ein typisches Risiko liegt in Missverständnissen über den Betreuungsumfang. Das Unternehmen geht davon aus, dass der Dienstleister rund um die Uhr überwacht. Der Dienstleister sieht seine Leistung nur als werktäglichen Support. Oder es wird angenommen, dass bestimmte Cloud-Dienste mit abgesichert und administriert werden, obwohl sie nie Teil des vereinbarten Scopes waren. Solche Lücken sind nicht nur technisch unangenehm, sondern können im Schadenfall die Diskussion über Obliegenheiten und Sorgfaltspflichten verschärfen.

Auch unklare Verantwortlichkeiten bei privilegierten Zugängen sind sensibel. Wer verwaltet Admin-Konten? Wer prüft Altzugänge? Wer entzieht Berechtigungen bei Personalwechsel? Wenn externe IT eingebunden ist, müssen diese Fragen besonders sauber geregelt sein. Sonst entsteht schnell eine Gemengelage, in der niemand eindeutig zuständig war.

Externe IT kann die Versicherbarkeit verbessern – wenn das Modell passt

Es wäre falsch, externe IT grundsätzlich als Problem darzustellen. Viele kleine und mittelständische Unternehmen erreichen erst durch ein gutes Systemhaus oder einen spezialisierten MSP ein Sicherheitsniveau, das intern gar nicht realistisch wäre. Standardisierte Betreuung, zentrale Verwaltung, definierte Prozesse und dokumentierte Kontrollen können die Risikosituation deutlich verbessern.

Versicherer honorieren das häufig, wenn die Struktur nachvollziehbar ist. Positiv wirken ein professioneller Betriebsansatz, klare Sicherheitsstandards, regelmäßige Abstimmungen und eine realistische Risikodarstellung. Wer offenlegt, welche Leistungen extern erbracht werden und wo interne Verantwortlichkeiten verbleiben, schafft Vertrauen. Wer dagegen versucht, Unsicherheiten hinter allgemeinen Formulierungen zu verbergen, erschwert die Platzierung unnötig.

Es hängt also nicht davon ab, ob externe IT genutzt wird, sondern wie. Ein reaktiver Supportvertrag ohne klare Sicherheitsverantwortung ist etwas anderes als ein betreutes Modell mit definierten Maßnahmen, Reporting und vertraglich geregelten Reaktionswegen.

So sollte die Abstimmung zwischen Unternehmen, IT und Makler laufen

Der beste Weg zur belastbaren Cyberversicherung führt selten über isolierte Einzelgespräche. Sinnvoll ist ein abgestimmter Prozess zwischen Geschäftsführung, IT-Verantwortlichen, externem Dienstleister und spezialisiertem Makler. Dann lassen sich technische Realität, Versichererfragen und Deckungsziele zusammenführen, bevor aus Unklarheiten Antragsprobleme werden.

In der Praxis bedeutet das: Zuerst wird geklärt, wie die IT-Landschaft tatsächlich betrieben wird. Danach folgt die Frage, welche Anforderungen Versicherer an genau dieses Setup stellen. Erst dann sollte der Antrag so formuliert werden, dass er fachlich sauber und deckungsseitig tragfähig ist. Dieser Ablauf spart Zeit und reduziert das Risiko widersprüchlicher Angaben.

Gerade bei Unternehmen mit gewachsener Infrastruktur, mehreren Dienstleistern oder hybriden Zuständigkeiten ist diese Vorarbeit entscheidend. Sie verbessert nicht nur die Versicherbarkeit, sondern auch die Qualität des eigenen Risikomanagements. CyberShield begleitet solche Abstimmungen regelmäßig, weil gute Cyberversicherung nicht bei der Police beginnt, sondern bei der belastbaren Übersetzung technischer Realität in versicherbare Struktur.

Was Unternehmen vor dem Abschluss prüfen sollten

Bevor eine Police gezeichnet oder verlängert wird, sollten drei Fragen sauber beantwortet sein. Erstens: Welche Sicherheitsmaßnahmen gelten laut Antrag als vorhanden, und sind sie im Alltag tatsächlich umgesetzt? Zweitens: Welche Aufgaben übernimmt die externe IT wirklich, und wo verbleibt Verantwortung im Unternehmen? Drittens: Passt die Deckung zu den realen Betriebsabhängigkeiten, Dienstleisterbeziehungen und Wiederanlaufkosten?

Gerade bei bestehenden Policen lohnt sich ein kritischer Blick. Viele Verträge wurden auf Basis älterer Risikobilder abgeschlossen, während sich IT-Betrieb, Cloud-Nutzung und Dienstleisterstruktur längst verändert haben. Dann kann eine formal bestehende Cyberversicherung trügerische Sicherheit erzeugen. Maßgeblich ist nicht, dass eine Police existiert, sondern dass sie zum aktuellen Betriebsmodell passt.

Wer externe IT nutzt, sollte Cyberversicherung deshalb nicht als Einkaufsentscheidung behandeln, sondern als Teil der Sicherheitsarchitektur. Präventive Maßnahmen, technische Betreuung und finanzieller Risikotransfer müssen zueinander passen. Genau dort entsteht belastbarer Schutz – nicht durch Annahmen, sondern durch Klarheit.