Wer eine Cyberversicherung beantragt, merkt schnell: Es geht nicht nur um einen Fragebogen. Versicherer prüfen, ob technische Schutzmaßnahmen, interne Abläufe und Verantwortlichkeiten belastbar genug sind, um ein Risiko überhaupt zu zeichnen. Genau deshalb sollten Unternehmen ein Cyber Audit für Versicherbarkeit vorbereiten, bevor der Antrag gestellt oder erneuert wird.

Warum der Audit-Blick über die Police entscheidet

Viele Unternehmen gehen davon aus, dass ihre IT „eigentlich ganz ordentlich“ aufgestellt ist. Für die Versicherbarkeit reicht diese Einschätzung jedoch selten aus. Ein Underwriter bewertet keine Absicht, sondern Nachweise. Entscheidend ist, ob zentrale Sicherheitsmaßnahmen dokumentiert, umgesetzt und im Alltag tragfähig sind.

Dabei geht es nicht nur um Technik. Auch organisatorische Fragen spielen eine große Rolle: Wer verantwortet Zugriffe? Wie werden kritische Änderungen freigegeben? Gibt es geregelte Reaktionswege bei Sicherheitsvorfällen? Gerade im Mittelstand entstehen hier Lücken, weil Prozesse gewachsen, aber nie auditfähig beschrieben worden sind.

Ein sauber vorbereiteter Audit-Prozess verbessert daher nicht nur die Chance auf Annahme. Er reduziert auch das Risiko, dass im Schadenfall Diskussionen über unklare Angaben, unvollständige Sicherheitsmaßnahmen oder missverständliche Selbstauskünfte entstehen.

Cyber Audit für Versicherbarkeit vorbereiten – worauf Versicherer wirklich achten

Versicherer fragen selten aus Interesse an Theorie. Sie wollen wissen, ob typische Schadenszenarien – vor allem Ransomware, Kompromittierung von Zugängen und Betriebsunterbrechungen – mit angemessenen Maßnahmen adressiert sind. Besonders relevant sind Identitäts- und Zugriffsmanagement, Absicherung privilegierter Konten, Backup-Konzept, Patch- und Update-Prozesse, Endpoint-Schutz, E-Mail-Sicherheit und Reaktionsfähigkeit bei Vorfällen.

Dabei gilt: Nicht jede Maßnahme muss auf Konzernniveau umgesetzt sein. Für kleine und mittelständische Unternehmen zählt eher, ob das Sicherheitsniveau konsistent, plausibel und zur Unternehmensrealität passend ist. Ein gut dokumentierter Standard mit klaren Zuständigkeiten ist oft belastbarer als eine Mischung aus Einzellösungen ohne Nachweis.

Versicherer unterscheiden zudem zwischen vorhandenen Kontrollen und tatsächlich gelebten Kontrollen. Ein Backup ist kein starkes Argument, wenn unklar bleibt, wie oft es getestet wird, wie es gegen Manipulation geschützt ist oder wer im Ernstfall die Wiederherstellung verantwortet. Ebenso wirkt Multi-Factor Authentication nur dann überzeugend, wenn sie nicht auf einzelne Admin-Zugänge beschränkt bleibt, während andere kritische Zugänge ungeschützt sind.

Der häufigste Fehler: Antrag zuerst, Aufbereitung später

In der Praxis beginnt der Aufwand oft zu spät. Der Versicherungsantrag liegt bereits auf dem Tisch, einzelne Fragen werden intern weitergereicht, und am Ende versucht man, komplexe Sicherheitsstrukturen in knappe Antwortfelder zu pressen. Genau an dieser Stelle entstehen Widersprüche. Die IT meint mit „MFA vorhanden“ vielleicht einen Teilbereich. Der Versicherer versteht darunter eine unternehmensweit etablierte Kontrolle für alle relevanten Zugänge.

Wer das Cyber Audit für Versicherbarkeit vorbereiten will, sollte deshalb zuerst die prüfbaren Tatsachen sammeln und erst danach den Antrag formulieren. Das ist kein Formalismus, sondern Risikosteuerung. Denn ungenaue oder überoptimistische Angaben können später gravierender sein als eine offen benannte, aber sauber eingeordnete Lücke mit Maßnahmenplan.

Welche Unterlagen und Nachweise sinnvoll sind

Ein Audit für Versicherbarkeit ist keine akademische Übung. Es braucht Unterlagen, die den Ist-Zustand nachvollziehbar machen. Dazu gehören typischerweise Richtlinien für Zugriffsrechte, Nachweise zur MFA-Nutzung, Informationen zum Backup-Design, Testprotokolle für Wiederherstellungen, Patch- und Update-Prozesse, Notfall- oder Incident-Abläufe sowie eine Übersicht über ausgelagerte IT-Dienstleistungen.

Ebenso wichtig ist eine aktuelle Darstellung der Systemlandschaft in der Form, die für das Underwriting relevant ist. Niemand erwartet vollständige technische Tiefenanalysen. Aber ein Unternehmen sollte erklären können, welche Systeme geschäftskritisch sind, wo sensible Daten verarbeitet werden, wie externe Zugriffe abgesichert sind und welche Dienstleister administrative Rollen übernehmen.

Wenn Sicherheitsmaßnahmen nur mündlich bekannt sind, aber nicht dokumentiert, sinkt die Glaubwürdigkeit. Umgekehrt kann eine knappe, klare Dokumentation sehr wirkungsvoll sein. Nicht die Seitenzahl überzeugt, sondern die Konsistenz zwischen Fragebogen, IT-Realität und Verantwortungsstruktur.

So läuft die Vorbereitung in der Praxis sinnvoll ab

Der beste Ansatz ist ein strukturierter Vorab-Check. Zunächst wird geklärt, welche Anforderungen für den konkreten Versicherungsmarkt und die jeweilige Unternehmensgröße realistisch relevant sind. Danach folgt die Aufnahme des Ist-Zustands: Welche Kontrollen sind umgesetzt, welche nur teilweise, welche fehlen noch?

Im nächsten Schritt sollten kritische Abweichungen priorisiert werden. Nicht jede Lücke ist sofort ein Ausschlusskriterium. Es gibt Maßnahmen, die für viele Versicherer praktisch vorausgesetzt werden, etwa MFA für privilegierte Zugänge, segmentierte und geschützte Backups oder ein belastbarer Patch-Prozess. Andere Punkte sind eher ein Thema für Risikobewertung und Prämienniveau als für die grundsätzliche Annahme.

Entscheidend ist dann die Übersetzung in versicherbare Sprache. IT-Teams arbeiten technisch korrekt, aber nicht immer in Begriffen, die Underwriter sofort einordnen können. Geschäftsführungen wiederum kennen die betriebliche Relevanz, aber nicht jedes Detail der Umsetzung. Genau zwischen diesen Ebenen muss die Vorbereitung vermitteln.

Cyber Audit für Versicherbarkeit vorbereiten heißt auch: Zuständigkeiten klären

Viele Audits geraten ins Stocken, weil niemand eindeutig verantwortlich ist. Die IT kümmert sich um Systeme, die Geschäftsführung unterschreibt den Antrag, und externe Dienstleister betreiben Teilbereiche der Infrastruktur. Ohne klare Zuordnung bleibt offen, wer Aussagen fachlich bestätigt und wer Maßnahmen nachhält.

Für die Versicherbarkeit ist das heikel. Versicherer erwarten, dass Sicherheitsmaßnahmen nicht zufällig funktionieren, sondern organisatorisch verankert sind. Wenn ein Systemhaus die Firewall betreut, ersetzt das keine interne Verantwortlichkeit. Das Unternehmen selbst muss wissen, welche Kontrollen vorhanden sind, wie sie überwacht werden und wann Eskalation erfolgt.

Gerade bei wachsenden Unternehmen zeigt sich hier ein typischer Reifeunterschied. Technische Leistungen wurden eingekauft, aber Governance nicht mitentwickelt. Das lässt sich aufarbeiten – allerdings nicht in letzter Minute vor Vertragsablauf.

Wo Mittelständler regelmäßig unterschätzt werden

Ein häufiger Irrtum lautet, dass hohe Anforderungen nur große Unternehmen betreffen. Tatsächlich geraten auch kleinere Betriebe zunehmend in den Fokus, weil Angriffe automatisiert erfolgen und Betriebsunterbrechungen schnell existenzielle Folgen haben können. Versicherer wissen das und prüfen deshalb heute strukturierter als noch vor wenigen Jahren.

Das bedeutet aber nicht, dass jedes Unternehmen dieselbe Kontrolltiefe braucht. Ein Produktionsbetrieb, ein Dienstleister mit vielen Kundendaten und ein Handelsunternehmen mit stark ausgelagerter IT haben unterschiedliche Risikoprofile. Die Vorbereitung sollte daher nicht nach Schema F erfolgen. Relevant ist, ob die Sicherheitsarchitektur zum tatsächlichen Geschäftsmodell passt und ob sie nachvollziehbar erklärt werden kann.

Genau hier lohnt sich eine unabhängige Sicht. Wer Anforderungen nur als Checkliste behandelt, verpasst oft die eigentliche Frage: Reicht das vorhandene Niveau, um den Betrieb versicherbar und den Schadenfall beherrschbar zu machen?

Zwischen Compliance, IT-Sicherheit und Versicherbarkeit

Versicherbarkeit ist nicht identisch mit Compliance, und Compliance ist nicht identisch mit wirksamer Sicherheit. Die Bereiche überschneiden sich, aber sie verfolgen unterschiedliche Ziele. Ein Unternehmen kann regulatorisch gut aufgestellt sein und dennoch Probleme im Underwriting bekommen, wenn elementare Sicherheitskontrollen nicht sauber nachweisbar sind. Umgekehrt ersetzt eine versicherbare Darstellung keine strategische Sicherheitssteuerung.

Für Entscheider ist deshalb wichtig, diese Ebenen nicht zu vermischen. Das Cyber Audit zur Versicherbarkeit soll zeigen, dass relevante Risiken erkannt, gesteuert und dokumentiert sind. Es ist kein Ersatz für interne Revision, keine Zertifizierung und auch kein bloßes Vertriebsdokument für den Versicherungsantrag. Es ist die Grundlage dafür, dass Risikotransfer überhaupt belastbar möglich wird.

Ein spezialisierter Makler wie CyberShield kann dabei sinnvoll moderieren, weil er sowohl die Sprache der Versicherer als auch die praktische Umsetzbarkeit im Unternehmen und beim IT-Dienstleister einordnen kann. Gerade bei Erneuerungen mit verschärften Anforderungen spart das Zeit und vermeidet Fehlannahmen.

Was vor der Einreichung noch geprüft werden sollte

Bevor Unterlagen an Versicherer gehen, sollte eine letzte Plausibilitätsprüfung erfolgen. Stimmen die Angaben im Antrag mit dem tatsächlichen Stand überein? Sind Ausnahmen kenntlich gemacht? Gibt es Maßnahmen, die zwar beschlossen, aber noch nicht umgesetzt sind? Dann gehören sie nicht als vorhanden deklariert, sondern sauber eingeordnet.

Ebenso sollte geprüft werden, ob die Geschäftsführung die Tragweite der Antworten verstanden hat. Cyberversicherungen sind kein Standardprodukt mehr, bei dem man unpräzise Formulierungen folgenlos hinnimmt. Je klarer ein Unternehmen seine Sicherheitslage beschreibt, desto belastbarer wird die Verhandlungsbasis.

Wer die Vorbereitung ernst nimmt, verbessert nicht nur die Versicherbarkeit. Er gewinnt einen realistischeren Blick auf eigene Abhängigkeiten, Prioritäten und Haftungsrisiken. Genau das ist der Punkt, an dem aus einem lästigen Audit ein sinnvoller Steuerungsprozess wird – nicht für Papier, sondern für belastbare Entscheidungen.