Wer heute eine Cyberversicherung beantragt, wird nicht mehr nur nach Umsatz, Branche und Schadenhistorie gefragt. Im Mittelpunkt stehen Cyber Mindeststandards – wie Versicherer prüfen, ob ein Unternehmen im Ernstfall überhaupt als versicherbar gilt. Genau hier entstehen in der Praxis die meisten Verzögerungen, Rückfragen und Ablehnungen.

Die eigentliche Prüfung beginnt lange vor der Police. Versicherer wollen verstehen, ob technische und organisatorische Maßnahmen nicht nur auf dem Papier existieren, sondern im Betrieb tatsächlich umgesetzt sind. Für Geschäftsführer, IT-Leitung und externe IT-Dienstleister ist das ein kritischer Punkt: Wer die Anforderungen falsch einschätzt, riskiert nicht nur eine erschwerte Annahme, sondern auch ungünstige Bedingungen oder spätere Diskussionen im Schadenfall.

Cyber-Mindeststandards – wie Versicherer prüfen

Versicherer prüfen heute deutlich strukturierter als noch vor wenigen Jahren. Der Grund ist einfach: Die Schadenlast durch Ransomware, Betriebsunterbrechung und kompromittierte Zugänge hat gezeigt, dass grundlegende Schutzmaßnahmen einen erheblichen Unterschied machen. Deshalb fragen viele Risikoträger nicht mehr nur allgemein nach IT-Sicherheit, sondern nach klar definierten Mindeststandards.

Diese Standards sind kein einheitliches Gesetzbuch. Jeder Versicherer setzt eigene Schwerpunkte, Formulierungen und Prüfungslogiken. Trotzdem zeigt sich im Markt ein klares Muster. Fast immer geht es um Identitätsschutz, Sicherung privilegierter Zugänge, Backup-Konzepte, Patch- und Update-Prozesse, Schutz der Endgeräte, E-Mail-Sicherheit sowie um nachvollziehbare Verantwortlichkeiten.

Für Unternehmen ist genau diese Mischung anspruchsvoll. Denn ein Ja im Antragsformular genügt oft nicht. Versicherer wollen wissen, wie eine Maßnahme konkret umgesetzt ist, für welche Systeme sie gilt, wie Ausnahmen behandelt werden und wer die Einhaltung überwacht. Zwischen vorhanden und belastbar liegt in der Risikoprüfung ein großer Unterschied.

Worauf Versicherer in der Praxis besonders achten

Am häufigsten wird Multi-Faktor-Authentifizierung geprüft. Dabei geht es nicht nur darum, ob MFA irgendwo vorhanden ist, sondern ob sie für kritische Zugänge verbindlich aktiviert wurde – etwa für Remote-Zugriffe, Administrator-Konten, Cloud-Dienste, E-Mail-Postfächer und gegebenenfalls VPN oder Remote-Management. Wenn MFA nur teilweise ausgerollt wurde, entsteht sofort Gesprächsbedarf.

Ebenso relevant ist das Berechtigungsmanagement. Versicherer schauen genau hin, wie Administratorrechte vergeben werden, ob privilegierte Konten getrennt von Standardkonten genutzt werden und ob ehemalige Mitarbeiter oder Dienstleister zügig deaktiviert werden. Solche Punkte wirken auf den ersten Blick operativ. In der Versicherungsprüfung sind sie jedoch ein Indikator dafür, wie kontrolliert ein Unternehmen insgesamt arbeitet.

Ein weiterer Kernbereich sind Backups. Hier reicht die Aussage, dass gesichert wird, meist nicht aus. Versicherer wollen erkennen, ob Sicherungen regelmäßig erfolgen, ob sie gegen Manipulation geschützt sind, ob Wiederherstellungen getestet werden und ob kritische Daten sowie Systeme in einem realistischen Zeitfenster wieder verfügbar wären. Gerade beim Thema Betriebsunterbrechung zählt nicht die Existenz eines Backups, sondern seine praktische Verwendbarkeit.

Auch Patch-Management wird häufig unterschätzt. Viele Antragsfragen zielen nicht auf theoretische Update-Fähigkeit, sondern auf feste Prozesse. Gibt es definierte Fristen für sicherheitsrelevante Updates? Werden kritische Systeme priorisiert? Werden internetexponierte Systeme besonders eng überwacht? Versicherer erwarten hier kein perfektes Idealbild, aber ein nachvollziehbares Verfahren.

Fragebogen, Interview, Nachweis – so läuft die Prüfung ab

In kleineren Risiken erfolgt die Prüfung oft über Antragsfragen mit wenigen, aber entscheidenden Sicherheitsabfragen. Das wirkt zunächst schlank. Tatsächlich sind gerade diese Kurzfragen riskant, weil sie sehr verdichtet formuliert sind. Wer eine Frage zu pauschal mit Ja beantwortet, obwohl die Maßnahme nur teilweise erfüllt ist, schafft später eine unnötige Angriffsfläche.

Bei komplexeren Unternehmen reicht der Standardantrag meist nicht aus. Dann folgen Zusatzfragebögen, Underwriting-Gespräche oder technische Rückfragen. Versicherer oder Assekuradeure wollen dann etwa wissen, welche Standorte betroffen sind, welche Rolle externe IT-Partner übernehmen, wie cloudbasierte Dienste eingebunden sind oder ob es einen dokumentierten Notfallprozess gibt.

Teilweise werden auch Nachweise verlangt. Das können Richtlinien, Auszüge aus Sicherheitskonzepten, Bestätigungen des IT-Dienstleisters oder Screenshots aus Administrationsoberflächen sein. Entscheidend ist dabei weniger die Form als die Plausibilität. Ein Versicherer will erkennen, dass die Angaben konsistent sind und zur realen IT-Landschaft passen.

Wo Unternehmen bei Cyber-Mindeststandards scheitern

In der Praxis scheitern Anträge selten daran, dass gar nichts vorhanden ist. Problematisch sind eher halbfertige Umsetzungen, unklare Zuständigkeiten und missverständliche Antworten. Besonders häufig betrifft das Unternehmen, die stark auf externe IT-Dienstleister setzen. Dort wird angenommen, der Dienstleister habe die Anforderungen bereits vollständig abgedeckt, ohne dass dies intern wirklich überprüft wurde.

Ein typisches Beispiel ist MFA. Die Geschäftsführung geht davon aus, dass sie aktiv ist, weil der Microsoft-Login gelegentlich einen zweiten Faktor verlangt. Im Detail zeigt sich dann, dass privilegierte Konten ausgenommen sind oder ältere Zugänge nicht erfasst wurden. Formal ist das keine vollständige Umsetzung. Für den Versicherer ist genau diese Lücke relevant.

Ähnlich kritisch ist die Backup-Frage. Viele Betriebe sichern Daten regelmäßig, testen aber die Wiederherstellung nicht oder trennen Sicherungen nicht ausreichend vom Produktivsystem. Im Alltag fällt das oft nicht auf. In der Risikoprüfung ist es ein Warnsignal, weil Schadenszenarien gerade dort eskalieren, wo Sicherungen zwar existieren, aber im Ernstfall nicht sauber nutzbar sind.

Ein weiterer Stolperstein ist die fehlende Abstimmung zwischen Management und IT. Wenn der Antrag kaufmännisch ausgefüllt wird, ohne technische Validierung, entstehen fast zwangsläufig Unschärfen. Umgekehrt beantwortet die IT sicherheitsbezogene Fragen oft technisch korrekt, aber ohne Blick auf versicherungsrelevante Formulierungen. Gute Ergebnisse entstehen erst, wenn beide Seiten zusammenarbeiten.

Warum die Prüfung je nach Versicherer unterschiedlich ausfällt

Cyber-Mindeststandards – wie Versicherer prüfen, hängt stark vom jeweiligen Risikoträger ab. Manche Versicherer fokussieren stark auf Identitäts- und Zugriffsschutz, andere stärker auf Notfallfähigkeit, Backup-Resilienz oder die Angriffsfläche internetbasierter Dienste. Auch Branche, Umsatz, Internationalität und Schadenhistorie beeinflussen die Tiefe der Prüfung.

Daraus folgt ein wichtiger Punkt: Versicherbarkeit ist keine rein technische Frage. Sie ist immer auch eine Frage der Markterwartung. Ein Unternehmen kann aus IT-Sicht ordentlich aufgestellt sein und dennoch bei einem Versicherer auf Rückfragen stoßen, weil die Dokumentation nicht passt oder einzelne Anforderungen enger definiert sind als erwartet. Umgekehrt kann ein Risiko bei einem anderen Versicherer besser eingeordnet werden, wenn die Sicherheitslage nachvollziehbar erklärt wird.

Genau deshalb lohnt sich eine antragsorientierte Vorbereitung. Nicht jede Sicherheitsmaßnahme muss neu erfunden werden. Oft geht es darum, bestehende Maßnahmen sauber zu erfassen, offene Punkte realistisch zu benennen und den Versicherer nicht mit widersprüchlichen Antworten zu irritieren. Das spart Zeit und verbessert die Verhandlungsposition.

Wie Unternehmen sich sinnvoll vorbereiten

Die beste Vorbereitung beginnt mit einer ehrlichen Bestandsaufnahme. Nicht die Frage Was sollte idealerweise vorhanden sein steht am Anfang, sondern Was ist heute für welche Systeme tatsächlich umgesetzt. Diese Unterscheidung ist entscheidend, weil Versicherer auf konkrete Geltungsbereiche achten. Eine Maßnahme, die nur für einen Teil der Umgebung gilt, muss auch so beschrieben werden.

Danach sollte geprüft werden, welche Punkte erfahrungsgemäß als Mindeststandard vorausgesetzt werden. Dazu zählen vor allem MFA für kritische Zugänge, kontrollierte Administratorrechte, funktionierende Sicherungen, geregelte Updates, E-Mail-Schutz und nachvollziehbare Reaktionsprozesse. Wo Lücken bestehen, ist nicht immer sofort ein kompletter Umbau nötig. Häufig helfen priorisierte Nachbesserungen, wenn sie fachlich sauber eingeordnet werden.

Ebenso wichtig ist die Abstimmung mit dem internen oder externen IT-Verantwortlichen. Versicherungsfragen sollten nie isoliert vom Vertrieb oder Einkauf beantwortet werden. Wer versicherungsrelevante Sicherheitsangaben abgibt, muss wissen, wie die Umgebung technisch tatsächlich betrieben wird. Gerade bei ausgelagerten IT-Strukturen ist diese Koordination unverzichtbar.

In der Beratungspraxis zeigt sich, dass Unternehmen deutlich besser durch die Risikoprüfung kommen, wenn Antrag, IT-Realität und Nachweisführung zusammenpassen. Genau an dieser Schnittstelle arbeitet ein spezialisierter Makler wie Cyberpolicen: nicht als Ersatz für IT-Sicherheit, sondern als verbindende Instanz zwischen Versicherer, Unternehmen und IT-Dienstleister.

Die entscheidende Frage lautet am Ende nicht, ob ein Fragebogen schnell ausgefüllt werden kann. Entscheidend ist, ob Ihr Unternehmen die abgefragten Mindeststandards belastbar vertreten kann – auch dann, wenn ein Versicherer nachfragt oder ein Schaden später genau diese Angaben in den Fokus rückt. Wer das früh sauber vorbereitet, gewinnt mehr als nur bessere Annahmechancen. Er schafft Klarheit über den eigenen Risikostand und damit eine deutlich solidere Grundlage für Versicherungsschutz.