Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Recht12 Min. Lesezeit21. Mai 2026

    Cyberversicherung: Was ist NICHT versichert?

    Die wichtigsten Ausschluesse - von Cyber-Warfare ueber OFAC-Sanktionen bis Vorsatz

    Das Wichtigste in Kürze

    Eine Cyberversicherung ist breit aufgestellt - aber sie ist kein All-Risk-Schutz.

    Wer im Schadenfall feststellt, dass ein scheinbar offensichtlicher Vorfall nicht unter die Police faellt, hat oft eine sehr unangenehme Ueberraschung.

    Versicherer haben in den letzten Jahren ihre Ausschluss-Klauseln stark ausgebaut - insbesondere im Bereich Cyber-Warfare (seit dem Lloyd-s-Bulletin von 2022), bei Loesegeldzahlungen an sanktionierte Empfaenger (US-OFAC-Listen) und bei unzureichender IT-Sicherheit (MFA-Pflicht, Backup-Anforderungen, Patch-Management).

    Dieser Ratgeber zeigt im Detail, welche Ausschluesse in praktisch jeder Cyberpolice stehen, welche tariflichen Unterschiede es gibt und wie Sie Ihren Vertrag pruefen, um boese Ueberraschungen im Schadenfall zu vermeiden.

    1

    Vorsatz und grobe Fahrlaessigkeit

    Der wichtigste Ausschluss ueberhaupt: Schaeden, die der Versicherungsnehmer oder die Geschaeftsleitung vorsaetzlich herbeigefuehrt hat, sind nicht versichert (Paragraph 81 Abs. 1 VVG). Das ist gesetzlich zwingend und nicht abdingbar. Bei grober Fahrlaessigkeit kann der Versicherer die Leistung im Verhaeltnis zur Schwere des Verschuldens kuerzen (Paragraph 81 Abs. 2 VVG) - in der Cyber-Praxis oft komplett auf Null bei eklatanten Sicherheits-Versaeumnissen. Praxisbeispiele fuer angenommene grobe Fahrlaessigkeit: Klick auf einen offensichtlich verdaechtigen Phishing-Link trotz dokumentierter Warnung, Nichteinhaltung dokumentierter Sicherheitsregeln durch die IT-Leitung, Ignorieren von Warnungen vor bekannten Schwachstellen ueber Wochen. Wichtig: Was als grob fahrlaessig gilt, ist Einzelfall-Bewertung der Gerichte. Eine gut dokumentierte Schulung und ein dokumentiertes Sicherheitskonzept kann den Vorwurf der groben Fahrlaessigkeit oft entkraeften.

    2

    Cyber-Warfare und staatlich gelenkte Angriffe

    Seit dem sogenannten Lloyd-s-Bulletin LMA5564 vom August 2022 haben praktisch alle internationalen Cyber-Rueckversicherer verschaerfte Cyber-Warfare-Klauseln eingefuehrt. Diese sind inzwischen Standard auch im deutschen Markt. Ausgeschlossen sind Schaeden durch: Krieg, kriegsaehnliche Ereignisse, Buergerkrieg, Aufruhr und Revolution. Cyberangriffe, die einem souveraenen Staat oder einer staatlich gelenkten Akteursgruppe (APT - Advanced Persistent Threat) zugeordnet werden koennen. Major Cyber Events - umfassende Cyber-Operationen mit systemischer Wirkung (Beispiel: NotPetya 2017 mit Schaeden von ueber 10 Mrd Euro weltweit). Das Problem fuer Versicherte: Die Zuordnung eines Angriffs zu einem staatlichen Akteur erfolgt oft erst Monate spaeter durch Geheimdienste oder forensische Spezialisten - im Cybersecurity-Jargon Attribution. Wenn ein Angriff im Nachgang als russischer oder chinesischer APT-Angriff identifiziert wird, kann die Versicherung die Deckung nachtraeglich verweigern. Pruefen Sie unbedingt: Wie ist Attribution geregelt? Wer muss was nachweisen? Gibt es eine Beweislast-Umkehr zugunsten des Versicherten?

    OFAC-Sanktionen und Loesegeld-Beschraenkungen

    Das US-Office of Foreign Assets Control (OFAC) fuehrt eine Specially Designated Nationals (SDN) List - eine schwarze Liste von Personen, Organisationen und Laendern, mit denen US-Bezugspunkte keine Geschaefte machen duerfen. Im Cyber-Bereich relevant: Bestimmte Ransomware-Gruppen (zum Beispiel Evil Corp, Conti-Nachfolger, NotPetya-Tatverdaechtige) sind explizit auf der OFAC-Liste. Wer Loesegeld an solche Gruppen zahlt, riskiert nicht nur das Versicherungsleistung-Aus, sondern strafrechtliche Folgen in den USA (auch fuer Nicht-US-Unternehmen mit US-Bezug). Praktisch jede deutsche Cyberpolice mit Loesegeld-Deckung enthaelt eine OFAC-Klausel: Loesegeldzahlungen werden nur erstattet, wenn der Empfaenger nicht auf einer Sanktionsliste steht und die Zahlung nicht gegen geltendes Sanktionsrecht verstoesst. Die Pruefung erfolgt durch den Versicherer oder spezialisierte Loesegeld-Verhandler (zum Beispiel Coveware, GroupSense). Im Notfall: Niemals selbst Loesegeld zahlen, sondern immer den Versicherer einschalten - der hat Erfahrung mit der Sanktions-Pruefung und schuetzt vor strafrechtlichen Konsequenzen. Wer eigenmaechtig zahlt, riskiert die Versicherungsleistung und seine persoenliche Haftung.

    4

    Bekannte, aber nicht behobene Sicherheitsluecken

    Praktisch jede Cyberpolice schliesst Schaeden aus, die auf bereits bekannte, aber nicht innerhalb angemessener Frist behobene Sicherheitsluecken zurueckzufuehren sind. Konkret bedeutet das: Wenn fuer eine genutzte Software ein Sicherheits-Patch verfuegbar ist und dieser nicht zeitnah eingespielt wird, kann ein Schaden durch genau diese Luecke nicht versichert sein. Beispiele aus der Praxis: Eine Microsoft-Exchange-Schwachstelle (CVE) wird im Maerz veroeffentlicht, der Versicherte spielt den Patch erst im Juni ein, im Mai wird er kompromittiert - Versicherer lehnt Deckung ab. Eine Log4j-Schwachstelle (Log4Shell, Dezember 2021) wird bekannt, der Patch ist innerhalb von 72 Stunden verfuegbar, der Versicherte aktualisiert nicht - Schaden ist von der Police ausgeschlossen. Was als angemessene Frist gilt, ist oft auf 30 bis 90 Tage definiert, bei kritischen Schwachstellen auf 7 bis 14 Tage. Pflicht: Dokumentiertes Patch-Management mit Pruefintervallen, Risikobewertung, Roll-out-Dokumentation. Ohne diese Dokumentation kann der Versicherer im Schadenfall jederzeit den Vorwurf erheben, eine bekannte Luecke nicht zeitnah behoben zu haben.

    5

    Unzureichende IT-Sicherheits-Mindeststandards

    Versicherer haben in den letzten Jahren konkrete IT-Sicherheits-Mindeststandards als Vertragsobliegenheit verankert. Wer diese Standards nicht einhaelt, hat im Schadenfall ein Problem. Typische Mindeststandards: Multi-Faktor-Authentifizierung (MFA) fuer alle externen Zugaenge (E-Mail, VPN, Remote Desktop, Cloud-Admin-Accounts). Regelmaessige, getestete Backups nach der 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 offsite). Aktuelle Endpoint-Protection (Antivirus, EDR) auf allen Endgeraeten. Dokumentiertes Patch-Management mit Pruef-Zyklus. Mitarbeiterschulungen zur Cybersicherheit (oft jaehrlich). Bei Verstoss gegen diese Obliegenheiten kann der Versicherer die Leistung kuerzen oder ganz verweigern (Paragraph 28 Abs. 2 VVG) - in der Praxis je nach Schwere oft komplett. Das bedeutet: Eine Cyberversicherung ist kein Ersatz fuer IT-Sicherheit, sondern ein Sicherheitsnetz fuer den Restrisiko-Fall. Wer die Mindeststandards nicht einhaelt, zahlt umsonst Praemie - im Schaden zahlt der Versicherer nichts.

    6

    Reine Reputationsschaeden ohne bezifferbaren Verlust

    Auch wenn ein Cybervorfall Ihrem Unternehmen massiven Image-Schaden zufuegt - die reine Reputation an sich ist in der Regel nicht versicherbar. Versichert sind nur bezifferbare wirtschaftliche Folgen: nachgewiesener Umsatzrueckgang in einem definierten Zeitraum, Vertragsverluste mit konkretem Bezug zum Vorfall, Beratungskosten fuer PR und Krisenmanagement. Reine Schaeden an der Marke, dem Vertrauen der Kunden oder der Beziehung zu Investoren - selbst wenn sie real sind - werden ohne wirtschaftlichen Nachweis nicht erstattet. Manche Versicherer bieten als Zusatzbaustein eine Reputationsversicherung mit pauschalen Tagessaetzen oder PR-Krisenmanagement-Budgets - das ist aber meistens eng begrenzt (10.000 bis 50.000 Euro). Wer wirklich gegen Reputationsschaeden absichern will, braucht spezielle Produkte (Reputationsversicherung) oder ein eigenes Krisenkommunikations-Konzept. Tipp: Investieren Sie lieber in eine gute PR-Agentur-Beziehung als auf die Versicherung zu hoffen.

    7

    Schaeden vor Vertragsbeginn und Wartezeit-Faelle

    Schaeden, die vor Vertragsbeginn entstanden sind, sind grundsaetzlich nicht versichert - das ist das Grundprinzip jeder Versicherung. Bei Cybervorfaellen ist das oft komplex, weil Angriffe Wochen oder Monate vor der eigentlichen Wirkung beginnen koennen (zum Beispiel Schlaefer-Trojaner, lateral movement). Wenn ein Angreifer Ihr Netzwerk schon vor Vertragsbeginn kompromittiert hat und der Schaden (zum Beispiel Datenexfiltration, Ransomware-Ausloesung) erst nach Vertragsbeginn eintritt, kann der Versicherer den Vorfall trotzdem ausschliessen. Pflicht des Versicherten beim Vertragsschluss: Vollstaendige und wahrheitsgemaesse Beantwortung der Risikofragen (Paragraph 19 VVG). Wer bekannte Vorfaelle oder konkrete Verdachtsmomente verschweigt, riskiert Leistungsfreiheit. Hinzu kommt die Wartezeit, die bei vielen Tarifen 14 bis 30 Tage nach Vertragsbeginn betraegt - in diesem Zeitfenster sind nur bestimmte Schaeden gedeckt (siehe unseren Ratgeber zu Cyberversicherung-Wartezeit). Empfehlung: Vor Vertragsabschluss eine professionelle Sicherheits-Bestandsaufnahme machen lassen - sowohl als Pflichterfuellung gegenueber dem Versicherer als auch zur eigenen Sicherheit.

    8

    Eigenproduktion-Ausschluesse und Drittprodukt-Schaden

    Wer als Softwarehersteller, IT-Dienstleister oder Hardware-Produzent eigene Produkte herstellt und an Kunden ausliefert, hat ein besonderes Problem: Schaeden aus Maengeln der eigenen Produkte beim Kunden sind in praktisch jeder Standard-Cyberpolice ausgeschlossen. Beispiel: Ein SaaS-Anbieter liefert eine Software mit Sicherheits-Bug aus, ein Kunde wird darueber gehackt - die Cyberpolice des SaaS-Anbieters deckt seinen eigenen Schaden (zum Beispiel BU, Forensik), aber nicht den Schaden beim Kunden. Fuer diesen Drittschaden braucht es eine spezielle Berufshaftpflichtversicherung fuer IT-Dienstleister (E-and-O - Errors and Omissions) oder ergaenzende Produkthaftpflicht-Bausteine. Diese sind separat zu versichern und kosten in der Regel deutlich mehr als die Cyberpolice. IT-Dienstleister, Software-Anbieter, MSPs und SaaS-Anbieter sollten ihre Vertrags-Architektur unbedingt von einem spezialisierten Makler pruefen lassen - sonst entstehen gefaehrliche Versicherungsluecken zwischen Eigen- und Drittschaden.

    Pruefliste: Diese Klauseln in Ihrer Police kennen

    Bevor Sie eine Cyberpolice abschliessen oder verlaengern, gehen Sie folgende Pruefliste durch: Wie ist Cyber-Warfare definiert? Wer traegt die Beweislast bei Attribution? Greift die LMA5564-Klausel oder eine eigene? Gibt es eine OFAC-Sanktions-Klausel bei Loesegeld? Wer prueft die Sanktionsliste? Wie wird angemessene Frist bei Patch-Pflichten definiert? Gibt es konkrete Tage-Vorgaben (zum Beispiel 30 Tage)? Welche IT-Sicherheits-Mindeststandards sind als Obliegenheit definiert? MFA, Backups, EDR? Was passiert bei Verstoss - vollstaendige Leistungsfreiheit oder anteilige Kuerzung? Sind reine Reputationsschaeden gedeckt oder nur bezifferbare Folgen? Welche Wartezeit gilt nach Vertragsbeginn? Bei nahtloser Anschlussversicherung verkuerzt? Wie wird die Vorvertragspflicht definiert? Welche Risikofragen werden gestellt? Bei IT-Dienstleistern: Eigen-Schaden und Drittschaden klar abgegrenzt? Lassen Sie sich diese Punkte schriftlich beantworten - im Schaden zaehlt nur die Vertragslage, nicht das Verkaufsgespraech. Ein unabhaengiger Cyber-Versicherungsmakler hilft, die Klauseln richtig zu bewerten.

    Häufige Fragen

    Sind Loesegeldzahlungen bei Ransomware versichert?
    In vielen modernen Cyberpolicen ja, aber mit Einschraenkungen. Loesegeld wird nur erstattet, wenn der Empfaenger nicht auf einer Sanktionsliste (insbesondere OFAC-SDN-Liste) steht und die Zahlung mit Zustimmung des Versicherers erfolgt. Eigenmaechtige Zahlungen vor Einschaltung des Versicherers koennen die Leistung kosten. Nutzen Sie immer die 24/7-Notfall-Hotline des Versicherers - die hat spezialisierte Loesegeld-Verhandler.
    Was bedeutet Cyber-Warfare-Ausschluss konkret?
    Cyberangriffe, die einem souveraenen Staat oder einer staatlich gelenkten Akteursgruppe (APT) zugeordnet werden, sind nicht versichert. Auch grossflaechige Cyber-Operationen mit systemischer Wirkung (zum Beispiel NotPetya 2017) fallen unter den Ausschluss. Problematisch: Die Attribution erfolgt oft erst Monate nach dem Vorfall - die Versicherung kann die Leistung dann nachtraeglich verweigern. Pruefen Sie die Klausel-Details und die Beweislastverteilung.
    Was passiert, wenn ich keine MFA eingesetzt habe?
    MFA fuer alle externen Zugaenge ist bei den meisten Cyberpolicen seit 2024 eine Obliegenheit. Bei Verstoss kann der Versicherer die Leistung nach Paragraph 28 VVG kuerzen oder ganz verweigern - in der Praxis je nach Schwere der Sicherheits-Versaeumnisse oft komplett. MFA-Pflicht ist nicht verhandelbar und sollte vor Vertragsabschluss flaechendeckend umgesetzt sein.
    Sind Reputationsschaeden nach einem Cybervorfall versichert?
    Reine Reputationsschaeden ohne bezifferbaren wirtschaftlichen Verlust sind in den meisten Tarifen ausgeschlossen. Versichert sind nur konkret nachweisbare Umsatzeinbussen, Vertragsverluste oder PR-Beratungskosten - und das oft mit niedrigen Sublimits (10.000-50.000 Euro). Wer wirklich gegen Reputationsschaden absichern will, braucht spezielle Reputationsversicherungs-Produkte oder eine professionelle PR-Krisenkommunikation als Vorsorge.
    Bin ich versichert, wenn ein bekannter Sicherheitspatch nicht eingespielt war?
    Wahrscheinlich nicht - oder nur teilweise. Praktisch jede Cyberpolice schliesst Schaeden aus, die auf bekannte, nicht innerhalb angemessener Frist (typisch 30-90 Tage, bei kritischen Schwachstellen 7-14 Tage) behobene Sicherheitsluecken zurueckzufuehren sind. Pflicht: dokumentiertes Patch-Management mit Pruefintervallen und Roll-out-Dokumentation. Ohne diese Dokumentation kann der Versicherer im Schadenfall die Leistung verweigern.
    Thomas Dewein
    Versicherungsexperte

    Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.

    Fachlich geprüft am 18. Juli 2026
    Mehr über den Autor →
    Jetzt absichern

    Kostenlos beraten lassen – in 60 Sekunden

    Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.

    Unabhängiger Vergleich aus 50+ Tarifen
    Persönliche Beratung durch Experten
    100% kostenlos & unverbindlich
    KontaktanfrageSchritt 1/2
    DSGVO

    DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.