Cyberversicherung vs IT-Haftpflicht: Was MSPs wirklich brauchen
E&O vs Cyber - Abgrenzung fuer IT-Dienstleister, Entwickler und Berater
IT-Dienstleister, MSPs und Software-Entwickler stehen 2026 vor zwei verschiedenen Versicherungsproblemen, die sich oberflaechlich aehnlich anfuehlen, in der Praxis aber komplett unterschiedlich gelagert sind.
Die IT-Berufshaftpflicht (auch Vermoegensschaden-Haftpflicht-IT oder E&O - Errors and Omissions) deckt eigene Fehler des IT-Dienstleisters, die beim Mandanten einen Schaden verursachen.
Die Cyberversicherung deckt Angriffe auf die eigene IT-Infrastruktur und ueber die NIS2-Lieferketten-Logik zunehmend auch Folgeschaeden bei Mandanten.
Dieser Vergleich zeigt mit konkreten Fall-Beispielen, wo die Grenze verlaeuft, welche Police wann zahlt und warum jeder MSP 2026 beide Policen mit getrennten Limits braucht.
Inhaltsverzeichnis
Zielgruppe: Wer ist hier gemeint?
Dieser Vergleich richtet sich an alle IT-Dienstleister mit Kundenberatung oder Mandanten-IT-Verantwortung. Konkret: Managed-Service-Provider (MSPs) und Managed-Security-Service-Provider (MSSPs), klassische Systemhaeuser mit Wartungs- und Implementierungs-Geschaeft, Software-Entwickler (Auftragsentwicklung, SaaS-Anbieter, App-Entwickler), IT-Berater (Architektur, Migration, Strategie), Cloud-Consultants und DevOps-Engineers im Auftragsgeschaeft, Web-Agenturen mit Hosting- und Wartungspflichten. Was alle gemeinsam haben: doppeltes Risikoprofil. Erstens das eigene Risiko, selbst Cyber-Opfer zu werden. Zweitens das Berufshaftungs-Risiko, bei Mandanten durch eigene Beratungs- oder Implementierungsfehler Schaeden zu verursachen.
IT-Berufshaftpflicht (E&O): Was deckt sie ab?
Die IT-Berufshaftpflicht (auch Vermoegensschaden-Haftpflicht-IT, IT-VSHV oder E&O) deckt Schaeden, die der IT-Dienstleister durch eigene Fehler bei seiner beruflichen Taetigkeit verursacht. Klassische Schadensbilder: Bug im ausgelieferten Code fuehrt zu Produktivitaetsverlust beim Kunden. Konfigurationsfehler in der Mandanten-Firewall macht Sicherheitsluecke auf, die spaeter ausgenutzt wird. Vergessene Backup-Konfiguration nach Migration - Datenverlust beim Kunden. Fehlerhafte Beratung zur Cloud-Strategie verursacht hohe Folgekosten. Vertragsstrafe wegen verfehlter SLA-Verfuegbarkeit. Wesentliches Merkmal: Die E&O deckt Vermoegensschaeden Dritter, die durch eigene Fehlleistung des IT-Dienstleisters entstehen. Sie ist NICHT zustaendig, wenn ein externer Angriff (Hacker) den Schaden verursacht - dafuer ist die Cyberpolice da.
Cyberpolice fuer MSPs: Was deckt sie ab?
Die Cyberpolice fuer IT-Dienstleister hat zwei Ebenen. Erste Ebene Eigenschutz: Schutz vor Angriffen auf die eigene MSP-Infrastruktur. Ransomware auf eigene Server, BU bei eigenem Ausfall, Forensik und Wiederherstellung, Krisen-PR, Loesegeld-Baustein. Zweite Ebene Mandanten-Wirkung: Schutz vor Folgeschaeden bei Mandanten, die durch Angriffe auf die MSP-Infrastruktur entstehen. Konkret: Ein Angreifer kompromittiert die RMM-Software des MSP und rolled-out Ransomware an alle 30 Mandanten. Hier wirkt die NIS2-Lieferketten-Logik (§ 30 Abs. 2 Nr. 4 BSIG) - der MSP ist potentiell mit haftbar fuer die Mandanten-Schaeden. Moderne MSP-Cyberpolicen decken diese Lieferketten-Wirkung explizit ab.
Vergleichstabelle: E&O vs Cyber im Detail
Direkte Gegenueberstellung der typischen MSP-Schadensbilder:
Bug im ausgelieferten Code - E&O: JA. Cyber: NEIN. Konfigurationsfehler in Mandanten-Firewall - E&O: JA. Cyber: NEIN. Vergessene Backup-Konfig nach Migration - E&O: JA. Cyber: NEIN. Fehlerhafte Cloud-Strategie-Beratung - E&O: JA. Cyber: NEIN. Vertragsstrafe wegen verfehlter SLA - E&O: JA. Cyber: NEIN. Ransomware auf eigenen MSP-Servern - E&O: NEIN. Cyber: JA. Loesegeldforderung nach Ransomware - E&O: NEIN. Cyber: JA. Kompromittierung des MSP-RMM-Tools - E&O: NEIN. Cyber: JA (Lieferketten-Baustein). Mandanten-Datenleck durch Angriff auf MSP-Cloud-Tenant - E&O: NEIN. Cyber: JA. MSP wird Opfer von Supply-Chain-Attack - E&O: NEIN. Cyber: JA.
Fazit: E&O = eigene Fehler. Cyber = externe Angriffe plus Lieferketten-Wirkung. Beide Policen sind fuer MSPs Pflicht.
Konkrete Fall-Beispiele aus der MSP-Praxis
Vier realistische Faelle:
Fall 1: Bug im Code. MSP entwickelt Custom-Software, Bug fuehrt zu fehlerhaften Rechnungen, Mandant verliert 80.000 EUR. Wer zahlt: E&O. Cyberpolice nicht zustaendig - kein Angriff.
Fall 2: Lieferketten-Angriff ueber MSP-RMM. Angreifer kompromittieren ConnectWise-RMM, rolled-out Ransomware an 15 von 30 Mandanten. Mandanten-Gesamtschaden 2,5 Mio. EUR. Wer zahlt: Cyberpolice mit MSP-Lieferketten-Baustein. E&O NICHT zustaendig - kein eigener Fehler des MSP.
Fall 3: Vergessene Backup-Konfiguration nach Migration. Vier Wochen spaeter Hardware-Defekt - Datenverlust 200.000 EUR. Wer zahlt: E&O. Klarer Beratungs-/Konfigurationsfehler des MSP.
Fall 4: Tenant-Hijacking ueber MSP-Admin-Account via SIM-Swap. Datenabfluss 50.000 Kundendatensaetze. Wer zahlt: Streit-Punkt. Cyberpolice greift wegen externem Angriff. E&O kann zusaetzlich greifen, wenn dem MSP Awareness-Pflicht-Verletzung nachgewiesen wird.
NIS2-Lieferketten-Effekt: Warum Cyber fuer MSPs neu wichtig wird
Mit der NIS2-Richtlinie und § 30 Abs. 2 Nr. 4 BSIG ist 2026 ein neues Risikofeld entstanden. NIS2-pflichtige Mandanten muessen ihr Lieferkettenrisiko vertraglich an ihre IT-Dienstleister weiterreichen. In der Praxis: Wenn der MSP gehackt wird und davon Mandanten-Schaeden ausgehen, kann der NIS2-Mandant beim MSP Schadensersatz fordern - der MSP haftet potentiell unbegrenzt. Klassische E&O deckt das nicht (kein Beratungsfehler), klassische Cyberpolice ohne Lieferketten-Baustein deckt das auch nicht. Nur eine MSP-spezifische Cyberpolice mit explizitem Lieferketten-Baustein und ausreichendem Limit (3-5 Mio. EUR mindestens) deckt dieses Risiko. Wer 2026 als MSP ohne Lieferketten-Baustein arbeitet, geht ein existenzbedrohendes Risiko ein.
Versicherungs-Stack fuer MSPs: getrennte Limits, eine Beratung
Empfehlung fuer alle MSPs ab 10 Mitarbeitern: dreiteiliger Versicherungs-Stack. Erste Saeule E&O: mindestens 1-3 Mio. EUR fuer KMU-MSPs, 5-10 Mio. EUR fuer mittelstaendische. Zweite Saeule Cyberpolice mit MSP-Lieferketten-Baustein: 3-5 Mio. EUR fuer mittelstaendische MSPs, 10+ Mio. EUR fuer MSPs mit grosser Mandanten-Basis. Dritte Saeule D&O fuer Geschaeftsfuehrung wegen § 38 BSIG NIS2-Geschaeftsleiter-Haftung. Wichtig: alle drei Policen beim selben Spezialmakler abschliessen, damit Schnittstellen sauber abgegrenzt sind. Bei doppelter Versicherung Streit, bei keiner Versicherung Existenz-Risiko.
Luecken-Analyse durch Spezialmakler: was 2026 unverzichtbar ist
Eine professionelle Luecken-Analyse durch einen MSP-Spezialmakler kostet typischerweise 1.500-3.500 EUR und ist fuer mittelstaendische IT-Dienstleister 2026 zwingend. Was die Analyse leistet: Detail-Abgleich der bestehenden E&O- und Cyber-Klauseln gegen den realen MSP-Risikokatalog. Mapping der Schaden-Szenarien auf die beiden Policen. Pruefung der Mandanten-Vertraege und AVVs auf Versicherungs-Anforderungen. Bewertung der NIS2-Lieferketten-Klauseln und DORA-Anforderungen bei Finanz-Mandanten. Erstellung eines Schaden-Mapping-Memos, das im Ernstfall die Zustaendigkeits-Streitigkeiten zwischen den beiden Versicherern vermeidet. Typische Findings: unterdeckte Lieferketten-Bausteine, fehlende DORA-Klauseln, Sublimits unter 250.000 EUR fuer kritische Bausteine, fehlender D&O-Schutz fuer NIS2-Geschaeftsleiter-Haftung.
Häufige Fragen
Brauche ich als MSP wirklich beide Policen?
Was ist der Lieferketten-Baustein in der MSP-Cyberpolice?
Welche Versicherungssummen brauchen mittelstaendische MSPs?
Bei welchem Schaden ist die Abgrenzung E&O / Cyber unklar?
Gibt es kombinierte E&O-plus-Cyberpolicen?
Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.
Kostenlos beraten lassen – in 60 Sekunden
Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.
DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte