Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Vergleich11 Min. Lesezeit21. Mai 2026

    Cyberversicherung vs IT-Haftpflicht: Was MSPs wirklich brauchen

    E&O vs Cyber - Abgrenzung fuer IT-Dienstleister, Entwickler und Berater

    Das Wichtigste in Kürze

    IT-Dienstleister, MSPs und Software-Entwickler stehen 2026 vor zwei verschiedenen Versicherungsproblemen, die sich oberflaechlich aehnlich anfuehlen, in der Praxis aber komplett unterschiedlich gelagert sind.

    Die IT-Berufshaftpflicht (auch Vermoegensschaden-Haftpflicht-IT oder E&O - Errors and Omissions) deckt eigene Fehler des IT-Dienstleisters, die beim Mandanten einen Schaden verursachen.

    Die Cyberversicherung deckt Angriffe auf die eigene IT-Infrastruktur und ueber die NIS2-Lieferketten-Logik zunehmend auch Folgeschaeden bei Mandanten.

    Dieser Vergleich zeigt mit konkreten Fall-Beispielen, wo die Grenze verlaeuft, welche Police wann zahlt und warum jeder MSP 2026 beide Policen mit getrennten Limits braucht.

    1

    Zielgruppe: Wer ist hier gemeint?

    Dieser Vergleich richtet sich an alle IT-Dienstleister mit Kundenberatung oder Mandanten-IT-Verantwortung. Konkret: Managed-Service-Provider (MSPs) und Managed-Security-Service-Provider (MSSPs), klassische Systemhaeuser mit Wartungs- und Implementierungs-Geschaeft, Software-Entwickler (Auftragsentwicklung, SaaS-Anbieter, App-Entwickler), IT-Berater (Architektur, Migration, Strategie), Cloud-Consultants und DevOps-Engineers im Auftragsgeschaeft, Web-Agenturen mit Hosting- und Wartungspflichten. Was alle gemeinsam haben: doppeltes Risikoprofil. Erstens das eigene Risiko, selbst Cyber-Opfer zu werden. Zweitens das Berufshaftungs-Risiko, bei Mandanten durch eigene Beratungs- oder Implementierungsfehler Schaeden zu verursachen.

    2

    IT-Berufshaftpflicht (E&O): Was deckt sie ab?

    Die IT-Berufshaftpflicht (auch Vermoegensschaden-Haftpflicht-IT, IT-VSHV oder E&O) deckt Schaeden, die der IT-Dienstleister durch eigene Fehler bei seiner beruflichen Taetigkeit verursacht. Klassische Schadensbilder: Bug im ausgelieferten Code fuehrt zu Produktivitaetsverlust beim Kunden. Konfigurationsfehler in der Mandanten-Firewall macht Sicherheitsluecke auf, die spaeter ausgenutzt wird. Vergessene Backup-Konfiguration nach Migration - Datenverlust beim Kunden. Fehlerhafte Beratung zur Cloud-Strategie verursacht hohe Folgekosten. Vertragsstrafe wegen verfehlter SLA-Verfuegbarkeit. Wesentliches Merkmal: Die E&O deckt Vermoegensschaeden Dritter, die durch eigene Fehlleistung des IT-Dienstleisters entstehen. Sie ist NICHT zustaendig, wenn ein externer Angriff (Hacker) den Schaden verursacht - dafuer ist die Cyberpolice da.

    3

    Cyberpolice fuer MSPs: Was deckt sie ab?

    Die Cyberpolice fuer IT-Dienstleister hat zwei Ebenen. Erste Ebene Eigenschutz: Schutz vor Angriffen auf die eigene MSP-Infrastruktur. Ransomware auf eigene Server, BU bei eigenem Ausfall, Forensik und Wiederherstellung, Krisen-PR, Loesegeld-Baustein. Zweite Ebene Mandanten-Wirkung: Schutz vor Folgeschaeden bei Mandanten, die durch Angriffe auf die MSP-Infrastruktur entstehen. Konkret: Ein Angreifer kompromittiert die RMM-Software des MSP und rolled-out Ransomware an alle 30 Mandanten. Hier wirkt die NIS2-Lieferketten-Logik (§ 30 Abs. 2 Nr. 4 BSIG) - der MSP ist potentiell mit haftbar fuer die Mandanten-Schaeden. Moderne MSP-Cyberpolicen decken diese Lieferketten-Wirkung explizit ab.

    Vergleichstabelle: E&O vs Cyber im Detail

    Direkte Gegenueberstellung der typischen MSP-Schadensbilder:

    Bug im ausgelieferten Code - E&O: JA. Cyber: NEIN. Konfigurationsfehler in Mandanten-Firewall - E&O: JA. Cyber: NEIN. Vergessene Backup-Konfig nach Migration - E&O: JA. Cyber: NEIN. Fehlerhafte Cloud-Strategie-Beratung - E&O: JA. Cyber: NEIN. Vertragsstrafe wegen verfehlter SLA - E&O: JA. Cyber: NEIN. Ransomware auf eigenen MSP-Servern - E&O: NEIN. Cyber: JA. Loesegeldforderung nach Ransomware - E&O: NEIN. Cyber: JA. Kompromittierung des MSP-RMM-Tools - E&O: NEIN. Cyber: JA (Lieferketten-Baustein). Mandanten-Datenleck durch Angriff auf MSP-Cloud-Tenant - E&O: NEIN. Cyber: JA. MSP wird Opfer von Supply-Chain-Attack - E&O: NEIN. Cyber: JA.

    Fazit: E&O = eigene Fehler. Cyber = externe Angriffe plus Lieferketten-Wirkung. Beide Policen sind fuer MSPs Pflicht.

    5

    Konkrete Fall-Beispiele aus der MSP-Praxis

    Vier realistische Faelle:

    Fall 1: Bug im Code. MSP entwickelt Custom-Software, Bug fuehrt zu fehlerhaften Rechnungen, Mandant verliert 80.000 EUR. Wer zahlt: E&O. Cyberpolice nicht zustaendig - kein Angriff.

    Fall 2: Lieferketten-Angriff ueber MSP-RMM. Angreifer kompromittieren ConnectWise-RMM, rolled-out Ransomware an 15 von 30 Mandanten. Mandanten-Gesamtschaden 2,5 Mio. EUR. Wer zahlt: Cyberpolice mit MSP-Lieferketten-Baustein. E&O NICHT zustaendig - kein eigener Fehler des MSP.

    Fall 3: Vergessene Backup-Konfiguration nach Migration. Vier Wochen spaeter Hardware-Defekt - Datenverlust 200.000 EUR. Wer zahlt: E&O. Klarer Beratungs-/Konfigurationsfehler des MSP.

    Fall 4: Tenant-Hijacking ueber MSP-Admin-Account via SIM-Swap. Datenabfluss 50.000 Kundendatensaetze. Wer zahlt: Streit-Punkt. Cyberpolice greift wegen externem Angriff. E&O kann zusaetzlich greifen, wenn dem MSP Awareness-Pflicht-Verletzung nachgewiesen wird.

    6

    NIS2-Lieferketten-Effekt: Warum Cyber fuer MSPs neu wichtig wird

    Mit der NIS2-Richtlinie und § 30 Abs. 2 Nr. 4 BSIG ist 2026 ein neues Risikofeld entstanden. NIS2-pflichtige Mandanten muessen ihr Lieferkettenrisiko vertraglich an ihre IT-Dienstleister weiterreichen. In der Praxis: Wenn der MSP gehackt wird und davon Mandanten-Schaeden ausgehen, kann der NIS2-Mandant beim MSP Schadensersatz fordern - der MSP haftet potentiell unbegrenzt. Klassische E&O deckt das nicht (kein Beratungsfehler), klassische Cyberpolice ohne Lieferketten-Baustein deckt das auch nicht. Nur eine MSP-spezifische Cyberpolice mit explizitem Lieferketten-Baustein und ausreichendem Limit (3-5 Mio. EUR mindestens) deckt dieses Risiko. Wer 2026 als MSP ohne Lieferketten-Baustein arbeitet, geht ein existenzbedrohendes Risiko ein.

    7

    Versicherungs-Stack fuer MSPs: getrennte Limits, eine Beratung

    Empfehlung fuer alle MSPs ab 10 Mitarbeitern: dreiteiliger Versicherungs-Stack. Erste Saeule E&O: mindestens 1-3 Mio. EUR fuer KMU-MSPs, 5-10 Mio. EUR fuer mittelstaendische. Zweite Saeule Cyberpolice mit MSP-Lieferketten-Baustein: 3-5 Mio. EUR fuer mittelstaendische MSPs, 10+ Mio. EUR fuer MSPs mit grosser Mandanten-Basis. Dritte Saeule D&O fuer Geschaeftsfuehrung wegen § 38 BSIG NIS2-Geschaeftsleiter-Haftung. Wichtig: alle drei Policen beim selben Spezialmakler abschliessen, damit Schnittstellen sauber abgegrenzt sind. Bei doppelter Versicherung Streit, bei keiner Versicherung Existenz-Risiko.

    8

    Luecken-Analyse durch Spezialmakler: was 2026 unverzichtbar ist

    Eine professionelle Luecken-Analyse durch einen MSP-Spezialmakler kostet typischerweise 1.500-3.500 EUR und ist fuer mittelstaendische IT-Dienstleister 2026 zwingend. Was die Analyse leistet: Detail-Abgleich der bestehenden E&O- und Cyber-Klauseln gegen den realen MSP-Risikokatalog. Mapping der Schaden-Szenarien auf die beiden Policen. Pruefung der Mandanten-Vertraege und AVVs auf Versicherungs-Anforderungen. Bewertung der NIS2-Lieferketten-Klauseln und DORA-Anforderungen bei Finanz-Mandanten. Erstellung eines Schaden-Mapping-Memos, das im Ernstfall die Zustaendigkeits-Streitigkeiten zwischen den beiden Versicherern vermeidet. Typische Findings: unterdeckte Lieferketten-Bausteine, fehlende DORA-Klauseln, Sublimits unter 250.000 EUR fuer kritische Bausteine, fehlender D&O-Schutz fuer NIS2-Geschaeftsleiter-Haftung.

    Häufige Fragen

    Brauche ich als MSP wirklich beide Policen?
    Ja. E&O und Cyberpolice decken komplett unterschiedliche Risiken ab. E&O zahlt bei eigenen Fehlern, Cyberpolice bei externen Angriffen. Standard 2026 ist die Kombination beider Policen mit getrennten Limits.
    Was ist der Lieferketten-Baustein in der MSP-Cyberpolice?
    Der Lieferketten-Baustein deckt Folgeschaeden bei Mandanten ab, die durch einen Angriff auf die MSP-Infrastruktur entstehen. Beispiel: RMM-Tool des MSP wird kompromittiert, Ransomware an 15 Mandanten ausgerollt. Ohne Lieferketten-Baustein zahlt Cyberpolice nur den MSP-Eigenschaden. Mit NIS2-Druck 2026 fuer MSPs Pflicht.
    Welche Versicherungssummen brauchen mittelstaendische MSPs?
    Realistische Ziel-Werte fuer 100-MA-MSP mit 30 NIS2-Mandanten: E&O 3-5 Mio. EUR, Cyberpolice mit Lieferketten-Baustein 5 Mio. EUR, D&O 2-5 Mio. EUR. Ein Grossfall kann siebenstellige BU-Schaeden plus Vermoegensschaden-Klagen plus DSGVO-Folgen erzeugen.
    Bei welchem Schaden ist die Abgrenzung E&O / Cyber unklar?
    Klassische Grauzone: Mandanten-Datenleck via MSP-Cloud-Tenant. Drei Szenarien moeglich: reiner Cyber-Fall, E&O-Fall (MSP hatte keine MFA - Beratungsfehler), Doppel-Fall. Praxis: beide Versicherer informieren, Schaden-Mapping mit Spezialmakler.
    Gibt es kombinierte E&O-plus-Cyberpolicen?
    Ja, einige Anbieter (Hiscox, Markel) bieten kombinierte MSP-Policen. Vorteil: keine Schnittstellen-Streitigkeiten. Nachteil: oft niedrigere Limits pro Baustein. Fuer kleinere MSPs (unter 20 MA) sinnvoll, fuer mittelstaendische ab 50 MA empfehlen sich getrennte Vertraege.
    Thomas Dewein
    Versicherungsexperte

    Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.

    Fachlich geprüft am 18. Juli 2026
    Mehr über den Autor →
    Jetzt absichern

    Kostenlos beraten lassen – in 60 Sekunden

    Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.

    Unabhängiger Vergleich aus 50+ Tarifen
    Persönliche Beratung durch Experten
    100% kostenlos & unverbindlich
    KontaktanfrageSchritt 1/2
    DSGVO

    DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.