Die Wahl der richtigen Versicherungssumme ist entscheidend – zu niedrig und du stehst im Schadensfall mit einem Riesenproblem da, zu hoch und du zahlst unnötig viel Prämie. Doch wie findest du die goldene Mitte?
Viele Unternehmer unterschätzen die tatsächlichen Kosten eines Cyberangriffs dramatisch. Eine Arztpraxis mit nur 120 betroffenen Patienten stand plötzlich vor 305.000 Euro Schadenskosten. Ein mittelständisches Recycling-Unternehmen zahlte 360.000 Euro nach einem Ransomware-Angriff. Selbst eine kleine Zahnarztpraxis kann mit Kosten von 31.000 bis 52.000 Euro rechnen.
Es gibt bewährte Berechnungsmethoden und Orientierungswerte, die dir helfen, die richtige Versicherungssumme zu finden. Die schlechte Nachricht: Eine Versicherungssumme, die einmal aufgebraucht ist, ist erschöpft – dann bleibst du auf den Restkosten sitzen.
Welche Versicherungssumme wähle ich bei einer Cyberversicherung?
Die richtige Versicherungssumme bei einer Cyberversicherung ist eine zentrale Entscheidung, die individuell auf dein Unternehmen abgestimmt werden muss. Es gibt keine universelle Pauschalformel, aber es existieren bewährte Orientierungswerte und Berechnungsmethoden.
Diese Mindestversicherungssummen gelten nach Unternehmensgröße
Eine Mindestversicherungssumme von mindestens 250.000 Euro wird universell empfohlen, auch für kleinere Betriebe. Diese Basisabsicherung deckt typische Schäden bei Cyberattacken ab.
Für mittelständische Unternehmen wird je nach Branche und Risikolage eine Spanne von 500.000 bis 1 Million Euro empfohlen. Für Arztpraxen gelten folgende Richtwerte:
- Kleine Praxen (1-2 Ärzte): 250.000 bis 500.000 Euro
- Mittlere Praxen (3-5 Ärzte): 500.000 bis 1 Million Euro
- Große Praxen/Praxisverbünde: 1 bis 2 Millionen Euro
Für spezialisierte Berufsgruppen wie Rechtsanwälte können ähnliche Richtwerte gelten, die aber individuell angepasst werden sollten.
Die 1/6-Regel gibt dir eine erste Orientierung
Ein verbreiteter Orientierungswert ist, mindestens ein Sechstel des Jahresumsatzes als Versicherungssumme festzulegen. Dies berücksichtigt die potenziellen Betriebsunterbrechungskosten, also den Ertragsausfall und fortlaufende Fixkosten während der Wiederherstellung.
Bei einem Jahresumsatz von 600.000 Euro solltest du also mindestens 100.000 Euro Versicherungssumme wählen. Bei 1,5 Millionen Euro Jahresumsatz wären es 250.000 Euro. Diese Regel ist jedoch nur ein Startpunkt – die tatsächlich benötigte Summe kann deutlich höher liegen.
So berechnest du die Versicherungssumme systematisch
Die empfohlene Versicherungssumme setzt sich aus mehreren Komponenten zusammen:
IT-Infrastruktur-Wiederherstellung: Kalkuliere circa 50 Prozent des Wertes deiner IT-Systeme für die Instandsetzungskosten, einschließlich Servern, Computern, mobilen Geräten und weiterer vernetzter Ausrüstung.
Datenschäden:
- Nicht-sensible Daten (Name, Adresse): circa 20 bis 30 Euro pro Datensatz
- Sensible Daten (Gesundheitsdaten, Steuernummern): circa 50 Euro pro Datensatz
- Kreditkarten- und Bankdaten: circa 10 Euro pro Datensatz
Betriebsunterbrechung: Rechne mit ungefähr zwei Monatserträgen an Betriebsgewinn und Fixkosten ein, um eine typische Ausfallzeit abzudecken. Dies sollte sowohl die entgangenen Gewinne als auch fortlaufende Kosten wie Miete und Gehälter berücksichtigen.
Sicherheitsaufschlag: Experten empfehlen einen pauschalen Aufschlag von circa 10 Prozent auf die Gesamtsumme, um Zukunftsrisiken und unerwartete Kosten zu berücksichtigen.
Diese individuellen Risikofaktoren beeinflussen deine Versicherungssumme
Die Versicherungssumme sollte angepasst werden basierend auf mehreren Faktoren:
- Art der Geschäftstätigkeit: IT-Dienstleister und Finanzunternehmen haben höhere Risiken als reine Handwerksbetriebe
- Art und Menge der verarbeiteten Daten: Besonders kritisch bei sensiblen Daten wie Gesundheits-, Finanz- oder persönlichen Informationen
- IT-Abhängigkeit: Je stärker automatisierte Prozesse und vernetzte Maschinen eingesetzt werden, desto höher die Ausfallrisiken
- Kundendatenumfang: Unternehmen mit vielen gespeicherten Kundendaten sollten entsprechend höhere Summen versichern
- Externe Abhängigkeiten: Falls wichtige Dienste durch externe Anbieter erbracht werden, sollten auch deren potenzielle Ausfallkosten berücksichtigt werden
First-Party versus Third-Party Coverage verstehen
Die Versicherungssumme wird als Erstrisikoversicherung ausgestaltet – sie deckt unabhängig vom tatsächlichen Schaden bis zur vereinbarten Summe ab. Allerdings: Sobald die Versicherungssumme aufgebraucht ist, ist sie erschöpft. Daher ist eine ausreichend hohe Summe essentiell.
Die Deckung gliedert sich oft in Eigenschäden (First-Party) für deine direkten Kosten und Drittschäden (Third-Party) für Schadensersatzforderungen Dritter. Typisch sind für Drittschäden Versicherungssummen von 250.000 bis 1 Million Euro im KMU-Bereich.
Kann ich die Versicherungssumme einer Cyberversicherung nachträglich anpassen?
Ja, die Versicherungssumme einer Cyberversicherung lässt sich in der Regel nachträglich anpassen. Diese Flexibilität ist wichtig, da sich dein Geschäft und damit deine Risikolage ständig weiterentwickeln.
Diese Situationen erfordern eine Anpassung
Du solltest die Versicherungssumme regelmäßig überprüfen und anpassen bei:
- Geschäftswachstum: Steigender Umsatz bedeutet höhere potenzielle Ausfallkosten
- Neue Datenmengen: Mehr Kundendaten erhöhen die Haftungsrisiken
- Erhöhte IT-Abhängigkeit: Neue digitale Prozesse oder Cloud-Services erhöhen die Anfälligkeit
- Branchenwechsel oder neue Geschäftsfelder: Andere Tätigkeiten bringen andere Risiken
- Regulatorische Änderungen: Neue Gesetze wie DSGVO können Bußgeldrisiken erhöhen
Die Anpassung erfolgt üblicherweise zum nächsten Versicherungsjahr oder bei außerordentlichen Ereignissen auch unterjährig. Beachte, dass eine Erhöhung der Versicherungssumme in der Regel auch die Prämie erhöht, während eine Reduzierung deine Prämie senkt.
So gehst du bei der Anpassung deiner Versicherungssumme vor
Kontaktiere deinen Versicherer oder Makler und teile die veränderten Rahmenbedingungen mit. Die meisten Versicherer führen dann eine neue Risikoprüfung durch und passen die Konditionen entsprechend an. Eine jährliche Überprüfung der Versicherungssumme sollte zur Routine werden, ähnlich wie bei der Betriebshaftpflicht oder Gebäudeversicherung.
Welche Schäden deckt eine Cyberversicherung ab?
Eine Cyberversicherung deckt eine breite Palette von Schäden ab, die durch Cyberangriffe, Datenverluste und IT-Sicherheitsvorfälle entstehen. Der Deckungsumfang ist jedoch stark vom gewählten Versicherer und der individuellen Policengestaltung abhängig.
Diese Eigenschäden werden erstattet
Die Cyberversicherung erstattet direkte finanzielle Verluste deiner Kanzlei oder deines Unternehmens:
- IT-Wiederherstellung: Kosten für die Wiederherstellung von Daten, Programmen und Systemen
- Betriebsunterbrechung: Entschädigung für Einnahmeausfälle durch Systemausfälle
- IT-Forensik: Kosten für die Analyse durch Sachverständige zur Feststellung von Schadenursache und -ausmaß
- Krisenkommunikation und PR: Ausgaben für Kommunikation im Krisenfall sowie Beratung zur Rufschadenbekämpfung
- Benachrichtigungspflichten: Kosten für die Benachrichtigung von Betroffenen einer Datenschutzverletzung
- Rechtsberatung: Erstattung anwaltlicher Beratung bezüglich Datenschutzpflichten und Informationspflichten
- Hardwarekosten: Reparatur oder Wiederbeschaffung von Computern und Peripheriegeräten nach Cyberangriffen
- Ransomware- und Erpressungskosten: Viele Versicherer übernehmen Lösegeldverhandlungen mit Limits
Diese Haftungsrisiken sind abgedeckt
Die Drittschadendeckung greift bei Haftpflichtansprüchen Dritter:
- Datenschutzverletzungen: Haftung aus Verstößen gegen Datenschutz- und Geheimhaltungspflichten
- Haftungsansprüche: Entschädigung für Verbraucherklagen nach Datenlecks
- Bußgelder und Vertragsstrafen: In vielen Fällen begrenzte Abdeckung regulatorischer Anforderungen
Diese besonderen Gefahren sind versichert
Auch technische und menschliche Fehler sind versichert:
- DoS- und DDoS-Attacken: Distributed Denial-of-Service-Angriffe
- Ransomware und Malware: Infektion mit Schadprogrammen und Cybererpressung
- Cyber-Betrug: Betrügerische Angriffe und Finanzdelikte
- Bedienungsfehler: Technische Fehler und menschliche Versäumnisse bei IT-Sicherheit
- Cloud-Ausfälle: Systemausfälle durch Cloud-Service-Unterbrechungen
- Business Email Compromise: Betrügerische E-Mails und Social-Engineering-Attacken
Fallbeispiel: So wählst du die optimale Versicherungssumme bei einer Cyberversicherung aus
Konkrete Fallbeispiele zeigen, welche Versicherungssummen in der Praxis tatsächlich benötigt werden und wo die Hauptkostentreiber liegen.
Arztpraxis: Ransomware-Angriff mit Patientenbenachrichtigung
Eine Arztpraxis mit 4 Mitarbeitern und 120 betroffenen Patienten erlitt einen Ransomware-Angriff mit Datenverschlüsselung.
| Kosten | Betrag |
|---|---|
| IT-Dienstleister (Systemwiederherstellung) | 50.000 € |
| Rechtsanwalt (DSGVO-Compliance, Verträge) | 35.000 € |
| Patientenbenachrichtigung | 12.000 € |
| Call-Center (Anfragebeantwortung durch Patienten) | 28.000 € |
| Schadenersatzzahlungen an Patienten und Abwehr Ansprüche | 180.000 € |
| Gesamtschaden | 305.000 € |
| Schadensabwicklungsdauer | 1 Jahr |
| Empfohlene Versicherungssumme | 350.000–500.000 € |
Der Fall zeigt: Selbst eine kleine Praxis kann schnell sechsstellige Schäden erleiden. Die Schadenersatzzahlungen machten fast 60 Prozent der Gesamtkosten aus.
Hotel mit 100 Betten: Betriebsunterbrechung durch Hacker-Angriff
Ein Boutique-Hotel mit 100 Zimmern erlitt einen Ausfall des Buchungssystems und POS-Systems. Der Gast-Check-in war für mehrere Tage unmöglich.
| Kosten | Betrag |
|---|---|
| IT-Dienstleister (Systemwiederherstellung) | 40.000 € |
| Betriebsunterbrechung / Einschränkung (Umsatzausfall) | 50.000 € |
| PR-Beratung (Krisenkommunikation) | 22.000 € |
| Gesamtschaden | 112.000 € |
| Empfohlene Versicherungssumme | 500.000–1.000.000 € |
Besonderheit: Der größte Kostenfaktor war nicht die IT-Wiederherstellung, sondern der direkte Umsatzausfall durch die Betriebsunterbrechung.
Recycling-Unternehmen: Umfassender Ransomware-Angriff
Ein produzierendes Unternehmen erlitt einen kompletten Produktionsausfall, der eine forensische Untersuchung nötig machte.
| Kosten | Betrag |
|---|---|
| IT-Dienstleister (Forensik, Wiederherstellung) | 190.000 € |
| Betriebsunterbrechung / Einschränkung (mehrwöchiger Ausfall) | 40.000 € |
| Rechtsanwälte (Verhandlungen, Abwehr) | 80.000 € |
| PR-Beratung (Krisenkommunikation mit Kunden/Partnern) | 50.000 € |
| Gesamtschaden | 360.000 € |
| Empfohlene Versicherungssumme | 1.000.000–2.000.000 € |
Ein umfassender Produktionsaufall führt zu exponentiell höheren Kosten als reine Datendiebstahl-Szenarien.
Zahnarztpraxis: Ransomware mit Betriebsstillstand
Eine Zahnarztpraxis mit 5 Mitarbeitern erlitt einen kompletten Stillstand für 1 Woche, nachdem ein Mitarbeiter versehentlich eine Malware-E-Mail öffnete.
| Kosten | Betrag |
|---|---|
| IT-Wiederherstellung und Forensik | 15.000–25.000 € |
| Betriebsunterbrechung (1 Woche Umsatzausfall) | 8.000–12.000 € |
| Anwaltskosten für DSGVO-Compliance | 5.000–10.000 € |
| Krisenkommunikation | 3.000–5.000 € |
| Gesamtschaden | 31.000–52.000 € |
| Empfohlene Versicherungssumme | 250.000–500.000 € |
Durchschnittlicher Ransomware-Schaden bei KMU liegt unabhängig von der Größe bei über 20.000 Euro.
Rechtsanwaltskanzlei: 10 Mitarbeiter mit Ransomware
Eine mittelgroße Kanzlei mit 1 Million Euro Jahresumsatz hatte verschlüsselte Mandantendaten und Systeme für 3 bis 5 Tage offline.
| Kosten | Betrag |
|---|---|
| Hardware für neuen Server | 5.000 € |
| IT-Dienstleister | 10.000 € |
| Krisenmanagement/Kommunikation | 10.000 € |
| IT-Forensik zur Schadenfeststellung | 5.000 € |
| Abwehr unberechtigter Ansprüche | 5.000 € |
| Umsatzausfall (1 Woche bei 1 Mio. € Jahresumsatz) | 20.000 € |
| Gesamtschaden | 55.000 € |
| Durchschnittlicher Ransomware-Angriff auf 10-Mann-Kanzlei | 168.000 € |
| Jahresprämie für Cyberversicherung | 360–1.200 € |
| Empfohlene Versicherungssumme | 500.000–750.000 € |
Ein einziger Schadensfall amortisiert die Versicherungsprämien von mehreren Jahren.
Empfohlene Versicherungssummen basierend auf echten Praxisfällen (fiktive Namen)
| Unternehmensgröße | Typischer Jahresumsatz | Empfohlene Versicherungssumme | Begründung |
|---|---|---|---|
| Sehr kleine Praxis (Zahnarzt/Arzt) | 200.000–400.000 € | 250.000–500.000 € | Schäden liegen zwischen 31.000–305.000 € |
| Kleine Kanzlei/Beratung | 500.000–1.000.000 € | 500.000–750.000 € | 168.000 € durchschnittlich, bis 55.000 €+ möglich |
| Mittleres Handwerk/Einzelhandel | 1–3 Millionen € | 750.000–1.500.000 € | Schäden liegen bei 45.000–360.000 € |
| Mittelständische Produktion | 3–10 Millionen € | 1.000.000–2.000.000 € | 360.000 € bereits überschritten |
| Hotel/Gastgewerbe | Variable | 500.000–1.000.000 € | Betriebsunterbrechung kann schnell 50.000+ € erreichen |
Fazit: „Die richtige Versicherungssumme entscheidet im Notfall über Überleben oder Geschäftsaufgabe“
Die Wahl der richtigen Versicherungssumme ist keine akademische Übung, sondern kann im Ernstfall über das Überleben deines Unternehmens entscheiden. Die Fallbeispiele zeigen: Selbst kleine Unternehmen können Schäden von 30.000 bis 360.000 Euro erleiden, während die durchschnittlichen Gesamtkosten eines Ransomware-Angriffs bei 5,13 Millionen Dollar liegen.
Die Versicherungssumme sollte sich aus IT-Infrastruktur-Wiederherstellung (50 Prozent des IT-Wertes), Datenschäden (20 bis 50 Euro pro Datensatz), Betriebsunterbrechung (zwei Monatserträge) plus 10 Prozent Sicherheitsaufschlag zusammensetzen. Als Faustregel gilt: mindestens ein Sechstel des Jahresumsatzes, aber für die meisten Unternehmen sind 250.000 bis 1 Million Euro sinnvoll.
Eine zu niedrige Versicherungssumme ist das größte Risiko. Sobald die Summe aufgebraucht ist, ist sie erschöpft – dann bleibst du auf den Restkosten sitzen. Überprüfe deine Versicherungssumme jährlich bei Geschäftswachstum, neuen Datenmengen oder erhöhter IT-Abhängigkeit.
„Die optimale Versicherungssumme ist keine Glückssache, sondern das Ergebnis einer systematischen Kalkulation. Mit durchschnittlichen Schäden von 95.000 Euro bei KMU und bis zu 360.000 Euro bei Produktionsbetrieben reichen 100.000 Euro Versicherungssumme nicht aus. Investiere lieber 500 bis 2.000 Euro mehr in eine angemessene Deckung, als im Schadensfall auf sechsstelligen Restkosten sitzenzubleiben.“
