Cyber-Versicherung allein reicht nicht: Unternehmen müssen ihre Basics im Griff haben

Von Lothar Geuenich, VP Central Europe/DACH bei Check Point Software Technologies

Cyber-Versicherungen haben sich in den vergangenen Jahren von einem „Nice-to-have“ zu einem festen Bestandteil professioneller Risikostrategien entwickelt. Doch eine unbequeme Tatsache gerät dabei oft in Vergessenheit: Eine Versicherung ersetzt keine solide Cyber-Sicherheitsbasis – sie setzt sie voraus.

Nicht hochkomplexe Zero-Day-Angriffe bringen Unternehmen am häufigsten ins Straucheln, sondern ganz gewöhnliche Nachlässigkeiten. Die Zahlen sind eindeutig: 22 Prozent aller Sicherheitsvorfälle starten mit gestohlenen oder missbrauchten Zugangsdaten, 20 Prozent mit ungepatchten Schwachstellen und 16 Prozent mit einfachem Phishing. Alles keine exotischen Attacken – sondern vermeidbare Alltagsfehler. Und genau diese sehen Versicherer mittlerweile sehr kritisch.

Versicherungen gleichen keine Versäumnisse aus

Die Vorstellung, eine Police sei im Ernstfall ein Blankoscheck, ist gefährlich. Versicherer prüfen sehr genau, ob ein Unternehmen seine grundlegenden Sicherheitsmaßnahmen im Griff hat. Viele Tarife knüpfen ihre Leistungen sogar ausdrücklich an Mindestanforderungen wie Multi-Faktor-Authentifizierung, funktionierendes Patch-Management, saubere Zugangsdatenverwaltung und klar dokumentierte Notfallprozesse.

Wer diese Basics nicht zuverlässig umsetzt oder nicht nachweisen kann, riskiert gekürzte Leistungen – oder komplett leer auszugehen.

Das führt oft zu einem tückischen Kreislauf:

Ein Unternehmen schließt eine Cyber-Versicherung ab und wiegt sich in trügerischer Sicherheit. Der Fokus wandert zu spektakulären Bedrohungsszenarien, während Routineaufgaben – etwa regelmäßige Patches oder die Überprüfung von Zugängen – zunehmend in den Hintergrund rücken. Irgendwann führt genau diese Nachlässigkeit dazu, dass ein Angreifer über eine banale Schwachstelle eindringt. Kommt es zum Schadensfall, zeigt die Prüfung der Versicherung dann, dass zentrale Sicherheitsanforderungen nicht eingehalten wurden. Die Folge: reduzierte oder verweigerte Leistungen.

Die echten Probleme entstehen im Tagesgeschäft

Die Realität zeigt: Die großen Schäden entstehen nicht durch ausgeklügelte Cyberwaffen, sondern durch alltägliche Angriffstaktiken. 2024 entfielen etwa 29 Prozent aller Kompromittierungen auf Credential Harvesting – also das Sammeln von Zugangsdaten. Und im Median dauerte es 94 Tage, bis abgeflossene Geheimnisse auf Plattformen wie GitHub bereinigt waren. Gleichzeitig professionalisieren Angreifer ihre Phishing-Kampagnen ständig weiter: gefälschte Websites, langfristige Identitätsfälschungen, überzeugende Fake-Profile.

Versicherer kennen diese Entwicklungen genau – und reagieren. Viele verlangen inzwischen schriftliche Nachweise, dass das Sicherheitsniveau seit Abschluss der Police mindestens konstant geblieben ist. Das gilt nicht nur beim Vertragsabschluss, sondern auch bei Verlängerungen und natürlich im Schadenfall. Stimmen Selbstauskunft und Realität nicht überein, kann der Versicherungsschutz schnell wackeln.

Fazit: Resilienz entsteht nicht durch Tools, sondern durch Konsequenz

Das Paradoxe: Die meisten erfolgreichen Angriffe wären vermeidbar. Und dafür braucht es selten neue technische Lösungen, sondern konsequente, alltägliche Disziplin: kontinuierliches Credential Monitoring, das Entfernen von Phishing-Domains und Fake-Profilen sowie ein Patch-Management, das sich nach tatsächlicher Ausnutzbarkeit richtet – nicht nach starren Listen. Cyber-Versicherungen sind daher kein Rettungsnetz, das Versäumnisse ausgleicht. Sie sind vielmehr ein Spiegel, der zeigt, wo ein Unternehmen in Sachen Cyber-Hygiene wirklich steht. Wer glaubt, dass eine Police mangelnde Sicherheitsroutinen kompensiert, spielt ein riskantes Spiel. Nicht, weil Angreifer immer raffinierter werden – sondern weil grundlegende Hausaufgaben zu oft liegen bleiben.