Laut dem „Kaseya State of the MSP Report 2026“ geben 44 % der MSPs an, dass mindestens 10 % ihrer Kunden im Jahr 2025 Opfer eines Cyberangriffs wurden. Diese Zahl ist der Grund dafür, dass eine Cyberversicherung für die meisten Unternehmen und für jeden MSP, der diese betreut, nicht mehr nur eine Option, sondern unverzichtbar geworden ist.
Der Markt hat einen dramatischen Zyklus durchlaufen. Die Prämien stiegen 2021 um 73 % und 2022 um über 50 %, da die durch Ransomware verursachten Schäden zunahmen. Der Wettbewerbsdruck drückte die Prämien dann in den Jahren 2023, 2024 und einem Großteil des Jahres 2025 nach unten. Anfang 2026 kommt dieser Rückgang zum Stillstand: Analysten von WTW und S&P Global prognostizieren für die nächsten 12 Monate einen Anstieg der Prämien um 15 bis 20 %, angetrieben durch die zunehmende Schwere von Ransomware-Angriffen und den Druck seitens der Rückversicherer. Der weltweite Markt für Cyberversicherungen erreichte im Jahr 2025 ein Volumen von rund 16 Milliarden US-Dollar und wird bis 2026 voraussichtlich 23 Milliarden US-Dollar übersteigen.
Die schwierigeren Fragen lauten nicht, ob man eine Cyberversicherung abschließen sollte, sondern welchen Versicherungsschutz man wählen sollte, wie man die Anforderungen in einem Markt erfüllt, in dem die Versicherer deutlich strengere Maßstäbe anlegen, und wie man Ausschlussklauseln vermeidet, die Unternehmen gerade dann ungeschützt lassen, wenn sie die Police am dringendsten benötigen. Die Plattform von Kaseya unterstützt MSPs dabei, ihre Kunden genau bei diesen Fragen zu begleiten, und dieser Leitfaden behandelt alles, was jeder MSP und jedes IT-Team wissen muss.
Was deckt eine Cyberversicherung ab?
Cyber-Versicherungspolicen unterscheiden sich je nach Versicherer erheblich, doch die meisten umfassenden Policen bieten Versicherungsschutz in mehreren Bereichen.
Eigenkosten sind Aufwendungen, die dem versicherten Unternehmen unmittelbar infolge eines Vorfalls entstehen: forensische Untersuchungen und Incident-Response-Dienstleistungen, Datenwiederherstellung und Systemwiederherstellung, Betriebsausfallverluste während der Ausfallzeit, Krisenkommunikation und Öffentlichkeitsarbeit sowie Rechtsberatung.
Die Haftpflichtversicherung deckt Ansprüche von Kunden, Partnern oder anderen Parteien ab, deren Daten kompromittiert wurden oder deren Systeme von einer Sicherheitsverletzung betroffen waren, die ihren Ursprung im Umfeld des Versicherten hatte. Dies ist besonders relevant für MSPs, bei denen eine Kompromittierung ihrer Umgebung Auswirkungen auf die Umgebungen ihrer Kunden haben und zu einem erhöhten Haftungsrisiko führen kann.
Zu den Kosten im Zusammenhang mit Ransomware zählen die Reaktion auf den Vorfall, Dienstleistungen zur Verhandlung des Lösegelds sowie – je nach Versicherungspolice und Rechtsordnung – die Lösegeldzahlung selbst, sofern diese rechtlich zulässig und aus betrieblichen Gründen erforderlich ist. Bitte beachten Sie, dass Lösegeldzahlungen rechtlich komplex geworden sind: Für Zahlungen an bestimmte Gruppen von Angreifern gelten Sanktionen der US-Behörde OFAC, weshalb vor jeder Entscheidung über eine Zahlung unbedingt rechtlicher Rat eingeholt werden muss.
Die Absicherung bei behördlichen Verfahren und Strafen deckt Rechtskosten und Vergleichszahlungen im Zusammenhang mit behördlichen Untersuchungen nach einem Datenschutzverstoß ab. Dies ist von entscheidender Bedeutung für Unternehmen, die den Vorschriften von HIPAA, PCI DSS, CCPA oder anderen Rahmenwerken mit erheblichen Sanktionsfolgen unterliegen.
Cyber-Erpressung ist ein weiter gefasster Begriff als Ransomware und umfasst Drohungen mit der Veröffentlichung von Daten, DDoS-Erpressung sowie andere Druckmittel, die nicht bis zur vollständigen Verschlüsselung gehen.
Social Engineering und Überweisungsbetrug umfassen Angriffe im Rahmen von Business Email Compromise (BEC), die zu betrügerischen Überweisungen führen. Diese sind nicht grundsätzlich in der Deckung enthalten und unterliegen häufig besonderen Untergrenzen, die deutlich unter der Hauptdeckungssumme liegen.
Was eine Cyberversicherung nicht abdeckt
Das Verständnis der Ausschlussklauseln ist ebenso wichtig wie das Verständnis des Versicherungsschutzes. Über 40 % der Cyber-Versicherungsansprüche im Jahr 2026 führen zu keiner Auszahlung, wobei Ausschlussklauseln der häufigste Grund dafür sind.
Bereits bestehende Sicherheitsverletzungen. Vorfälle, die vor dem Beginn des Versicherungsschutzes begannen, sind in der Regel ausgeschlossen. Viele Ransomware-Betreiber verschaffen sich bereits Wochen oder Monate vor dem Einsatz der Schadsoftware Zugriff, was zu einer erheblichen Deckungslücke führt, wenn die ursprüngliche Kompromittierung vor dem Beginn des Versicherungsschutzes stattfand.
Bekannte, nicht behobene Sicherheitslücken. In den Versicherungsbedingungen werden Vorfälle zunehmend ausgeschlossen, die auf bekannte Sicherheitslücken zurückzuführen sind, für deren Behebung der Versicherte angemessene Gründe hatte. Wenn bei einem Sicherheitsvorfall eine CVE ausgenutzt wird, die bereits sechs Monate vor dem Vorfall öffentlich bekannt und behebbar war, kann der Versicherungsschutz verweigert werden. Durch diesen Ausschluss wird das Patch-Management zu einer direkten Versicherungspflicht und ist nicht mehr nur eine bewährte Sicherheitspraxis.
Angriffe durch Nationalstaaten. Kriegsausschlussklauseln betrafen in der Vergangenheit ausschließlich konventionelle Kriegshandlungen. Lloyd’s of London hat seine Marktanforderungen im Jahr 2023 aktualisiert, um Verluste aus staatlich unterstützten Cyberangriffen in vielen Einzelpolicen formell auszuschließen. Unternehmen in den Bereichen kritische Infrastruktur, Finanzdienstleistungen und der Verteidigungslieferkette sind von dieser Lücke am stärksten betroffen. Der Wortlaut variiert erheblich zwischen den einzelnen Policen und erfordert eine sorgfältige rechtliche Prüfung.
Nicht böswillige Vorfälle. Cyber-Versicherungen decken böswillige Vorfälle ab. Hardwareausfälle, menschliches Versagen ohne böswillige Absicht und versehentliche Datenoffenlegung fallen in der Regel unter andere Versicherungsarten, wie beispielsweise Berufshaftpflichtversicherungen.
Teildeckungssummen. Viele Deckungsbereiche weisen Teildeckungssummen auf, die deutlich unter der Gesamtdeckungssumme der Police liegen. Betriebsunterbrechungen, Social Engineering und Cryptojacking sind typische Bereiche mit Teildeckungssummen. Eine Police mit einer Deckungssumme von 5 Millionen Dollar kann beispielsweise eine Teildeckungssumme von 250.000 Dollar für Schäden durch Social Engineering vorsehen. Das Verständnis der Teildeckungssummen ist für eine realistische Bewertung des Versicherungsschutzes unerlässlich.
Wie sich das Underwriting verändert hat
Die Bedingungen für Cyberversicherungen wurden zwischen 2020 und 2022 drastisch verschärft. Die Häufigkeit und Schwere von Ransomware-Vorfällen führten zu erheblichen Verlusten für die Versicherer, was zu Prämienanstiegen, Einschränkungen des Versicherungsschutzes und deutlich strengeren Sicherheitsanforderungen vor Abschluss einer Police führte.
Von 2022 bis 2025 schwächte sich der Markt ab, da der Wettbewerbsdruck unter den Versicherern zu sinkenden Prämien und einer höheren Kapazität führte. Diese Abschwächung führte jedoch nicht zu einer Lockerung der Sicherheitsanforderungen. Versicherer, die ihre Prämien senkten, behielten ihre Kontrollanforderungen bei oder verschärften sie sogar, wodurch ein Markt entstand, in dem Versicherungsschutz zwar leichter verfügbar ist, die Hürden für die Qualifizierung sich jedoch nicht verringert haben.
Seit 2026 verschärft sich die Prüfung bei der Risikoprüfung erneut. Versicherer legen ihren Fokus zunehmend auf den Nachweis der Umsetzung von Kontrollmaßnahmen statt auf bloße Bescheinigungen. Programme zum Risikomanagement bei Dritten werden zur Voraussetzung und sind kein Unterscheidungsmerkmal mehr. Unternehmen, die keine aktuelle, dokumentierte Sicherheitslage nachweisen können, sehen sich mit dem Problem konfrontiert, dass ihnen kein Versicherungsschutz mehr angeboten wird oder die Preise unerschwinglich sind.
Die praktische Veränderung: Unternehmen, die früher mit einer einseitigen Bescheinigung auskamen, müssen nun detaillierte Sicherheitsfragebögen ausfüllen, verbindliche technische Kontrollanforderungen erfüllen und in manchen Fällen externe Sicherheitsbewertungen durchlaufen, bevor Verträge abgeschlossen werden. Die Versicherer sind damit praktisch zu einem marktbasierten Anreiz für grundlegende Sicherheitsmaßnahmen geworden.
Was Versicherer jetzt verlangen
Die meisten seriösen Cyber-Versicherer verlangen die folgenden grundlegenden Sicherheitsmaßnahmen, bevor sie Versicherungsschutz gewähren.
Mehrstufige Authentifizierung für alle Fernzugriffs-, E-Mail- und privilegierten Konten. Der Datenverstoß bei Change Healthcare im Jahr 2024, bei dem ein ungeschütztes Citrix-Portal ohne MFA ausgenutzt wurde und der zu einer Lösegeldzahlung in Höhe von 22 Millionen US-Dollar sowie zu unmittelbaren Reaktionskosten von 872 Millionen US-Dollar führte, ist mittlerweile zum branchenweiten Maßstab dafür geworden, warum MFA unverzichtbar ist. Viele Versicherer fragen mittlerweile gezielt nach der MFA-Abdeckung für jede einzelne Anwendung, anstatt sich mit einem pauschalen „Ja“ zufrieden zu geben.
Endpoint Detection and Response (EDR) wird auf allen Endgeräten eingesetzt, nicht nur auf Servern. Herkömmliche Antivirenprogramme reichen für die meisten Richtlinien nicht mehr aus. Einige Versicherer fragen mittlerweile, ob es sich um verwaltetes oder nicht verwaltetes EDR handelt, wobei verwaltetes EDR (MDR) günstigere Konditionen erhält.
Verwaltung privilegierter Zugriffe mit MFA und Just-in-Time-Zugriffskontrollen für Administratorkonten. Die Trennung zwischen alltäglichen Zugängen und privilegierten Zugängen wird zunehmend zu einer eigenständigen Frage der Risikoprüfung.
Patch-Management mit einem dokumentierten Prozess und Nachweisen über angemessene Fristen für die Behebung kritischer Sicherheitslücken. Versicherer fragen nicht mehr nur, ob ein Patch-Management vorhanden ist, sondern verlangen nun Kennzahlen: durchschnittliche Zeit bis zur Behebung kritischer CVEs, Prozentsatz der Endgeräte, die die Patch-Richtlinie einhalten.
Geprüfte, isolierte Backups. Backups, die zwar vorhanden sind, sich jedoch im selben Netzwerk wie die Produktionssysteme befinden und für Ransomware zugänglich sind, bieten weder einen Wiederherstellungswert noch einen Versicherungsnutzen. Versicherer verlangen Nachweise über netzwerkisolierte oder Offline-Backups, unveränderlichen Speicher sowie dokumentierte Ergebnisse von Wiederherstellungstests. Backups, die nie getestet wurden, werden zunehmend so behandelt, als gäbe es gar keine Backups.
Schulungen zur Sensibilisierung für Sicherheitsfragen mit nachgewiesener Durchführung und in vielen Fällen mit Ergebnissen von Phishing-Simulationen. Einige Versicherer verlangen den Nachweis, dass die Schulungen mindestens vierteljährlich statt nur einmal jährlich stattfinden.
Notfallplan mit Nachweis über die Durchführung von Tabletop-Übungen. Ein dokumentierter Plan, der nie in die Praxis umgesetzt wurde, ist ein schwächerer Nachweis als ein getesteter Plan mit dokumentierten Ergebnissen.
Die Sicherheitsmaßnahmen, die sich auf den Versicherungsschutz und die Prämie auswirken
Der Zusammenhang zwischen Sicherheitsmaßnahmen und Versicherungsökonomie wirkt in beide Richtungen.
Unternehmen mit soliden, dokumentierten Sicherheitsmaßnahmen kommen für einen umfassenderen Versicherungsschutz, höhere Deckungssummen und niedrigere Prämien in Frage. Die Investitionen in die Sicherheit zahlen sich nicht nur durch das geringere Risiko von Vorfällen aus, sondern auch durch messbare finanzielle Einsparungen bei den Versicherungskosten.
Unternehmen mit unzureichenden oder nicht dokumentierten Kontrollmaßnahmen müssen mit höheren Prämien, niedrigeren Deckungssummen, mehr Unterdeckungsgrenzen, höheren Selbstbehalten und in manchen Fällen sogar mit dem Wegfall des Versicherungsschutzes rechnen. Ein MSP, der einem Kunden dabei hilft, seine Sicherheitslage im Hinblick auf eine Vertragsverlängerung zu dokumentieren, erbringt nicht nur eine Dienstleistung zur Einhaltung von Vorschriften. Er trägt damit direkt zur Verbesserung der Versicherungsökonomie dieses Kunden bei.
Die Schadenshistorie hat erheblichen Einfluss auf die Vertragsbedingungen bei der Verlängerung. Ein Unternehmen, das einen schwerwiegenden Datenschutzverstoß erlebt hat, muss bei der Vertragsverlängerung möglicherweise mit erheblich geänderten Versicherungsbedingungen rechnen, unabhängig von den nach dem Vorfall getroffenen Verbesserungsmaßnahmen. Die zwölf Monate nach einem schwerwiegenden Schadensfall sind oft die teuerste Versicherungsperiode, die ein Unternehmen zu bewältigen hat.
Aus Sicht eines MSP stellt die Unterstützung der Kunden bei der Erreichung und Dokumentation der von Versicherern geforderten Sicherheitsgrundlagen sowohl einen Mehrwert bei der Leistungserbringung als auch eine Funktion des Risikomanagements dar. Dies senkt die Versicherungskosten des Kunden, verringert das eigene Haftungsrisiko des MSP im Zusammenhang mit Vorfällen beim Kunden und stärkt die Beratungsposition des MSP.
Cyberversicherung für MSPs
MSPs müssen zwei unterschiedliche Aspekte der Cyberversicherung berücksichtigen: den internen Versicherungsschutz für ihre eigenen Geschäftsabläufe und ihre beratende Funktion gegenüber Kunden, um diesen dabei zu helfen, Versicherungsschutz zu erlangen und aufrechtzuerhalten.
Der Versicherungsschutz muss das einzigartige Risikoprofil des MSP-Betriebs widerspiegeln. Der Zugriff mit weitreichenden Berechtigungen auf zahlreiche Kundenumgebungen birgt Haftungsrisiken, die sich grundlegend von denen einer IT-Abteilung innerhalb einer einzelnen Organisation unterscheiden. Ein Sicherheitsvorfall bei einem MSP kann sich gleichzeitig auf Dutzende von Kundenumgebungen auswirken und zu einer Gesamthaftung gegenüber Dritten führen, die durch eine standardmäßige gewerbliche Cyber-Versicherungspolice wahrscheinlich nicht ausreichend abgedeckt ist. Cyber-Versicherungspolicen für MSPs sollten einen spezifischen Versicherungsschutz für die Haftung gegenüber Kunden sowie Deckungssummen vorsehen, die dem Gesamtwert des Kundenportfolios angemessen sind.
Das Beratungspotenzial ist beträchtlich und wächst stetig. MSPs werden zunehmend gebeten, Kunden dabei zu unterstützen, Sicherheitskontrollen für Versicherungsfragebögen zu dokumentieren, sicherzustellen, dass die erbrachten Dienstleistungen den Versicherungsanforderungen entsprechen, und hinsichtlich der Angemessenheit des Versicherungsschutzes zu beraten. Dies ist eine natürliche Erweiterung des Angebots an Managed Security Services und eröffnet neue Umsatzmöglichkeiten: Beratungsleistungen zur Compliance und zur Versicherungsbereitschaft werden zunehmend zu Premiumsätzen abgerechnet.
Die vertragliche Ausgestaltung ist entscheidend. In MSP-Dienstleistungsverträgen sollten die Haftung bei Sicherheitsvorfällen, die Meldepflichten bei Datenschutzverletzungen und der Umfang der Verantwortung für den Schutz von Kundendaten klar geregelt sein. Cyberversicherungen und Vertragsbedingungen müssen gemeinsam geprüft werden. Ein MSP, dessen Vertrag die Haftung auf drei Monatsgebühren begrenzt, dessen Kunde jedoch durch eine Datenschutzverletzung Schadensersatzansprüche Dritter in Höhe von 2 Millionen Dollar verursacht, hat eine Deckungslücke, die erkannt werden muss, bevor ein Vorfall diese Lücke offenbart.
Wie Kaseya MSPs dabei unterstützt, die Anforderungen von Versicherern zu erfüllen
Kaseya 365 die von Versicherern mittlerweile geforderten Sicherheitsmaßnahmen auf einer einzigen Plattform und bietet MSPs damit sowohl den erforderlichen Schutz als auch den von Versicherern geforderten Nachweispfad.
Datto EDR bietet Endpunkt-Erkennung und -Reaktion für alle verwalteten Endpunkte sowie Managed Detection and Response MDR)-Funktionen für Unternehmen, die eine überwachte SOC-Ebene benötigen. Der Nachweis der EDR-Bereitstellung und der Reaktion auf Warnmeldungen ist eine Standardfrage bei der Risikoprüfung.
BullPhish ID bietet Schulungen zur Sensibilisierung für Sicherheitsfragen und Phishing-Simulationen in allen Kundenumgebungen an, einschließlich Berichten, die die Häufigkeit der Schulungen und die Ergebnisse der Mitarbeiter für die Versicherungsunterlagen dokumentieren.
Dark Web ID überwacht kontinuierlich kompromittierte Anmeldedaten in den Domänen der Kunden und erkennt offengelegte Anmeldedaten, bevor diese ausgenutzt werden. Die Überwachung von Anmeldedaten wird zunehmend zu einer gängigen Anforderung bei der Risikoprüfung.
Inky bietet KI-gestützte E-Mail-Sicherheit und Phishing-Schutz und bekämpft damit den Social-Engineering-Angriffsvektor, der für die meisten Erstzugriffsvorfälle verantwortlich ist.
Datto SIRIS bietet isolierte, unveränderliche Backups mit automatischer Überprüfung per Screenshot und liefert damit die dokumentierten Nachweise für Wiederherstellungstests, die Versicherer zunehmend als Beweis dafür verlangen, dass Backups tatsächlich wiederherstellbar sind.
Compliance Manager GRC erstellt von einer einzigen Plattform aus für mehrere Kunden die Dokumentation des Sicherheitsstatus und den Nachweis der Compliance, die für Underwriting-Fragebögen erforderlich sind.
Für berechtigte MSPs bietet das „Kaseya Cyber Insurance Fast Track“-Programm, das über KaseyaOne Zusammenarbeit mit Cysurance verfügbar ist, eine vorab genehmigte Cyber-Haftpflichtversicherung mit einer Deckungssumme von bis zu 1,5 Millionen US-Dollar für MSPs und deren Kunden, die die Sicherheitslösungen von Kaseya einsetzen. Berechtigte MSPs erhalten Versicherungsschutz zu Tarifen, die deutlich unter den marktüblichen Preisen liegen, und profitieren von einem vereinfachten Antragsverfahren über das KaseyaOne .
Entdecken Sie Kaseya 365 für MSPs
Das Wichtigste in Kürze
- Eine Cyberversicherung deckt die Kosten für eigene Vorfälle, die Haftpflicht gegenüber Dritten, die Verteidigung bei behördlichen Verfahren sowie Kosten im Zusammenhang mit Ransomware ab; jedoch führen Ausschlüsse für Angriffe durch staatliche Akteure, bereits bestehende Sicherheitsverletzungen und bekannte, nicht gepatchte Schwachstellen regelmäßig dazu, dass Ansprüche abgelehnt werden. Das Verständnis der Ausschlüsse ist ebenso wichtig wie das Verständnis des Versicherungsschutzes.
- Die Anforderungen an die Risikoprüfung haben sich nicht parallel zu den Prämien gelockert. Versicherer verlangen nun vor Abschluss einer Versicherung einen dokumentierten Nachweis über MFA, EDR, getestete Backups, Patch-Management und die Überprüfung von Notfallplänen. Eine bloße Bescheinigung reicht nicht mehr aus.
- Sicherheitsinvestitionen und Versicherungsökonomie stehen in direktem Zusammenhang. Solide, dokumentierte Kontrollmaßnahmen führen zu einem besseren Versicherungsschutz, niedrigeren Prämien und einer reibungsloseren Schadenabwicklung. Undokumentierte oder unzureichende Kontrollmaßnahmen bewirken das Gegenteil, unabhängig davon, was im Fragebogen angegeben ist.
- Für MSPs ist die Beratung im Bereich Cyberversicherungen – die Kunden dabei zu unterstützen, Kontrollmaßnahmen zu dokumentieren, ihre Dienstleistungen an die Anforderungen der Police anzupassen und die Voraussetzungen für den Versicherungsschutz zu erfüllen – ein wachsender und abrechnungsfähiger Geschäftsbereich, der die Kundenbeziehungen stärkt und die Wettbewerbsposition der MSPs verbessert.
