IT-Sicherheit 13.05.2026

Cyber-Versicherung für KMU 2026: Pflicht, Kosten und Voraussetzungen

Eine Cyber-Versicherung war 2020 noch ein Nice-to-have. 2026 ist sie für viele KMU in Weiz, Gleisdorf, Hartberg und der gesamten Oststeiermark eine harte betriebswirtschaftliche Notwendigkeit – getrieben durch NISG 2026, explodierende Ransomware-Schäden und verschärfte DSGVO-Pflichten. Gleichzeitig haben Versicherer ihre Voraussetzungen 2026 massiv hochgeschraubt: Wer MFA, EDR und Backup-Strategie nicht sauber aufgestellt hat, bekommt entweder keine Police – oder im Schadensfall keine Leistung. In diesem Ratgeber zeigt Krempl-IT, was eine Cyber-Versicherung wirklich kostet, was sie abdeckt, was sie ausschließt und welche Voraussetzungen Unternehmen jetzt erfüllen müssen.

Was ist eine Cyber-Versicherung überhaupt?

Eine Cyber-Versicherung (auch Cyberpolice oder Cyber-Risk-Versicherung genannt) ist eine spezialisierte Unternehmensversicherung gegen die finanziellen Folgen von Cyberangriffen. Sie ergänzt – ersetzt aber nicht – die technischen IT-Sicherheitsmaßnahmen.

Typische gedeckte Schadensereignisse:

Ransomware-Angriffe mit Datenverschlüsselung und Erpressung
Datendiebstahl und unrechtmäßiger Zugriff auf personenbezogene Daten
Business Email Compromise (BEC) und CEO-Fraud (eingeschränkt – siehe unten)
DDoS-Angriffe und Betriebsunterbrechungen durch Hackerangriffe
DSGVO-Verletzungen und damit verbundene Bußgelder (sofern versicherbar)
Drittschäden durch infizierte Mails oder kompromittierte Systeme

Die österreichische Plattform für digitale Sicherheit sieht Cyber-Versicherungen vor allem für KMU ohne eigene IT-Abteilung als sinnvoll an – also für die typische Klientel in Weiz, Birkfeld und im gesamten Bezirk.

Wie verbreitet ist die Cyber-Versicherung in Österreich?

Nur rund ein Viertel der österreichischen Unternehmen verfügt aktuell über eine Cyber-Versicherung – das zeigt die jährliche KPMG-Studie „Cybersecurity in Österreich 2025" in Zusammenarbeit mit dem Kompetenzzentrum Sicheres Österreich (KSÖ), die auf 1.391 befragten Unternehmen basiert.

Gleichzeitig wird laut derselben Studie jeder siebte Cyberangriff erfolgreich, und 28 % der Angriffe sind mittlerweile staatlich unterstützt – mehr als doppelt so viele wie 2024. Bei 32 % der Unternehmen wurden Lieferanten oder Dienstleister Opfer von Cyberangriffen mit signifikanten Auswirkungen auf das eigene Geschäft.

Die Lücke zwischen Bedrohungslage und Versicherungsschutz ist also massiv – und sie wird 2026 zu einem realen Problem.

Warum 2026 das Schlüsseljahr ist

Ransomware-Schäden explodieren

Der Coalition 2026 Cyber Claims Report, basierend auf über 100.000 globalen Policen, zeigt: Die initialen Lösegeldforderungen sind 2025 gegenüber dem Vorjahr um 47 % gestiegen und liegen im Schnitt bei über 1 Mio. USD pro Vorfall. 70 % aller Ransomware-Angriffe sind heute Double-Extortion-Angriffe – die Angreifer verschlüsseln nicht nur, sondern stehlen die Daten zusätzlich und drohen mit Veröffentlichung. Die positive Nachricht: 86 % der betroffenen Unternehmen weigern sich inzwischen zu zahlen – Voraussetzung dafür sind funktionierende Backups und Incident-Response-Pläne.

Auch das Allianz Risk Barometer 2026 sieht Cyber-Vorfälle das fünfte Jahr in Folge als Geschäftsrisiko Nr. 1 (42 % der globalen Antworten). Ransomware macht 60 % aller großen Cyber-Schäden über 1 Mio. € aus.

BSI-Lagebericht 2025: KMU im Fadenkreuz

Laut BSI-Lagebericht 2025 wurden im Berichtszeitraum (Juli 2024 – Juni 2025) 950 Ransomware-Angriffe registriert, rund 80 % davon gegen kleine und mittlere Unternehmen – nicht gegen Großkonzerne. Das BSI schätzt die Dunkelziffer zehnmal höher. Pro Tag werden im Schnitt 119 neue Sicherheitslücken entdeckt – eine Steigerung um 24 % gegenüber dem Vorjahr.

NISG 2026 ab 1. Oktober 2026

Mit dem NISG 2026 (Umsetzung der EU-NIS-2-Richtlinie) gelten ab 1. Oktober 2026 verpflichtende Risikomanagement- und Meldepflichten für rund 4.000 österreichische Unternehmen aus 18 Sektoren ab mittlerer Größe. Eine Cyber-Versicherung ist im Gesetz zwar nicht direkt vorgeschrieben – sie ist aber faktisch Teil eines vernünftigen Risikomanagements und kann bei einer Behördenprüfung als Nachweis dienen. Die Geschäftsführung haftet bei Pflichtverletzungen persönlich. Details in unserem ausführlichen Beitrag zu NIS2 / NISG 2026.

DSGVO: Bußgelder und Stand der Technik

Bei Datenpannen drohen nach Art. 83 DSGVO Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Eine Cyber-Versicherung übernimmt – je nach Police und Land – zumindest die forensische Aufklärung, DSGVO-Rechtsbeistand, Krisenkommunikation und Meldekosten. Das eigentliche behördliche Bußgeld ist je nach Police nur eingeschränkt versicherbar.

Was eine Cyber-Versicherung typischerweise abdeckt

Die Leistungen variieren stark zwischen Anbietern, decken aber im Kern ähnliche Bereiche ab:

Leistungsbaustein	Was wird übernommen?
IT-Forensik	Analyse des Angriffs durch Spezialisten, Beweissicherung
Datenwiederherstellung	Kosten für Recovery, Neu-Aufsetzen von Systemen
Krisenkommunikation	PR, Kundeninformation, Mitarbeiterkommunikation
Lösegeld-Verhandlung	Spezialisierte Verhandler, ggf. Zahlung (umstritten)
Betriebsunterbrechung	Entgangener Gewinn während des Ausfalls
Haftpflicht / Drittschäden	Schadenersatz an Kunden, Lieferanten
DSGVO-Rechtsbeistand	Anwaltskosten, Meldung an Datenschutzbehörde
24/7-Incident-Response	Hotline und Sofortunterstützung im Schadensfall

Besonders wertvoll für KMU ist die 24/7-Incident-Response-Hotline: Im Akutfall steht innerhalb von Minuten ein eingespieltes Team aus Forensikern, IT-Spezialisten und Krisenkommunikatoren bereit – etwas, das ein kleiner Betrieb in Weiz oder St. Ruprecht an der Raab selbst nie aufbauen könnte.

Was eine Cyber-Versicherung NICHT abdeckt

Genau hier scheitern viele Erwartungen. Laut WKO – Cyber-Versicherungen und marktüblichen Bedingungen sind typischerweise nicht versichert:

Vermögensschäden des eigenen Unternehmens (z.B. fälschlich überwiesene Beträge bei CEO-Fraud)
Hardware-Schäden (Computer, Server – das deckt die Sachversicherung)
Vorsätzliche Handlungen der eigenen Geschäftsführung
Fehlende oder nicht eingehaltene Obliegenheiten (MFA, Patches, Backups)
Veraltete Software ohne Hersteller-Support (z.B. nicht migrierte Windows-10-Systeme)
Angriffe vor Vertragsbeginn oder bereits bekannte Schwachstellen
Krieg, staatliche Angriffe (Achtung: Die War-Exclusion ist 2024/25 stark verschärft worden)

Besonders kritisch ist die War-Exclusion-Klausel: Viele Versicherer schließen Schäden aus, wenn ein Angriff einem staatlichen Akteur zugerechnet werden kann. Angesichts dessen, dass laut KPMG bereits 28 % der Angriffe in Österreich staatlich unterstützt sind, ist das eine wachsende Lücke.

Voraussetzungen 2026: Was Versicherer verlangen

Die Underwriting-Prüfung hat sich 2026 dramatisch verschärft. Wer eine Police will, muss harte technische Anforderungen erfüllen – und auch nachweisen können, dass sie zum Zeitpunkt eines Schadens tatsächlich aktiv waren.

Multi-Faktor-Authentifizierung (MFA) — die rote Linie

96 % der Cyber-Versicherer verlangen 2026 erzwungene Multi-Faktor-Authentifizierung. Ohne MFA gibt es schlicht kein Angebot mehr. Verlangt wird MFA für:

Alle E-Mail-Postfächer (Microsoft 365, Google Workspace, Exchange)
Alle VPN-Zugänge und Remote-Desktops (RDP)
Alle Admin- und privilegierten Konten
Cloud-Anwendungen mit Zugriff auf Unternehmensdaten

Wichtig: MFA muss erzwungen sein, nicht nur „verfügbar". Wenn auch nur ein einziges Postfach ohne MFA läuft und genau dieses wird kompromittiert – Police wertlos. Die saubere MFA-Einführung gehört zum Standard-Setup bei unserer Microsoft-365-Administration.

Endpoint Detection & Response (EDR / MDR)

88 % der Versicherer verlangen EDR oder Managed Detection and Response auf allen Endgeräten – nicht nur den wichtigsten. Klassischer Virenschutz reicht 2026 nicht mehr. EDR-Lösungen erkennen verhaltensbasiert Auffälligkeiten (z.B. ein Prozess, der plötzlich beginnt, Tausende Dateien zu verschlüsseln) und können automatisch reagieren.

Backup-Strategie mit Immutability

Versicherer fragen nicht mehr nur „Haben Sie Backups?", sondern verlangen:

3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 außer Haus
Immutable Backups: physisch oder logisch getrennt, nicht durch Ransomware verschlüsselbar
Regelmäßige Restore-Tests mit Dokumentation
Klare RTO/RPO-Definition (Recovery Time / Point Objective)

Details zum Aufbau finden Sie in unserem Beitrag zu Backup & Datensicherung für KMU.

Patch-Management mit Nachweis

Kritische Sicherheitslücken müssen innerhalb von definierten Zeitfenstern (oft 14 oder 30 Tage) geschlossen werden
Nachweisbarkeit über ein zentrales Patch-Management-Tool
End-of-Life-Systeme (z.B. Windows 10 ohne ESU) sind ein Ausschlusskriterium

Awareness und Phishing-Schulungen

Mitarbeiter-Schulungen werden inzwischen aktiv abgefragt. Wer keine regelmäßigen Phishing-Tests und Awareness-Maßnahmen nachweisen kann, zahlt höhere Prämien oder bekommt schlechtere Konditionen. Mehr dazu in unserem Beitrag zu Phishing erkennen und vermeiden.

Wenn der Antrag abgelehnt wird – oder die Leistung im Schadensfall

Die Realität ist hart: Laut Branchenanalysen werden rund 40 % der ersten Versicherungsanträge abgelehnt – Top-Gründe sind fehlende MFA, kein EDR und ungetestete Backups. Noch bitterer ist die Situation nach einem Schaden: Versicherer prüfen heute forensisch, ob alle vereinbarten Maßnahmen zum Zeitpunkt des Vorfalls tatsächlich aktiv waren.

Ein dokumentierter Fall aus den USA: Einer Stadtverwaltung wurde laut Coalition-Report ein Schaden über 18,3 Mio. USD abgelehnt, weil MFA nicht flächendeckend implementiert war. In Österreich gibt es vergleichbare Fälle bei KMU – nur kommen sie selten an die Öffentlichkeit.

Praktische Konsequenz für die Geschäftsführung:

Beweislast liegt beim Versicherten – im Schadensfall müssen Sie belegen, dass alle Obliegenheiten eingehalten wurden
Dokumentation ist Pflicht – Audit-Logs, Patch-Reports, Backup-Tests, MFA-Aktivierungs-Reports schriftlich vorhalten
Keine Schein-Lösungen – „MFA verfügbar" ohne erzwungene Aktivierung gilt nicht

Was kostet eine Cyber-Versicherung für KMU 2026?

Pauschal lässt sich das nicht beantworten. Die Prämie hängt von Jahresumsatz, Mitarbeiterzahl, Branche, gewünschter Deckungssumme und IT-Reifegrad ab. Als grobe Orientierung aus dem deutschsprachigen Markt 2025/26:

Unternehmensgröße	Jahresprämie (Richtwert)	Typische Deckungssumme
Klein-KMU (1–10 MA)	ca. 500 – 1.500 €	250.000 – 1 Mio. €
Mittel-KMU (10–50 MA)	ca. 1.500 – 5.000 €	1 – 3 Mio. €
Größere KMU (50–250 MA)	ca. 5.000 – 20.000 € +	3 – 10 Mio. €

Branchen mit hohem Datenrisiko – Steuerberater, Ärzte, Anwälte, E-Commerce, Industrie mit Lieferketten – zahlen deutlich mehr. Branchen mit gut aufgestellter IT (z.B. nach ISO 27001, Cyber Trust Austria) zahlen weniger.

Prämien-Senker (sofortige Wirkung): erzwungene MFA, EDR/MDR-Tool, immutable Backups, dokumentiertes Patch-Management, jährliche Awareness-Schulungen, regelmäßige Pentests. Wer diese fünf Punkte sauber umsetzt, zahlt nicht selten 30–50 % weniger und bekommt überhaupt erst ein Angebot.

Cyber-Versicherung und NIS2: Was Geschäftsführer wissen müssen

Eine Cyber-Versicherung ist kein Ersatz für NIS2-Compliance. Sie kann aber Teil der Risikomanagement-Strategie nach § 32 NISG 2026 sein. Wichtig zu wissen:

Persönliche Haftung der Geschäftsführung für nicht umgesetzte Risikomanagementmaßnahmen – das deckt keine Cyber-Versicherung
Meldepflichten bleiben bestehen: 24 h Frühwarnung, 72 h Meldung, 1 Monat Abschlussbericht – die Versicherung kann unterstützen, ersetzt sie aber nicht
D&O-Versicherung (Manager-Haftpflicht) ist eine separate Police, die Cyber-Versicherer nicht automatisch enthalten

Die Kombination aus NIS2-Umsetzung + Cyber-Versicherung + D&O ist 2026 für betroffene KMU der realistische Sicherheits-Standard.

Förderungen in Österreich nutzen

Über das Programm KMU.DIGITAL des Bundesministeriums und der Austria Wirtschaftsservice (aws) werden im Zeitraum 2024–2026 insgesamt 35 Mio. € in die digitale Transformation österreichischer KMU investiert – IT- und Cybersecurity ist eines der vier Förderthemen. Die aktuellen Zuschüsse:

Status- & Potenzialanalyse: 80 % Zuschuss, max. 400 € pro Tool
Strategie-Beratung: 50 % Zuschuss, max. 1.000 € pro Tool
Umsetzungsförderung: 30 % Zuschuss, max. 6.000 € pro Projekt (eine geförderte Beratung muss vorab abgeschlossen sein)

Da die Budgets nach dem First-Come-First-Serve-Prinzip vergeben werden, sind einzelne Tranchen rasch ausgeschöpft. Wer plant zu investieren, sollte sich frühzeitig auf kmudigital.at informieren und einen zertifizierten Berater hinzuziehen.

5 Schritte zur richtigen Cyber-Versicherung für Ihr KMU

Schritt 1: IT-Status ehrlich aufnehmen. Welche Systeme sind im Einsatz? Welche Sicherheitsmaßnahmen laufen wirklich (nicht nur theoretisch)? Was läuft auf End-of-Life-Software? Ein ehrliches IT-Audit ist die Basis – wer beim Antrag mogelt, riskiert die Police.
Schritt 2: Risikoanalyse durchführen. Welche Daten verarbeiten Sie? Welche Betriebsunterbrechung könnten Sie überleben (Tage, Wochen)? Welche Lieferanten könnten Sie mitziehen? Daraus ergibt sich die nötige Deckungssumme.
Schritt 3: Lücken schließen, bevor Sie den Antrag stellen. MFA aktivieren, EDR ausrollen, Backup-Strategie sauber aufsetzen, Patch-Management dokumentieren, Mitarbeiter-Schulungen einplanen. Das senkt die Prämie und verhindert die Ablehnung.
Schritt 4: Mehrere Angebote vergleichen. Cyber-Policen unterscheiden sich stark in Deckung, Ausschlüssen und Obliegenheiten. Ein unabhängiger Versicherungsmakler mit Cyber-Spezialisierung lohnt sich. Die WKO-Cybersecurity-Hotline (0800 888 133, 24/7) ist eine gute erste Anlaufstelle für Mitglieder.
Schritt 5: Obliegenheiten dauerhaft einhalten und dokumentieren. Audit-Logs, Patch-Reports, Backup-Tests, MFA-Status, Schulungs-Nachweise – alles schriftlich, jährlich aktualisiert. So sind Sie im Schadensfall handlungsfähig.

Krempl-IT: Vorbereitung auf die Cyber-Versicherung in Weiz, Hartberg & Umgebung

Eine Cyber-Versicherung verkaufen wir nicht – dafür gibt es spezialisierte Makler. Was wir tun: Wir bringen die technischen Voraussetzungen in Ordnung, die ein Versicherer 2026 verlangt – sauber, dokumentiert und prüfbar.

Als IT-Dienstleister in Weiz, Gleisdorf, St. Ruprecht an der Raab, Birkfeld, Hartberg, Pöllau, Vorau, Passail und im Großraum Graz begleiten wir KMU pragmatisch:

Cyber-Insurance-Readiness-Audit – Inventur Ihrer Systeme, Bewertung gegen die Standard-Obliegenheiten von Versicherern
MFA-Rollout für Microsoft 365, VPN, RDP und Admin-Konten – siehe Microsoft 365 Administration
Endpoint Detection & Response mit ESET und XEOX Patch-Management
Backup-Strategie nach 3-2-1 mit Veeam oder Open-Source-Lösungen
Awareness-Schulungen und Phishing-Tests für Ihre Mitarbeiter
Dokumentation aller Maßnahmen in einer prüfbaren Form (wichtig für Versicherungsantrag und NIS2)
Laufende Betreuung über unser strukturiertes Vorgehen

Wir kommen vor Ort oder unterstützen per Fernwartung – je nachdem, was schneller ist.

Fazit

Eine Cyber-Versicherung ist 2026 für KMU kein Schutz statt IT-Sicherheit, sondern Schutz zusätzlich zu IT-Sicherheit. Die Versicherer verlangen heute genau jene Basics, die ein verantwortungsvolles KMU ohnehin haben sollte – MFA, EDR, immutable Backups, Patches, Schulungen. Wer diese fünf Punkte sauber umsetzt, bekommt nicht nur eine bezahlbare Police, sondern hat gleichzeitig 80 % der NIS2-Anforderungen und einen Großteil der DSGVO-Pflichten erledigt. Die Investition lohnt sich also doppelt.

Sie wissen nicht, ob Ihr Unternehmen die Voraussetzungen für eine Cyber-Versicherung erfüllt – oder ob Ihre bestehende Police bei einem Schaden wirklich greifen würde? Kontaktieren Sie uns für ein unverbindliches Erstgespräch oder nutzen Sie unsere Fernwartung für eine schnelle Erstbewertung Ihrer aktuellen IT-Sicherheitslage. Wir sagen Ihnen ehrlich, wo Sie stehen, was fehlt und in welcher Reihenfolge die Maßnahmen sinnvoll sind.