Zum Hauptinhalt springen
BarmeniaGothaer
Markus Focht
Gewerbeversicherung

Cyber-Versicherung für KMU in Karlsruhe

Ransomware, Phishing, Datenpannen — ein erfolgreicher Angriff legt einen Mittelständler im Schnitt drei Wochen lahm. Die Cyber-Versicherung deckt IT-Forensik, Krisenmanager, DSGVO-Benachrichtigungen und Drittschadensersatz. Beratung in Karlsruhe — persönlich, nicht über eine Online-Maske.

Kurzantwort: Was leistet die Cyber-Versicherung?

Die Gothaer Cyber-Versicherung (Stand AVB 02.2025) übernimmt bei Datenrechtsverletzung, IT-Sicherheitsverletzung oder Hacker-Angriff drei Leistungsblöcke: Eigenschäden (IT-Forensik, Krisenmanager, Datenwiederherstellung, DSGVO-Benachrichtigung), Drittschäden (Haftpflicht, Abwehr unberechtigter Ansprüche, Rechtsschutz) und optional Betriebsunterbrechung, Cyber-Erpressung sowie DSGVO-Bußgelder.

Wichtig für Karlsruher KMU mit Mandanten- oder Kundendaten: Die Rückwärtsversicherung deckt bis zu 24 Monate Altfälle, die Nachmeldefrist nach Vertragsende läuft 36 Monate.

Was ist versichert?

Versicherungsschutz greift bei drei Auslöseereignissen – und umfasst sowohl Eigen- als auch Drittschäden.

Versicherungsfalle die den Schutz auslosen

Datenrechtsverletzung

Unrechtmäßige Erhebung oder Verarbeitung personenbezogener Daten.

IT-Sicherheitsverletzung

Angriff der Vertraulichkeit, Verfügbarkeit oder Integrität verletzt.

Hacker-Angriff

Unbefugter Zugriff auf IT-Systeme des Unternehmens.

Drittschaden-Haftpflicht

Schadensersatzpflicht prufen

Gothaer prüft ob und wie viel Schadensersatz tatsächlich geschuldet wird.

Berechtigte Ansprüche regulieren

Regulierung berechtigter Schadensersatzansprüche Dritter.

Unberechtigte Ansprüche abwehren

Gothaer führt den Prozess und trägt alle Verfahrenskosten.

Behördliche Datenschutzverfahren

Schutz bei behördlichen Verfahren wegen Datenschutzverletzungen (§ 7.1 AVB).

Cloud-Dienstleister mitversicherbar

Ausgegliederte Datenverarbeitung bei externen Anbietern einschließbar.

Medienhaftpflicht

Haftpflichtschutz für digitale Medieninhalte mitversicherbar.

Eigenschaden-Leistungen (Standardumfang)

IT-Forensiker

Sofortige Eindammung des Angriffs durch qualifizierte Spezialisten.

Verbesserungsempfehlungen

Analyse und Empfehlungen zur Sicherheitsverbesserung nach dem Vorfall.

Benachrichtigungskosten

Kosten der gesetzlich vorgeschriebenen Betroffeneninformation.

PR-Maßnahmen

Professioneller Reputationsschutz nach öffentlich bekannt gewordenem Vorfall.

Datenwiederherstellung

Kosten für die Wiederherstellung beschädigter oder gelöschter Daten und Programme.

Krisenmanager

Koordinierter Einsatz eines erfahrenen Krisenmanagers.

Optionale Erweiterungen

Betriebsunterbrechung durch Cyber-Vorfall
Cyber-Erpressung (Ransomware)
Cyber-Diebstahl und Cyber-Betrug
Bedienfehler als Auslöser mitversicherbar
DSGVO-Bußgelder (soweit gesetzlich versicherbar)
BYOD – Bring-your-own-device
PCI-DSS-Vertragsstrafen

Was ist NICHT versichert?

Diese Risiken sind ausdrücklich ausgeschlossen – direkt aus den AVB (Gothaer Gewerbe Cyber-Versicherung 216273).

Fehlende IT-Mindestanforderungen

Wer die IT-Mindestanforderungen aus Teil VI Ziffer 8.1 AVB (Firewall, Virenscanner, Patches, Backups, Berechtigungsmanagement) nicht laufend einhält, verliert im Schadenfall den Versicherungsschutz.

Vorsätzliche Schäden

Absichtlich herbeigeführte Cyber-Schäden sind nach Teil V AVB vom Versicherungsschutz ausgenommen.

Kriegs- und Staatsangriffe

Kriegsschäden und staatlich organisierte Cyberangriffe (z. B. Geheimdienste) bleiben ausgeschlossen.

Social Media & soziale Netzwerke

Services und Systeme von Facebook, Instagram, Twitter/X, TikTok, LinkedIn oder XING gelten ausdrücklich nicht als Computersystem des Versicherten (Teil I Ziffer 3).

Lösegeldzahlung ohne Absprache

Zahlen Sie bei Ransomware ohne vorherige Freigabe durch Gothaer, entfällt der Versicherungsschutz für die Zahlung.

Wiederherstellung nach 12 Monaten

Wiederherstellung von Daten und Programmen, die nicht innerhalb von 12 Monaten nach Eintritt des Versicherungsfalls erfolgt, ist nicht mehr gedeckt (Ziffer 3.6.4 AVB).

Für wen ist die Cyber-Versicherung geeignet?

Geeignet für

  • KMU mit Kundendaten oder personenbezogenen Daten
  • Online-Shops und digitale Dienstleister
  • Unternehmen mit Cloud-Nutzung oder Homeoffice
  • Steuerberater, Ärzte, Anwälte (sensible Daten)
  • Produktionsbetriebe mit vernetzten Maschinen (IoT)
  • Unternehmen mit DSGVO-Meldepflichten

Weniger geeignet / Einschränkungen

  • Unternehmen ohne jegliche IT-Infrastruktur
  • Betriebe die IT-Mindeststandards nicht erfüllen können
  • Privatpersonen (kein gewerblicher Versicherungsschutz)
  • Unternehmen mit bekannten laufenden Cyberangriffen zum Antragszeitpunkt

Typische Fehler und Missverständnisse

"Wir sind zu klein für Hacker"

60 % aller Cyberangriffe treffen KMU – gerade wegen mangelnder IT-Sicherheit sind kleine Betriebe attraktive Ziele.

DSGVO-Meldepflicht vergessen

Nach einer Datenpanne gilt eine 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde. Bei Versäumnis drohen Bußgelder bis 20 Mio. EUR.

Keine Backups – keine Wiederherstellung

Die Versicherung zahlt Wiederherstellungskosten, aber ohne Backup dauert die Wiederherstellung Monate – oder ist unmöglich.

Betriebsunterbrechungsklausel weggelassen

Betriebsunterbrechung ist nach einem Angriff oft der größte Kostentreiber – und muss ausdrücklich eingeschlossen werden.

Schadenfall: Was passiert dann?

Ablauf bei einem Cyber-Vorfall – Schritt für Schritt laut AVB.

1

Cyber-Hotline anrufen (Nummer im Versicherungsschein) — unverzüglich, rund um die Uhr.

2

Schaden zusätzlich innerhalb einer Woche in Textform (E-Mail, Brief, Fax) bei Gothaer melden.

3

IT-Systeme isolieren — weitere Ausbreitung verhindern (Schadensminderungspflicht aus Teil VI Ziffer 8).

4

Keine Lösegeldzahlung ohne Freigabe durch Gothaer — sonst entfällt der Schutz für die Zahlung.

5

Gothaer beauftragt qualifiziertes IT-Forensik-Unternehmen zur Analyse. Die ersten 48 Stunden sind auch dann gedeckt, wenn sich der Verdacht nicht bestätigt (Ziffer 3.1 AVB).

6

Dokumentation aller betroffenen Systeme, Datenkategorien und Zeitstempel.

7

Bei Datenpanne: Gothaer unterstützt bei der DSGVO-Meldepflicht (72-Stunden-Frist an die Aufsichtsbehörde nach Art. 33 DSGVO).

8

Krisenmanager, PR-Berater und Call-Center (Ziffer 3.3–3.4 AVB) werden durch Gothaer koordiniert — für Reputationsschutz und Betroffenenkommunikation.

9

Auf Wunsch: Datenüberwachungsdienstleistung bis zu 12 Monate (Monitoring bei Kreditkarten-Datenlecks, Ziffer 3.5 AVB).

10

Regulierung berechtigter Drittansprüche oder Abwehr unberechtigter Forderungen — Gothaer führt den Rechtsstreit auf eigene Kosten.

So läuft die Beratung ab

1

Anfrage

Sie schildern kurz Ihr Unternehmen, Branche, Mitarbeiterzahl und IT-Infrastruktur. Online oder telefonisch.

2

Analyse

Ich prüfe Ihren Schutzbedarf, die passenden Bausteine und frage Vergleichsangebote an.

3

Angebot

Sie erhalten ein verständliches Angebot mit Deckungsumfang, Beitrag und Empfehlung – ohne Verpflichtung.

Cyber-Versicherung nach Branche

Für vier Branchen finden Sie dedizierte Seiten mit branchenspezifischen Risiken, Softwarebezügen und typischen Schadensszenarien.

Cyber für Handwerksbetriebe

Mobile Teams, Cloud-Disposition, Rechnungssoftware, CAD/BIM-Daten, BYOD auf der Baustelle.

Cyber für Arztpraxen

Patientendaten, DSGVO + § 203 StGB, Praxisverwaltungssoftware, TI-Konnektor, NIS2-Betroffenheit.

Cyber für Steuerkanzleien

CEO-Fraud, DATEV-Cloud, Mandantendaten, Berufsgeheimnis nach § 57 StBerG.

Cyber für Online-Shops

Magecart, DDoS während Black Friday, PCI-DSS-Vertragsstrafen, Shopify / Shopware Cloud.

Sie sind aus Karlsruhe? Zur lokalen Beratungsseite

Häufige Fragen zur Cyber-Versicherung

Was kostet eine Cyber-Versicherung für KMU in Karlsruhe?

Je nach Branche, Umsatz, Mitarbeiterzahl und IT-Reifegrad. Maßgeblich sind der Risikofragebogen und die gewünschten optionalen Bausteine (Cyber-Erpressung, Betriebsunterbrechung, DSGVO-Bußgelder). In der persönlichen Beratung prüfe ich mindestens zwei Varianten mit unterschiedlichen Sublimits.

Deckt die Versicherung auch Ransomware und Erpressung?

Ja, wenn der optionale Baustein Cyber-Erpressung (Teil IV Ziffer 4 AVB) vereinbart ist. Wichtig: Lösegeldzahlungen dürfen nicht ohne vorherige Freigabe durch Gothaer erfolgen, sonst entfällt der Schutz für die Zahlung.

Welche IT-Mindeststandards muss mein Unternehmen dauerhaft erfüllen?

Teil VI Ziffer 8.1 AVB verlangt: aktive Firewall, aktueller Virenschutz, regelmäßiges Patch-Management, Datensicherungen mit Wiederherstellungstest, dokumentiertes Berechtigungsmanagement und Mitarbeitersensibilisierung. Werden diese Standards nicht laufend eingehalten, droht bei einem Schaden der Rückgriff auf Obliegenheitsverletzung.

Was gilt, wenn ein Mitarbeiter versehentlich Daten löscht oder auf Phishing klickt?

Mit dem optionalen Bedienfehler-Baustein (Teil IV Ziffer 3.3 AVB) ist fahrlässiges Mitarbeiterhandeln gedeckt — inklusive versehentlichem Datenverlust, falschen Klicks auf Phishing-Links und Fehlkonfigurationen.

Ist Cloud-Nutzung (Microsoft 365, AWS) mitversichert?

Ja. Ausgegliederte Datenverarbeitung bei Cloud-Dienstleistern ist nach Teil II Ziffer 7.3 AVB mitversicherbar. Für Betriebsunterbrechungen durch Cloud-Ausfall gilt die Cloud nach Teil I Ziffer 3 zusätzlich als Teil des Computersystems.

Was zahlt die Versicherung, wenn ich nach dem Angriff erst Wochen später das Ausmaß erkenne?

Bei Eigenschäden gilt das Feststellungsprinzip (Teil III Ziffer 2 AVB): Versicherungsfall tritt ein, sobald konkrete Anzeichen einer Datenrechtsverletzung, IT-Sicherheitsverletzung oder eines Hacker-Angriffs nachprüfbar festgestellt werden. Die Feststellung muss während der Vertragslaufzeit erfolgen — Rückwärtsversicherung deckt zusätzlich bis zu 24 Monate Altfälle.

Was passiert, wenn ich die Police kündige und später ein Altfall auftaucht?

Für Drittschäden gilt eine Nachmeldefrist von 36 Monaten nach Vertragsende (Teil II Ziffer 4 AVB). Wird in dieser Zeit ein Haftpflichtanspruch aus einer während der Vertragslaufzeit begangenen Pflichtverletzung geltend gemacht, besteht weiterhin Schutz bis zur nicht verbrauchten Versicherungssumme.

Sind Schäden auf LinkedIn, Facebook oder Instagram mitversichert?

Nein. Services und Systeme sozialer Netzwerke (Facebook, Instagram, X/Twitter, TikTok, LinkedIn, XING) gelten nach Teil I Ziffer 3 AVB ausdrücklich nicht als Computersystem des Versicherten. Reputationsschäden aus Social-Media-Aktivitäten fallen nicht unter die Cyber-Police.

Cyber-Schutz für Ihr Unternehmen

Die Frage ist nicht ob, sondern wann ein Cyberangriff stattfindet. Ich helfe Ihnen, das richtige Schutzpaket für Ihr Unternehmen zu finden.

Kostenloses Angebot anfragen

Sinnvolle Ergänzungen zur Cyber-Versicherung

Die Gothaer Cyber-Versicherung deckt den Schaden selbst. Drei Policen ergänzen sie typischerweise:

Roland Cyber-Rechtsschutz

Übernimmt Anwalts- und Gerichtskosten bei Abmahnungen, DSGVO-Bußgeldverfahren und IT-Vertragsstreitigkeiten.

Betriebshaftpflicht

Sach- und Personenschäden — z. B. wenn eine gehackte Steuerungsanlage beim Kunden zu einem Wasserschaden führt.

D&O-Versicherung

Schutz von Geschäftsführung und Vorstand gegen persönliche Inanspruchnahme nach einem Cyber-Vorfall.

Die Angaben basieren auf den Allgemeinen Versicherungsbedingungen der Gothaer Cyber-Versicherung (Dokument 216273, Stand AVB 02.2025). Konkrete Leistungen, Sublimits, Selbstbeteiligungen und optionale Bausteine werden im individuellen Versicherungsschein festgehalten. Markus Focht ist gebundener Versicherungsvertreter (§ 34d Abs. 7 GewO) der Barmenia Krankenversicherung AG, Büro in Karlsruhe.