Penetrationstest für die Cyberversicherung: Was Versicherer heute verlangen — und wie Sie es nachweisen

Nach Jahren hoher Schadenquoten haben Cyberversicherer ihre Zeichnungspraxis verschärft. Penetrationstests, regelmäßige Schwachstellen-Scans, MFA und EDR sind heute übliche Bedingungen, um eine Police abzuschließen oder zu verlängern — und ein fehlender oder veralteter Pentest kann eine höhere Prämie, geringere Deckung oder eine Ablehnung bedeuten. Matproof Sentinel erstellt den prüfungssicheren Pentest-Bericht, den Versicherer verlangen, ab 149 € und mit einem kostenlosen Scan zum Start.

Kostenlosen Pentest-Scan starten
MW
Geschrieben von Malte Wagenbach
Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).
Zuletzt überprüft: 17. Mai 2026

Warum Ihr Cyberversicherer einen Penetrationstest verlangt

Die Schadenquoten in der Cyberversicherung sind durch die Ransomware-Jahre stark gestiegen, und die Versicherer haben den Antragsfragebogen in eine echte Sicherheitsprüfung verwandelt. Wo früher einige Ja/Nein-Fragen genügten, verlangen Makler heute den Nachweis konkreter Kontrollen, bevor sie ein Angebot machen — und der Penetrationstest gehört zunehmend dazu, neben Multi-Faktor-Authentifizierung für alle Fernzugänge und E-Mail, Endpoint Detection and Response, getesteten Backups und einem Schwachstellenmanagement. Die Logik ist einfach: Ein Versicherer, der Ihr Risiko bepreist, will den Nachweis, dass ein Angreifer Ihre kritischen Systeme nicht trivial erreichen kann. Ein aktueller Pentest-Bericht — der zeigt, was getestet wurde, was gefunden wurde und dass ausnutzbare Schwachstellen behoben sind — ist der sauberste Nachweis dafür. Ebenso wichtig: Wenn Sie einen Schaden melden und sich herausstellt, dass Sie Ihre Sicherheitslage im Antrag falsch dargestellt haben, kann der Versicherer die Leistung kürzen oder verweigern. Ein ehrlicher, dokumentierter Pentest schützt sowohl Ihre Prämie als auch Ihre Auszahlung.

  • Bedingung für Abschluss und Verlängerung: Viele Versicherer verlangen einen aktuellen (oft jährlichen) Penetrationstest, bevor sie zeichnen.
  • Prämienwirkung: Dokumentierte Tests und Behebung können die Prämie senken; ein fehlender Test erhöht sie — oder führt zur Ablehnung.
  • Schutz im Schadenfall: Falsche Angaben im Antrag können die Auszahlung gefährden — ein dokumentierter Pentest hält Ihre Angaben belastbar.
  • Mehr als der Test: Versicherer erwarten zudem MFA überall, EDR, getestete Backups und laufende Schwachstellen-Scans — was kontinuierliches Testen ganzjährig belegt.

Was ein versicherungstauglicher Penetrationstest abdecken sollte

  • Externe Angriffsfläche: jeder aus dem Internet erreichbare Dienst, exponierte Admin-Oberflächen und Fernzugriffe (VPN, RDP, Web-Portale) — die Wege, die Ransomware-Akteure tatsächlich nutzen.
  • Web- und API-Sicherheit: OWASP Top 10 und OWASP API Security Top 10 — fehlerhafte Zugriffskontrolle, Injection, Authentifizierungsfehler und SSRF.
  • Authentifizierung und MFA: Prüfung, ob MFA für Fernzugriff, E-Mail und privilegierte Konten wirklich erzwungen (nicht umgehbar) ist — eine Kontrolle, nach der Versicherer ausdrücklich fragen.
  • Bekannte CVE-Exposition: Bestätigung, dass internetnahe Systeme gegen die hochkritischen, aktiv ausgenutzten CVEs gepatcht sind, die als Ransomware-Einstieg dienen.
  • Rechteausweitung und laterale Bewegung: wie weit ein Angreifer nach einem ersten Zugriff kommt — der Unterschied zwischen Vorfall und katastrophalem Schaden.
  • Ein klarer, prüfungssicherer Bericht: Scope, Methodik, Befunde mit CVSS-Bewertung, Exploit-Nachweis und Behebungsstand — formatiert für den direkten Einsatz im Versicherungsantrag.

Beispiel-Befund

Kritisch

Exponiertes Fernzugriffs-Portal ohne erzwungene MFA — klassischer Ransomware-Einstieg

Ein aus dem Internet erreichbares Fernzugriffs-Portal akzeptierte Anmeldung mit Benutzername und Passwort, wobei MFA nur auf Anwendungsebene und nicht am Gateway erzwungen wurde — der zugrunde liegende Dienst war also direkt erreichbar und per Brute Force angreifbar. Genau diese Konfiguration prüfen Versicherer, denn kompromittierter Fernzugriff ist der häufigste Erstzugriffs-Vektor für Ransomware. Im Versicherungsantrag hatte das Unternehmen „MFA für alle Fernzugriffe erzwungen“ mit „Ja“ beantwortet — eine Falschangabe, die einen späteren Schadenfall hätte gefährden können.

Behebung: MFA für jeden Fernzugriffsweg am Gateway erzwingen, nicht nur in der Anwendung. Die direkte Exponierung des zugrunde liegenden Dienstes deaktivieren, das Portal hinter einen identitätsbewussten Proxy stellen und wiederholte Fehlanmeldungen ratenbegrenzen/sperren. Nachtest zur Bestätigung, dass MFA nicht umgehbar ist, dann den Antrag auf die korrigierte, belegte Kontrolle aktualisieren.

Referenz: OWASP A07:2021 Identification and Authentication Failures · CWE-287 Improper Authentication · CIS Control 6 (Access Control Management)

Penetrationstest-Optionen für die Cyberversicherung

Kostenloser ScanMatproof SentinelKlassische Beratung
Automatisierte Scan-Engine✓ (3-min Vorschau)✓ Vollständiger Scan✗ Nur manuell
OWASP Top 10 AbdeckungPartiell✓ Vollständig✓ Vollständig
Proof-of-Exploit-Evidenz✓ Pro Befund✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)✓ Automatisiert✓ Manuell
Audit-tauglicher PDF-Bericht✓ Sofort✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans✓ Pro Deploy✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis~3 Min.~30 Min. Vollscan2–4 Wochen
Preis€0Ab €149€8.000–€25.000
Quellcode-Review (SAST)✓ Im Growth-Plan✓ Im Scope
API-Testing (REST/GraphQL)✓ Automatisiert✓ Manuell

Matproof Sentinel für die Cyberversicherungs-Readiness

Einzel-Scan
€149 einmalig
  • 1 vollständiger Pentest-Scan
  • KI-priorisierte Befunde mit CVSS 3.1
  • Proof-of-Exploit für jedes Finding
  • PDF-Bericht (audit-tauglich)
  • Regulatorisches Mapping (DORA, NIS2, BSI)
Einzel-Scan kaufen
Empfohlen
Starter
€299 / Monat
  • Unbegrenzte Scans (bis 3 Domains)
  • Kontinuierliches Monitoring
  • CI/CD-Integration (GitHub, GitLab)
  • Alle Regulierungs-Mappings
  • Prioritäts-Support
Starter starten
Growth
€799 / Monat
  • Unbegrenzte Scans + Domains
  • White-Box / Authenticated Testing
  • API- & Cloud-Infrastruktur-Tests
  • Dedizierter Security-Account-Manager
  • SLA 24h Reaktionszeit
Growth anfragen

Häufige Fragen zum Penetrationstest für die Cyberversicherung

Verlangen Cyberversicherer wirklich einen Penetrationstest?

Zunehmend ja — besonders bei mittleren und größeren Policen und bei der Verlängerung nach der schadengetriebenen Verschärfung. Selbst wo ein vollständiger Pentest nicht strikt verpflichtend ist, stellt der Antragsfragebogen detaillierte Kontrollfragen (MFA, EDR, Schwachstellen-Scans, Backups), und ein aktueller Penetrationstest ist der glaubwürdigste Nachweis, dass diese Kontrollen tatsächlich wirken. Ein dokumentierter Test kann zudem die Prämie senken.

Welche Sicherheitskontrollen fragen Cyberversicherer ab?

Üblich sind: Multi-Faktor-Authentifizierung für alle Fernzugriffe, E-Mail und privilegierte Konten; Endpoint Detection and Response (EDR); regelmäßige Schwachstellen-Scans und Patching; getestete, getrennte Backups; E-Mail-Filterung und Security-Awareness-Schulungen; und — zunehmend — der Nachweis von Penetrationstests. Penetrationstests sind wertvoll, weil sie belegen, dass die übrigen Kontrollen unter Angriff standhalten, statt nur auf dem Papier zu existieren.

Wie oft brauche ich einen Pentest für die Versicherung?

Mindestens jährlich und nach wesentlichen Änderungen an Infrastruktur oder Anwendungen. Da sich Ihre Umgebung laufend ändert, führen viele Unternehmen ganzjährig kontinuierliche (PTaaS-)Tests durch und erstellen daraus den Jahresbericht — so haben Sie für eine Verlängerung oder eine unterjährige Anfrage des Versicherers immer aktuelle Nachweise zur Hand.

Reicht ein Schwachstellen-Scan statt eines Pentests für die Versicherung?

Bei kleineren Policen manchmal, aber sie sind nicht gleichwertig. Ein Schwachstellen-Scan erkennt bekannte Probleme per Signatur; ein Penetrationstest nutzt Schwächen aktiv aus und verkettet sie, um reale Auswirkungen zu zeigen (z. B. Zugriff auf sensible Daten, Rechteausweitung). Versicherer unterscheiden zunehmend beides, und höherwertige Policen verlangen ausdrücklich Penetrationstests. Matproof Sentinel liefert beides — kontinuierliches Scanning und Exploit-validierte Penetrationstests — in einem Bericht.

Senkt ein Penetrationstest meine Cyberversicherungs-Prämie?

Das ist möglich. Versicherer bepreisen nachweisbares Risiko, und ein sauberer (oder behobener) Pentest-Bericht plus der Nachweis der geforderten Kontrollen gibt ihnen Grundlage für ein günstigeres Angebot. Fehlt der Nachweis — oder bleiben Befunde unbehoben — steigt die Prämie oder die Deckung wird enger. Entscheidend ist der dokumentierte Behebungsstand im Bericht.

Erstellt Matproof Sentinel einen Bericht, den ich dem Versicherungsantrag beilegen kann?

Ja. Der Sentinel-Bericht enthält Scope, Methodik, Befunde mit CVSS-Bewertung, Exploit-Nachweis und Behebungsverfolgung — genau die Elemente, auf die Makler und Versicherer achten — und ordnet Befunde anerkannten Frameworks zu (OWASP, CIS, ISO 27001). Sie können einen kostenlosen Scan zur Bewertung durchführen und ab 149 € einen vollständigen, prüfungssicheren Bericht erhalten.

Verwandte Themen

Vertiefen — verwandte Artikel aus unserem Blog

Werden Sie versicherungsbereit mit einem dokumentierten Penetrationstest

Erfüllen Sie die Anforderungen Ihres Cyberversicherers und schützen Sie Prämie und Auszahlung. Matproof Sentinel liefert einen prüfungssicheren Pentest-Bericht — externe Angriffsfläche, MFA-Prüfung, OWASP-Abdeckung und Behebungsverfolgung — ab 149 €, mit kostenlosem Scan zum Start.

Kostenlosen Pentest-Scan starten