Anforderungen der Cyberversicherung 2026: die vollständige Kontroll-Checkliste (und wie Sie jede nachweisen)

Die Zeichnung von Cyberversicherungen hat sich verändert. Der Antragsfragebogen ist heute eine echte Sicherheitsprüfung, und Makler machen kein Angebot, bevor Sie konkrete Kontrollen nachweisen können — Multi-Faktor-Authentifizierung, EDR, getestete Backups, Schwachstellenmanagement, einen Notfallplan und zunehmend Penetrationstests. Dies ist die vollständige Anforderungs-Checkliste für 2026, was jede Kontrolle bedeutet und wie Sie sie am saubersten nachweisen. Starten Sie mit einem kostenlosen Scan, um Ihren Stand zu sehen.

Kostenlosen Pentest-Scan starten
MW
Geschrieben von Malte Wagenbach
Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).
Zuletzt überprüft: 17. Mai 2026

Warum die Anforderungen strenger wurden — und warum Ehrlichkeit zählt

Nach den ransomwaregetriebenen Schadenjahren haben Cyberversicherer ihre Zeichnung drastisch verschärft. Wo eine Police früher einige Ja/Nein-Fragen stellte, verlangt der heutige Antrag den Nachweis, dass bestimmte Kontrollen umgesetzt sind und wirken — denn der Versicherer, der Ihr Risiko bepreist, will den Beleg, dass ein Angreifer Ihre kritischen Systeme nicht trivial erreicht. Daraus folgen zwei Dinge. Erstens bedeuten fehlende oder schwache Kontrollen heute eine höhere Prämie, engere Deckung, Sublimits bei Ransomware oder eine direkte Ablehnung. Zweitens — und das wird unterschätzt — ist der Antrag eine verbindliche Erklärung. Wenn Sie „MFA für alle Fernzugriffe erzwungen“ mit „Ja“ beantworten und ein Schadenfall später zeigt, dass es nicht so war, kann der Versicherer die Leistung kürzen oder verweigern. Ziel ist also nicht das Abhaken, sondern die echte Umsetzung der Kontrollen und ihr Nachweis. Genau das leistet ein Penetrationstest für die technischen Kontrollen: Er belegt, dass sie unter Angriff standhalten, statt nur auf dem Papier zu existieren.

  • Kein Angebot ohne Nachweis: Makler verlangen zunehmend den Beleg konkreter Kontrollen, bevor sie eine Police bepreisen.
  • Prämien- und Deckungswirkung: schwache Kontrollen erhöhen die Prämie, fügen Ransomware-Sublimits hinzu oder führen zur Ablehnung.
  • Verbindliche Erklärung: Falschangaben im Antrag können einen Schaden zunichtemachen — Genauigkeit schützt die Auszahlung.
  • Nachweis schlägt Papier: Ein Penetrationstest belegt, dass Ihre technischen Kontrollen unter echtem Angriff wirken, nicht nur im Formular.

Die Anforderungs-Checkliste der Cyberversicherung (2026)

  • Multi-Faktor-Authentifizierung (MFA): erzwungen für alle Fernzugriffe (VPN, RDP, Web-Portale), E-Mail/Webmail und privilegierte/Admin-Konten. Versicherer fragen gezielt — ein Pentest belegt, dass MFA nicht umgehbar ist.
  • Endpoint Detection & Response (EDR): modernes EDR/XDR auf Endpunkten und Servern, nicht nur klassisches Antivirus.
  • Getestete, getrennte Backups: isolierte/unveränderliche und wiederherstellungsgetestete Backups — der größte Faktor, um Ransomware ohne Zahlung zu überstehen.
  • Schwachstellenmanagement & Patching: regelmäßige Schwachstellen-Scans und ein dokumentierter Prozess zum zeitnahen Patchen hochkritischer, aktiv ausgenutzter CVEs.
  • Penetrationstests: zunehmend (oft jährlich) gefordert, um zu belegen, dass Angriffsfläche und Anwendungen Angriffen tatsächlich standhalten — siehe unsere Seite zum Cyberversicherungs-Pentest.
  • E-Mail-Sicherheit & Awareness: E-Mail-Filterung/Anti-Phishing plus Security-Awareness-Schulungen, da Phishing ein führender Einstiegsvektor bleibt.
  • Privilegienverwaltung & Least Privilege: Beschränkung von Admin-Rechten und Absicherung privilegierter Konten, um einen Einbruch einzudämmen.
  • Notfall- und Reaktionsplan: ein dokumentierter, getesteter IR-Plan mit definierten Rollen und Eskalation — Versicherer fragen, ob er existiert und geübt wurde.
  • Netzsegmentierung & sicherer Fernzugriff: Isolierung kritischer Systeme und Entfernen exponierter/veralteter Fernzugriffe, des klassischen Ransomware-Einstiegs.

Beispiel-Befund

Hoch

Antrag sagte „MFA überall erzwungen“ — der Test fand eine Lücke, die einen Schaden gefährden kann

Im Versicherungsantrag wurde MFA für alle Fernzugriffe mit „Ja“ angegeben. Ein Scan fand ein aus dem Internet erreichbares Fernzugriffs-Portal, bei dem MFA nur auf Anwendungsebene erzwungen war, sodass der zugrunde liegende Dienst direkt erreichbar und per Brute Force angreifbar blieb. Das ist sowohl ein realer Ransomware-Einstieg als auch eine Falschangabe im verbindlichen Antrag — genau die Lücke, die einem Versicherer erlaubt, einen späteren Ransomware-Schaden zu bestreiten. Es ist zugleich der häufigste Grund, warum eine „auf dem Papier konforme“ Organisation tatsächlich exponiert ist.

Behebung: MFA für jeden Fernzugriffsweg am Gateway erzwingen, die direkte Exponierung des zugrunde liegenden Dienstes deaktivieren und das Portal hinter einen identitätsbewussten Proxy stellen. Dann den Antrag auf die nun zutreffende, belegte Kontrolle korrigieren. Ein Penetrationstest bestätigt die Behebung und liefert die Dokumentation für die Verlängerung.

Referenz: OWASP A07:2021 Identification and Authentication Failures · CWE-287 · CIS Control 6 (Access Control Management)

Anforderungen der Cyberversicherung nachweisen

Kostenloser ScanMatproof SentinelKlassische Beratung
Automatisierte Scan-Engine✓ (3-min Vorschau)✓ Vollständiger Scan✗ Nur manuell
OWASP Top 10 AbdeckungPartiell✓ Vollständig✓ Vollständig
Proof-of-Exploit-Evidenz✓ Pro Befund✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)✓ Automatisiert✓ Manuell
Audit-tauglicher PDF-Bericht✓ Sofort✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans✓ Pro Deploy✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis~3 Min.~30 Min. Vollscan2–4 Wochen
Preis€0Ab €149€8.000–€25.000
Quellcode-Review (SAST)✓ Im Growth-Plan✓ Im Scope
API-Testing (REST/GraphQL)✓ Automatisiert✓ Manuell

Matproof Sentinel für die Cyberversicherungs-Readiness

Einzel-Scan
€149 einmalig
  • 1 vollständiger Pentest-Scan
  • KI-priorisierte Befunde mit CVSS 3.1
  • Proof-of-Exploit für jedes Finding
  • PDF-Bericht (audit-tauglich)
  • Regulatorisches Mapping (DORA, NIS2, BSI)
Einzel-Scan kaufen
Empfohlen
Starter
€299 / Monat
  • Unbegrenzte Scans (bis 3 Domains)
  • Kontinuierliches Monitoring
  • CI/CD-Integration (GitHub, GitLab)
  • Alle Regulierungs-Mappings
  • Prioritäts-Support
Starter starten
Growth
€799 / Monat
  • Unbegrenzte Scans + Domains
  • White-Box / Authenticated Testing
  • API- & Cloud-Infrastruktur-Tests
  • Dedizierter Security-Account-Manager
  • SLA 24h Reaktionszeit
Growth anfragen

Häufige Fragen zu den Anforderungen der Cyberversicherung

Was sind die Mindestanforderungen für eine Cyberversicherung 2026?

Die übliche Basis: MFA für alle Fernzugriffe, E-Mail und privilegierte Konten; EDR auf Endpunkten und Servern; getestete, getrennte/unveränderliche Backups; ein Schwachstellenmanagement- und Patching-Prozess; E-Mail-Filterung und Security-Awareness-Schulungen; ein dokumentierter und getesteter Notfallplan; und zunehmend Penetrationstests. Größere Policen und Verlängerungen nach Schäden legen die Latte höher. Versicherer prüfen dies über den Antragsfragebogen und zunehmend über ergänzende Nachweise.

Ist ein Penetrationstest für die Cyberversicherung erforderlich?

Zunehmend ja — besonders bei mittleren und größeren Policen und bei der Verlängerung. Selbst wo nicht strikt verpflichtend, ist ein aktueller Penetrationstest der glaubwürdigste Nachweis, dass die von Ihnen erklärten technischen Kontrollen (MFA, exponierte Dienste, Web-/API-Sicherheit) unter Angriff standhalten. Er kann zudem die Prämie senken. Details auf unserer Seite zum Penetrationstest für die Cyberversicherung.

Was passiert, wenn ich meine Kontrollen im Antrag übertreibe?

Der Antrag ist eine verbindliche Erklärung. Wenn Sie eine Kontrolle als vorhanden angeben und ein Schaden später zeigt, dass sie es nicht war, kann der Versicherer die Leistung bestreiten oder verweigern — und Sie stehen genau dann ohne Deckung da, wenn Sie sie brauchen. Sicher ist, jede Kontrolle echt umzusetzen und nachweisen zu können; ein Penetrationstest plus Dokumentation macht Ihre Angaben belastbar.

Wie weise ich die technischen Anforderungen nach?

Konfigurations-Exporte und Richtliniendokumente decken einige Kontrollen ab, doch die technischen (MFA-Durchsetzung, exponierte Dienste, Web-/API-Sicherheit, Patch-Stand internetnaher Systeme) werden am besten per Penetrationstest belegt: Er zeigt, was getestet wurde, was gefunden wurde und dass ausnutzbare Probleme behoben sind — mit CVSS-Bewertung und Exploit-Nachweis. Matproof Sentinel erstellt genau diesen Bericht, abgebildet auf anerkannte Frameworks, ab 149 €.

Verwandte Themen

Vertiefen — verwandte Artikel aus unserem Blog

Prüfen Sie Ihren Stand gegenüber den Cyberversicherungs-Anforderungen

Führen Sie einen kostenlosen Scan durch, um Lücken bei Angriffsfläche, MFA und Web-/API-Sicherheit aufzudecken — und erhalten Sie einen prüfungssicheren Bericht für Ihren Versicherungsantrag, ab 149 €.

Kostenlosen Pentest-Scan starten