Cyberversicherung für Steuerkanzleien —
Was Versicherer 2026
wirklich verlangen

Wie der Cyberversicherungsmarkt 2026 wirklich aussieht

Der Cyberversicherungsmarkt hat sich in den letzten drei Jahren fundamental verändert. Was bis 2020 noch überwiegend ein einfaches Antragsverfahren mit drei Standardfragen war, ist heute ein analytischer Underwriting-Prozess mit Dutzenden technischen Detail-Fragen. Der Grund liegt in den Schadensquoten der Ransomware-Wellen 2020–2022: Die Versicherer haben gezahlt, gezahlt und gezahlt — und ziehen daraus die Konsequenz.

Drei Zahlen, die Steuerberater 2026 kennen sollten:

Was diese Zahlen für Steuerkanzleien bedeuten: Eine Police zu haben ist 2026 keine Garantie mehr — sie ist eine bedingte Zusage, deren Auszahlung an detaillierte technische Voraussetzungen geknüpft ist. Der eigentliche Schutz liegt nicht im Versicherungsvertrag, sondern in der technischen Aufstellung, die diesen Vertrag absichert.

Was Versicherer 2026 von Steuerkanzleien verlangen

Die Mindestanforderungen unterscheiden sich zwar leicht zwischen den Versicherern, aber die Schnittmenge ist 2026 sehr klar definiert. Acht technische und organisatorische Maßnahmen finden sich in nahezu jedem Antragsformular wieder.

1. Multi-Faktor-Authentifizierung (MFA)

Ohne MFA gibt es 2026 in den meisten Fällen keinen Versicherungsschutz mehr. Die Anforderung gilt für alle externen Zugänge (VPN, Microsoft 365, Cloud-Speicher, DATEV-Konto) und verbindlich für alle Administrator-Konten. MFA ist die einzige Anforderung, die 2026 absolut nicht verhandelbar ist.

2. Regelmäßige, getrennt aufbewahrte Backups

88 Prozent der Versicherer stellen laut CyberDirekt-Marktanalyse 2024 eine Risikofrage zum Thema Datensicherung. Verlangt wird die 3-2-1-Regel — drei Kopien, zwei Medien, eine offline oder logisch isoliert. Wichtig: Backups, die zusammen mit den Live-Systemen verschlüsselt werden können, gelten nicht als Backup im versicherungstechnischen Sinn.

3. Aktuelles Patch-Management

Die Versicherer wollen nachweisbar sehen, dass Updates und Patches zeitnah eingespielt werden — typische Klausel: „Zeitnahe Einspielung sicherheitsrelevanter Updates und Patches\". Der Begriff „zeitnah\" ist nicht präzise definiert, wird aber in der Praxis bei Schäden sehr eng ausgelegt: Ein Server, der nach einer bekannten Schwachstelle wochenlang ungepatcht bleibt, kostet die Deckung.

4. Endpoint Detection & Response (EDR)

Was vor wenigen Jahren noch optional war, ist 2026 zunehmend Standard. Anders als klassischer Virenschutz erkennt EDR auch verdächtige Verhaltensmuster auf Endgeräten, nicht nur bekannte Schadsoftware. Versicherer fragen explizit nach EDR-Lösungen und deren Konfiguration.

5. Vulnerability Scanning

Regelmäßige Schwachstellen-Scans des eigenen Netzwerks gehören 2026 zur Pflichtkür. Versicherer fordern einen Nachweis, dass Schwachstellen aktiv gesucht und nicht erst durch Angriffe entdeckt werden.

6. Privileged Access Management (PAM)

40 bis 50 Prozent der Versicherer verlangen 2026 PAM-Lösungen oder zumindest das Konzept der „Zero Standing Privileges\": Kein Mitarbeiter hat dauerhaft Administrator-Rechte, sondern privilegierte Zugriffe werden nur temporär und dokumentiert vergeben.

7. Dokumentierter Incident Response Plan

Versicherer wollen sehen, dass eine Kanzlei im Ernstfall weiß, was sie tut — wer ruft wen an, wer entscheidet, wer kommuniziert. Der Plan muss nicht nur existieren, sondern getestet sein. Ein Plan, der nur einmal beim Versicherungsabschluss erstellt und seitdem in einer Schublade liegt, ist im Schadensfall problematisch.

8. Mitarbeiter-Sensibilisierung

Phishing-Schulungen, Awareness-Trainings, dokumentierte Sensibilisierungs-Maßnahmen — Versicherer wollen Nachweise, dass die „menschliche Firewall\" der Kanzlei trainiert ist. Bei vielen Versicherern ist die jährliche Schulung verbindlich.

Diese acht Punkte sind die Eintrittskarte. Wer sie nicht erfüllt, bekommt entweder gar keine Police oder nur eine mit erheblichen Einschränkungen. Wichtig für Steuerkanzleien: Diese Anforderungen gelten unabhängig von der Kanzleigröße. Eine 5-Mitarbeiter-Kanzlei muss MFA und Backups genauso nachweisen wie eine 50-Mitarbeiter-Kanzlei.

Drei häufige Gründe, warum Versicherer im Schadensfall nicht zahlen

Fast jeder vierte Cyber-Claim wird 2026 ganz oder teilweise verweigert. Die Gründe sind erstaunlich konsistent — drei Muster finden sich in der Mehrzahl der Fälle.

Grund 1 — Falsche Angaben im Antrag

Der härteste Grund. §22 VVG in Verbindung mit §123 BGB erlaubt dem Versicherer den Rücktritt vom Vertrag oder die Anfechtung wegen arglistiger Täuschung, wenn im Antrag falsche oder unvollständige Angaben gemacht wurden — auch wenn die Falschangabe nichts mit dem konkreten Schaden zu tun hat.

Praktisch heißt das: Wenn die Kanzlei im Antrag bestätigt hat, MFA sei flächendeckend eingerichtet, und im Schadensfall stellt sich heraus, dass MFA auf einem Verwaltungs-Account fehlte (auch wenn genau dieser Account nicht der Eintrittspunkt war), kann der gesamte Vertrag rückabgewickelt werden — inklusive der bereits gezahlten Prämien.

Was hilft: Antragsfragen niemals „auf Basis bloßer Planungen oder Absichten\" beantworten, sondern auf Grundlage dokumentierter, tatsächlich implementierter Maßnahmen. Im Zweifelsfall vor Antragstellung eine unabhängige IT-Sicherheitsprüfung beauftragen.

Grund 2 — Obliegenheitsverletzung während der Vertragsdauer

Die meisten Cyber-AVB verpflichten den Versicherungsnehmer, einen bestimmten IT-Sicherheitsstandard während der gesamten Vertragsdauer aufrechtzuerhalten. Typische Klauseln: „Zeitnahe Einspielung sicherheitsrelevanter Updates und Patches\", „Einsatz aktueller und lizenzierter Antiviren- und Firewall-Software\", „Regelmäßige Datensicherungen\".

Das Problem in der Praxis: Kanzleien entwickeln sich, Personal wechselt, Systeme wachsen unkontrolliert — und plötzlich läuft ein kritischer Server seit Monaten ohne Patches. Wird genau dieser Server zum Einfallstor, verweigert der Versicherer die Leistung wegen Obliegenheitsverletzung.

Ein bekanntes Beispiel: Die ProxyLogon-Schwachstelle 2021 führte in zahlreichen deutschen Unternehmen nicht nur zu Sicherheitsvorfällen, sondern auch zu Deckungsproblemen — weil die Exchange-Server der betroffenen Unternehmen nicht zeitnah gepatcht waren.

Grund 3 — Verspätete Schadensanzeige

Cyberversicherungen verlangen eine Schadensanzeige innerhalb von 24 bis 72 Stunden nach Vorfall — oft sogar schneller als die DSGVO-Meldepflicht von 72 Stunden. Diese Frist wird in der Praxis häufig gerissen, weil Sicherheitsvorfälle zunächst intern untersucht werden, bevor externe Stellen informiert werden, weil Reputationsbedenken eine sofortige Meldung hemmen, oder weil intern niemand klar weiß, wer in einer solchen Situation den Versicherer anruft.

Die Folge ist häufig die Kürzung oder vollständige Ablehnung der Leistung. Viele Versicherer setzen außerdem die Mitwirkungspflicht nach §31 VVG ein, wenn der Versicherungsnehmer die Untersuchung behindert oder Informationen zurückhält.

Was diese drei Gründe verbindet: In allen drei Fällen ist nicht der eigentliche Cyberangriff das Problem, sondern die Diskrepanz zwischen dem, was die Kanzlei dokumentiert hat oder dokumentieren kann, und dem, was tatsächlich vor und nach dem Angriff im Netzwerk passiert ist.

Was eine Cyberversicherung für Steuerkanzleien typischerweise abdeckt

Eine Cyberversicherung für Steuerkanzleien ist die ungewöhnliche Kombination einer Haftpflichtversicherung und einer Schadenversicherung. Sie deckt zwei unterschiedliche Risikokreise ab.

Eigenschäden — Was die Kanzlei selbst betrifft

Bei einem Vorfall in der eigenen Kanzlei übernimmt die Versicherung typischerweise: IT-Forensik (Ursachensuche und Schadensermittlung durch spezialisierte Dienstleister), Datenwiederherstellung und IT-Rekonstruktion, Betriebsunterbrechungsschäden, Krisenkommunikation und PR-Beratung sowie Lösegeldzahlungen — letzteres in zunehmend eingeschränkten Fällen.

Drittschäden — Was Mandanten und andere betrifft

Bei Schäden, die durch den Vorfall bei Mandanten oder anderen Dritten entstehen, übernimmt die Versicherung in der Regel Schadensersatzansprüche von Mandanten aufgrund offengelegter Daten, Anwaltskosten zur Abwehr unberechtigter Forderungen, DSGVO-Bußgelder (wo versicherbar — nicht alle Bußgelder sind versicherbar) und Rechtsberatung bei Datenschutzverletzungen.

Was 2026 zunehmend NICHT mehr abgedeckt ist

Die Versicherer haben in den letzten 18 Monaten eine Reihe neuer Ausschlüsse eingeführt: Ransomware-Sub-Limits — die Auszahlung bei Ransomware ist oft auf einen Bruchteil der Gesamtsumme begrenzt. Nation-State-Ausschlüsse — Angriffe staatlicher Akteure (was immer häufiger als Attribution genutzt wird) sind in vielen Policen ausgeschlossen. Systemische Ereignisse — flächendeckende Vorfälle, die viele Versicherte gleichzeitig treffen, werden zunehmend gedeckelt. Compliance-Verstöße — wenn die Kanzlei nachweisbar gegen geltende Standards (BSI-Grundschutz, ISO 27001 wo verlangt) verstoßen hat.

Beispielrechnung für eine 30-Mitarbeiter-Kanzlei

Was kostet eine Cyberversicherung für eine typische Steuerkanzlei — und was kostet ein Schaden, wenn die Versicherung greift oder nicht? Eine Beispielrechnung für eine fiktive Kanzlei mit 30 Mitarbeitern in Bayern, ca. 4 Mio. EUR Honorarvolumen.

Die Spreizung in der zweiten Spalte ist groß, weil die tatsächliche Höhe stark von Kanzleigröße, Mandantenstruktur und Reaktionsgeschwindigkeit abhängt. Die Kernaussage ist klar: Wer keine Versicherung hat oder im Schadensfall keine Auszahlung bekommt, trägt das volle wirtschaftliche Risiko allein. Bei einer 30-Mitarbeiter-Kanzlei mit 4 Mio. EUR Honorarvolumen kann ein einziger Schadensfall den Gewinn von zwei bis drei Jahren komplett aufzehren.

Wo Cybersicherheit auf Cyberversicherung trifft — und warum beides nicht ohne das andere funktioniert

Eine Cyberversicherung ersetzt keine Cybersicherheit. Sie ergänzt sie. Diese eine Aussage findet sich 2026 in fast jeder seriösen Versicherer-Publikation — und sie ist wichtig, weil viele Kanzleien genau das Gegenteil annehmen.

Praktisch bedeutet das: Eine Versicherung deckt das finanzielle Restrisiko ab, das nach Umsetzung aller technischen und organisatorischen Maßnahmen übrig bleibt. Was die Versicherung NICHT ersetzt:

• Die technischen Maßnahmen selbst — sie sind Voraussetzung für den Versicherungsschutz, nicht Alternative dazu.
• Die kontinuierliche Sicht auf das, was im Netzwerk passiert. Versicherer fragen, was die Kanzlei sieht — wer nicht weiß, was passiert, kann es auch nicht dokumentieren.
• Die Reaktionsfähigkeit im Ernstfall. Die Versicherung zahlt nach dem Vorfall, nicht währenddessen — die ersten 24 Stunden entscheiden, wie groß der Schaden wird.

Hier liegt der konkrete Hebel für Steuerkanzleien: Eine ergänzende Sicherheitsschicht — wie der AEGYS Monitor — schließt genau die Lücke, die zwischen Kanzlei-IT und Cyberversicherung besteht. Sie liefert die Sichtbarkeit, die Versicherer im Antrag abfragen („Welche Tools setzen Sie zur Erkennung verdächtiger Aktivitäten ein?\"), und im Schadensfall die Dokumentation, die den Unterschied zwischen Auszahlung und Ablehnung bedeutet.

Was AEGYS Monitor ist und wie er konkret funktioniert, behandelt unsere Lösungsseite für Steuerkanzleien — mit Pricing-Beispielen, Praxisablauf und einer anonymisierten Mini-Case einer 30-Mitarbeiter-Kanzlei.

Verbindung zu DATEV-Sicherheit und §203 StGB

Cybersicherheit, Cyberversicherung und juristische Verantwortung nach §203 StGB greifen ineinander. Was DATEV strukturell absichert — und wo dessen Reichweite endet — behandelt ein separater Leitfaden zur DATEV-Sicherheit im Detail.

Die §203-StGB-Anforderungen an Steuerberater im digitalen Kontext — einschließlich der Frage, wann unzureichende technische Maßnahmen strafrechtlich relevant werden können — sind Gegenstand eines eigenen Praxisleitfadens zu §203 StGB für Steuerberater.

Der praktische Zusammenhang: Eine Kanzlei, die §203 StGB ernst nimmt, erfüllt automatisch einen Großteil der Anforderungen, die Cyberversicherer 2026 stellen. Wer die Versicherbarkeit anstrebt, schafft gleichzeitig die juristisch erwartbare technische Aufstellung. Beide Welten haben sich in den letzten Jahren so weit angenähert, dass sie operativ kaum noch zu trennen sind.

Prüfliste vor dem Antrag — was Sie haben sollten

Die ehrliche Selbstprüfung vor dem Antrag spart später Ärger. Wer auf jede der folgenden zwölf Fragen schriftlich, dokumentiert und mit „ja\" antworten kann, hat eine substanziell bessere Antragsposition.

1. ☐1. Multi-Faktor-Authentifizierung ist auf allen externen Zugängen und Admin-Konten aktiv und dokumentiert.
2. ☐2. Tagesaktuelle Backups laufen automatisiert; mindestens eine Backup-Kopie ist logisch oder physisch isoliert.
3. ☐3. Backup-Wiederherstellung wurde im letzten Jahr mindestens einmal getestet (Restore-Test mit echten Daten).
4. ☐4. Patch-Management-Prozess existiert; dokumentierte Update-Frequenz für Server, Arbeitsplätze, Netzwerkgeräte.
5. ☐5. Endpoint Detection & Response (EDR) ist auf allen Arbeitsplätzen und Servern installiert und konfiguriert.
6. ☐6. Schwachstellen-Scans (Vulnerability Scanning) werden regelmäßig durchgeführt; Ergebnisse dokumentiert.
7. ☐7. Privilegierte Zugänge sind auf das notwendige Maß begrenzt; keine dauerhaften Admin-Rechte für Sachbearbeiter.
8. ☐8. Netzwerk ist segmentiert; Drucker, IoT-Geräte und Gäste-WLAN liegen in eigenen VLANs.
9. ☐9. Incident Response Plan existiert schriftlich; verantwortliche Personen sind benannt; Plan wurde mindestens einmal getestet.
10. ☐10. Mitarbeiter-Sensibilisierung erfolgt mindestens jährlich; Schulungsteilnahme wird dokumentiert.
11. ☐11. Drittanbieter (IT-Dienstleister, Cloud-Anbieter, Software-Hersteller) sind nach §203 StGB schriftlich zur Verschwiegenheit verpflichtet.
12. ☐12. Es existiert eine kontinuierliche Sicht auf den Netzwerkverkehr — sei es durch ein klassisches SIEM oder durch eine schlankere Lösung.

Wenn Sie bei mehreren Punkten nicht klar mit „ja\" antworten können, ist die Bestandsaufnahme der erste Schritt vor dem Versicherungsantrag. Andernfalls riskieren Sie, im Antragsformular Angaben zu machen, die im Schadensfall zur Anfechtung führen können.

Zusammenfassung in fünf Sätzen

1. Cyberversicherungsprämien steigen 2026 um 15–20 Prozent, und fast jeder dritte Antrag wird abgelehnt.
2. Versicherer verlangen 2026 acht technische Mindestmaßnahmen — MFA, Backups, Patches, EDR, Vulnerability Scanning, PAM, Incident Response Plan und Mitarbeiter-Sensibilisierung.
3. 27 Prozent aller Data-Breach-Claims werden ganz oder teilweise abgelehnt — fast immer wegen Diskrepanz zwischen Antragsangaben und tatsächlicher Aufstellung.
4. §22 VVG erlaubt Versicherern den Rücktritt vom Vertrag bei Falschangaben im Antrag — auch wenn die Falschangabe nichts mit dem konkreten Schaden zu tun hatte.
5. Die technische Aufstellung der Kanzlei entscheidet über die Versicherbarkeit — Cybersicherheit und Cyberversicherung sind 2026 untrennbar verbunden.

Häufige Fragen

Quellen und weiterführende Informationen

1. BaFin: „Markt für Cyberversicherungen volatil" — Marktanalyse 2026. bafin.de/…analyse_cyberversicherungsmarkt
2. BaFin: „Cyberversicherungen: hohe Nachfrage – und hohe Risiken?" — Erste Marktuntersuchung mit Detail-Daten aus rund 200 Versicherern. bafin.de/…fa_bj_2402_Cyberversicherung
3. CyberDirekt: „Voraussetzungen für eine Cyberversicherung" — Marktanalyse 2024 mit detaillierten Versicherer-Anforderungen. cyberdirekt.de
4. CyberDirekt: „Marktanalyse 2024 Risikofragen" — Analyse der IT-Mindeststandards von 17 führenden Cyberversicherern. cyberdirekt.de/marktanalyse-2024-risikofragen
5. Bitkom e.V.: „Wirtschaftsschutzstudie 2025" — Cyberangriffe gegen deutsche Unternehmen, Schadenshöhen, Betroffenheit. 87 % der Unternehmen betroffen, 289,2 Mrd. EUR Gesamtschaden. bitkom.org/Wirtschaftsschutz-2025
6. Bundesamt für Sicherheit in der Informationstechnik (BSI): „Die Lage der IT-Sicherheit in Deutschland" — Jährlicher Lagebericht. bsi.bund.de
7. §19 VVG — Anzeigepflicht des Versicherungsnehmers: Rechtsgrundlage für die Beantwortung der Risikofragen im Antragsprozess. gesetze-im-internet.de/vvg_2008/__19
8. §22 VVG — Anfechtung wegen arglistiger Täuschung: Rechtsgrundlage für den Rücktritt des Versicherers nach falsch beantworteten Risikofragen. gesetze-im-internet.de/vvg_2008/__22
9. Munich Re: „Cyber Insurance — Risks and Trends 2026" — Internationale Marktdaten zur Cyberversicherungs-Landschaft (Vergleich zum deutschen Markt). munichre.com
10. MRTK Cyber-Monitor 2025: Maklerumfrage zu Ablehnungsquoten im Cyberversicherungs-Antragsprozess (zitiert über experten.de — Fachpresse-Sekundärquelle). experten.de/…Cybermarkt-2025

Über den Autor

Gerald Hahn

Mitgründer & Geschäftsführer · AEGYS DATALYTICS AG

Gerald Hahn ist Mitgründer und Geschäftsführer der AEGYS DATALYTICS AG. Über zwei Jahrzehnte Erfahrung in der Cybersecurity-Branche — vom internationalen Konzern bis zum spezialisierten Mittelständler. Bevor er AEGYS DATALYTICS gemeinsam mit Achim Kraus gründete, war er Country Manager DACH und Central & Eastern Europe bei Gatewatcher. Sein Anspruch: Sicherheitsfragen in nachvollziehbare Entscheidungen übersetzen — und ehrlich sagen, wann ein Einsatz Sinn ergibt und wann nicht.

LinkedIn-Profil ansehenhallo@aegysdata.com

Verwandte Artikel