Zum Inhalt

Cyberversicherung

Cyberversicherung – Schutz, Fallstricke und was für Arztpraxen wirklich zählt

Die Cyberversicherung wird im Guide an mehreren Stellen als hilfreiche Ressource im Krisenfall erwähnt. Aber was ist das eigentlich genau, lohnt sie sich für Arztpraxen und MVZ, was leistet sie wirklich – und was steht im Kleingedruckten, das im Schadensfall zum Problem wird? Dieser Deep Dive beantwortet diese Fragen.

Was ein Sicherheitsvorfall wirklich kostet

Bevor wir zur Versicherung kommen, lohnt sich ein nüchterner Blick auf das, was sie abdecken soll. Die Frage „Was kostet mich ein Cyberangriff?" klingt einfach. Die Antwort ist es nicht.

Studien zu Angriffskosten zeigen ein realistisches Bild: Für kleine Arztpraxen und MVZ entstehen Schäden bei Cyberattacken, die deutlich über das hinausgehen, was viele unterschätzen.

Die Kostenstruktur: Drei Wellen

Ein Sicherheitsvorfall erzeugt Kosten in drei Wellen, die zeitlich versetzt einschlagen.

Welle 1: Sofortkosten (Tage bis Wochen)

IT-Forensik und Incident Response kosten zwischen 150 und 300 Euro pro Stunde; eine grundlegende Forensik dauert selten weniger als ein bis zwei Tage – also 1.200 bis 5.000 Euro, eher mehr. Dazu kommen Systemwiederherstellung, Notfallhardware (ein Ersatzlaptop oder Praxis-Terminal: 800 bis 1.500 Euro) und externe Rechts- und Datenschutzberatung. Der GDV (Gesamtverband der Deutschen Versicherungswirtschaft) hat für ein Ransomware-Szenario einer kleinen Arztpraxis direkte Sofortkosten von rund 18.500 Euro errechnet; für ein Datenklau-Szenario derselben Praxis rund 37.000 Euro – allein die Informationspflichten gegenüber Patienten schlugen mit 4.000 Euro zu Buche.1

Welle 2: Betriebsunterbrechungskosten (Tage bis Monate)

Das ist oft der größte Posten – und derjenige, der Arztpraxen am härtesten trifft. Eine Praxis mit einem Jahresumsatz von 200.000 Euro erzielt täglich rund 800 Euro. Eine Ausfallzeit von zehn Tagen entspricht 8.000 Euro Umsatzverlust – die laufenden Fixkosten nicht eingerechnet. Hinzu kommt: Während ein Ransomware-Angriff läuft, können Sie keine Patienten behandeln, können Notfälle entstehen und Patientensicherheit kann gefährdet sein – was zusätzliche Haftungsrisiken schafft.

Welle 3: Folgekosten (Monate bis Jahre)

DSGVO-Bußgelder können sich auch bei kleinen Betrieben schnell im fünfstelligen Bereich bewegen – Art. 83 DSGVO sieht bis zu 4 Prozent des Vorjahresumsatzes vor. Schadensersatzforderungen betroffener Patienten kommen hinzu – und diese können bei Gesundheitsdaten substantiell sein. Auch dauerhafte Reputationsschäden und höhere Versicherungsprämien nach einem Vorfall entstehen.

Fasst man die Wellen zusammen, ergibt sich für einen mittelgravierenden Vorfall bei einer kleinen Praxis oder einem MVZ ein realistisches Schadensband von 15.000 bis 150.000 Euro – je nach Branche, Datenmenge, Reaktionsgeschwindigkeit und ob ein funktionierendes Backup vorhanden war.

Besondere Risiken für Arztpraxen und MVZ

Arztpraxen und Heilberufe: Gesundheitsdaten sind auf dem Schwarzmarkt besonders wertvoll. Patientendaten können zu Identity Theft, Versicherungsbetrug und emotionalen Schäden führen. Laut einer BSI-Studie von 2024 war jede zehnte befragte Arztpraxis mindestens einmal von einem IT-Sicherheitsvorfall betroffen – und zwei Drittel erfüllten die gesetzlich vorgeschriebenen Schutzmaßnahmen nicht vollständig.2

Moderne Ransomware nutzt die „Double-Extortion"-Methode – Daten werden erst kopiert, dann verschlüsselt. Selbst ein funktionierendes Backup schützt nicht vor der Erpressung mit gestohlenen Patientendaten. Die Drohung, sensible medizinische Informationen zu veröffentlichen, erzeugt enormen Druck.

MVZ-Betreiber: MVZ (Medizinische Versorgungszentren) verwalten potenziell noch größere Datenmengen und mehrere Standorte, was die Angriffsfläche und die Komplexität erhöht.

Die Kalkulation, die fast niemand macht

Die Kosten grundlegender IT-Sicherheitsmaßnahmen für Arztpraxen sind überschaubar: Ein Passwort-Manager kostet 2 bis 5 Euro pro Monat, eine saubere Backup-Lösung 10 bis 30 Euro, eine Cyberversicherung ab etwa 30 bis 100 Euro für kleine Praxen. Die Gesamtkosten einer soliden Basisabsicherung liegen also bei etwa 500 bis 1.500 Euro pro Jahr – einem möglichen Schaden von 15.000 bis 150.000 Euro gegenübergestellt, ist das eine eindeutige Kalkulation.

Lohnt sich eine Cyberversicherung für Arztpraxen?

Die kurze Antwort: Ja, definitiv – besonders wenn Sie von Ihrer IT abhängig sind, Patientendaten verarbeiten und einen Ausfall nicht einfach aussitzen können. Bei einer Arztpraxis ist der Ausfall nicht nur finanziell relevant, sondern auch eine medizinische Notfall-Situation.

Eine Cyberversicherung ist keine Alternative zu guter IT-Sicherheit. Wer kein Backup hat, keine Geräteverschlüsselung nutzt und auf jedem Dienst dasselbe Passwort verwendet, ist für viele Versicherer gar nicht oder nur zu sehr hohen Prämien versicherbar. Die Versicherung setzt voraus, dass Sie Grundmaßnahmen ergreifen – sie federt die Restrisiken ab, die trotz dieser Maßnahmen bleiben.

Was für eine Cyberversicherung spricht:

Der wichtigste Vorteil ist oft nicht das Geld, sondern die Infrastruktur im Krisenfall. Gute Cyberversicherungen bieten eine 24/7-Hotline, über die Sie sofort IT-Forensiker, Rechtsanwälte und Krisenberater erreichst – Menschen, die wissen, wie man mit Ransomware-Forderungen umgeht, wie Patientenbenachrichtigungen ablaufen und wie Sie die Behördenkonformität nach einem Vorfall gewährleisten. Als Praxisinhaber haben Sie im Ernstfall niemanden, der Ihnen sagt, was als nächstes zu tun ist – eine Cyber-Police kauft Ihnen dieses Netzwerk ein.

Was gegen eine Cyberversicherung sprechen könnte:

Eine Cyberversicherung ist kein Freifahrtschein. Wer grundlegende Sicherheitsmaßnahmen vernachlässigt, verliert den Versicherungsschutz – ganz oder teilweise. Und wer glaubt, die Versicherung erledige schon alles, wird im Schadensfall enttäuscht sein, wenn Obliegenheitsverletzungen oder Ausschlussklauseln greifen.

Grobe Kostenorientierung:

Für Arztpraxen mit einem Jahresumsatz unter 200.000 € und einer Deckungssumme von 250.000 € beginnen seriöse Tarife ab etwa 400–800 € jährlich, je nach Größe, Branche, Risikoeinschätzung und gewünschten Leistungsbausteinen.3 IT-nahe Praxen oder solche mit zusätzlichen Diensten zahlen mehr. Praxen mit besonderen Anforderungen (MVZ mit mehreren Standorten, telemedizinische Angebote) zahlen ebenfalls mehr.

Was eine Cyberversicherung leistet – und was nicht

Eigenschäden (eigene Kosten nach einem Angriff)

Das ist der Kernbereich. Gute Tarife decken:

IT-Forensik und Systemwiederherstellung: Die Kosten für die Analyse des Angriffs, die Bereinigung oder Neuinstallation des Systems und die Wiederherstellung von Daten. Das ist oft der größte Posten – mehrere tausend Euro für Spezialisten sind keine Seltenheit. Für Arztpraxen kommt hinzu: Wiederherstellung des PVS-Systems, Wiederherstellung von Patientenakten, Validierung der Datenbankintegrität.

Betriebsunterbrechung: Wenn Sie durch den Angriff nicht arbeiten können, zahlt die Versicherung ein Tagegeld oder ersetzt den entgangenen Umsatz für die Dauer des Ausfalls – bis zu einem vertraglich festgelegten Maximum. Für Arztpraxen ist dieser Baustein besonders wichtig, weil kein Betrieb = keine Patientenversorgung und keine Einkünfte.

Krisenmanagement und PR: Kosten für Krisenberater, die Ihnen helfen, den Vorfall zu managen und die Kommunikation zu gestalten – intern wie extern. Für Arztpraxen: Umgang mit Patientenbenachrichtigungen, Pressestatements, Vertrauenswiederherstellung.

Rechtsberatung und DSGVO-Kosten: Anwaltskosten für die Erfüllung der Informationspflichten nach Art. 33 und 34 DSGVO, Kosten für die Kommunikation mit der Datenschutzbehörde, und – in manchen Tarifen – DSGVO-Bußgelder. Wichtig: Nicht alle Versicherer decken Bußgelder ab; in Deutschland ist die Versicherbarkeit von Bußgeldern rechtlich nicht abschließend geklärt. Lies hier den Tarif sehr genau.

Erpressung/Ransomware: Manche Tarife übernehmen Kosten im Zusammenhang mit Ransomware-Erpressungen – darunter Verhandlungsführung durch Spezialisten und in manchen Fällen das Lösegeld selbst. Aber: Behörden (BSI, BKA) raten von Lösegeldzahlungen ab, und viele Versicherer erstatten das Lösegeld nur, wenn eine Zahlung ausdrücklich mit ihnen abgestimmt wurde. Eigenmächtige Zahlungen können den Anspruch vernichten.

Drittschäden (Schäden bei anderen durch Ihren Vorfall)

Wenn durch einen Angriff auf Ihr System Patienten oder Geschäftspartner geschädigt werden – etwa weil Sie versehentlich Schadsoftware weitergeleitet haben oder weil gestohlene Patientendaten zu Schäden bei Dritten geführt haben –, übernimmt die Versicherung begründete Schadensersatzforderungen und wehrt unbegründete ab (Abwehrschutz).

Dieser Baustein ist für Arztpraxen besonders relevant, da Sie Patientendaten verarbeiten und haftbar sein können.

Was typischerweise nicht versichert ist

  • Vorsätzliche Handlungen: Selbst verursachte Schäden durch bewusstes Fehlverhalten.
  • Bekannte Sicherheitslücken: Wenn der Angriff über eine Schwachstelle lief, die Sie kannten oder hättest kennen müssen und nicht behoben haben.
  • Hardwareschäden: Eine Cyberversicherung deckt keine physischen Geräteschäden durch Feuer, Wasser oder Sturz – das ist Aufgabe der Geschäftsinhaltsversicherung.
  • Rein finanzieller Betrug: CEO-Fraud oder Phishing, bei dem Sie selbst Geld überwiesen haben, weil Sie eine gefälschte E-Mail für echt gehalten haben – dieser Bereich ist in vielen Tarifen ausgeschlossen oder nur als Zusatzbaustein versicherbar.
  • Krieg und staatliche Angriffe: Nach den jüngsten Diskussionen in der Branche haben viele Versicherer Kriegsausschlüsse für Cyberangriffe verschärft. Achten Sie auf die Formulierung in den Bedingungen.

Die Fußangeln – was im Schadensfall schiefgehen kann

Das ist der wichtigste Abschnitt dieses Kapitels. Viele Versicherte erleben die böse Überraschung erst, wenn sie den Versicherungsschutz in Anspruch nehmen wollen.

Obliegenheitsverletzungen: Der häufigste Ablehnungsgrund

Eine Obliegenheit ist eine Pflicht, die Sie als Versicherungsnehmer einhalten müssen – nicht als gesetzliche Pflicht, aber als vertragliche Voraussetzung für den Versicherungsschutz. Die häufigsten Obliegenheiten in Cyberpolicen:

Mindest-Sicherheitsmaßnahmen: Fast alle Cyberversicherungen verlangen als Voraussetzung, dass Sie grundlegende Sicherheitsmaßnahmen einhalten – aktueller Virenschutz, aktuelle Updates, regelmäßige Backups, starke Passwörter und 2FA für kritische Zugänge, separate Backups die nicht dauerhaft mit dem Hauptsystem verbunden sind. Für Arztpraxen kommen hinzu: Einhaltung von KBV-Richtlinien, Sicherung des TI-Konnektors, regelmäßige Sicherheits-Schulungen für Mitarbeiter.

Der Teufel steckt im Detail: Wenn Sie beim Antragsformular angeben, dass Sie all das macht, und beim Schadensfall stellt sich heraus, dass Ihr Betriebssystem seit einem Jahr nicht aktualisiert wurde, kann der Versicherer die Leistung kürzen oder verweigern. Das ist einer der häufigsten Ablehnungsgründe.

Sofortige Schadenmeldung: Die meisten Policen verlangen eine Meldung binnen 24 bis 72 Stunden nach Entdeckung. Merksatz: Versicherung melden ist Priorität 1B, direkt nach dem Netzwerkkabel ziehen.

Kein eigenmächtiges Handeln: Viele Versicherer verlangen, dass Sie vor größeren Schritten – insbesondere der Einleitung von Wiederherstellungsmaßnahmen oder einer Lösegeldzahlung – ihre Zustimmung einholen. Wer eigenständig teure Forensiker beauftragt, ohne die Versicherung einzubinden, kann auf den Kosten sitzen bleiben.

Vorvertragliche Anzeigepflicht

Beim Abschluss müssen Sie alle gefahrrelevanten Umstände wahrheitsgemäß angeben – frühere Vorfälle, eingesetzte Sicherheitsmaßnahmen, Branche und Datenarten. Für Arztpraxen: Anzahl der Patienten, Datenvolumen, verwendete Systeme (PVS, TI-Konnektor). Wer hier unvollständige oder falsche Angaben macht – auch unabsichtlich –, riskiert, dass die Versicherung im Schadensfall vom Vertrag zurücktritt.

Die Deckungssumme ist oft zu niedrig angesetzt

Viele Arztpraxen wählen aus Kostengründen eine Deckungssumme von 50.000 oder 100.000 Euro. Das klingt viel – aber ein ernsthafter Vorfall mit DSGVO-Bußgeldern, IT-Forensik, Anwaltskosten, Betriebsunterbrechung und Drittschadensersatz kann diese Summe überschreiten. Mindestens 250.000 bis 500.000 Euro sind für die meisten Arztpraxen sinnvoller als Orientierung – je nach Größe und Datenvolumen auch mehr.

Kriegsausschlüsse und Ransomware

Nach dem NotPetya-Angriff 2017 haben viele Versicherer ihre Bedingungen verschärft. Achten Sie auf Formulierungen wie „staatlich gelenkte Cyberangriffe" oder „Cyberwar" – in der Praxis ist die Abgrenzung oft unklar, aber Sie sollten wissen, ob dieser Ausschluss in Ihrer Police steht.

Welche Leistungen für Arztpraxen wirklich wichtig sind

Nicht jeder Baustein ist gleich wichtig. Eine Priorisierung speziell für Arztpraxen:

Unverzichtbar: - IT-Forensik und Systemwiederherstellung (insbesondere für PVS und TI-Konnektor) - 24/7-Notfallhotline mit Vermittlung von IT-Spezialisten - Betriebsunterbrechung (medizinische Praxen können keine Patienten versorgen) - Rechtsberatung und DSGVO-Kosten (einschließlich Patientenbenachrichtigung)

Sehr sinnvoll: - Drittschadenshaftpflicht (Patientendaten-Schäden) - Ransomware/Erpressung inklusive Krisenverhandlungsführung - Krisen-PR und Reputationsmanagement

Je nach Situation: - CEO-Fraud/Social Engineering (bei Überweisungen an externe Dienstleister) - Spezialschutz für TI-Konnektor und eHBA

Wie komme ich zu einer guten Cyberversicherung?

Online-Vergleichsportale und Direktabschluss: Anbieter wie finanzchef24.de, hiscox.de oder exali.de (letzterer speziell für Freelancer und IT-Berufe) bieten Online-Rechner und Direktabschlüsse. Das ist schnell und günstig – aber Sie treffen die Entscheidung ohne Beratung. Für Standardsituationen kann das funktionieren; für Arztpraxen mit besonderen Anforderungen ist es riskant.

Unabhängiger Versicherungsmakler: Ein Makler, der auf Gewerbepolicen spezialisiert ist und Erfahrung mit Arztpraxen hat, kann den Markt für Sie sondieren, Bedingungen vergleichen und Sie im Schadensfall unterstützen. Empfehlenswert für alle Praxen über 50.000 Euro Jahresumsatz oder mit besonderen Risiken (Telemedizin, Laborleistungen, enge Kundeneinbindung).

Vor dem Abschluss – was Sie prüfen sollten: - Leistungsauslöser (greift die Versicherung nur bei externen Angriffen oder auch bei menschlichem Versagen?) - Obliegenheiten (welche Sicherheitsmaßnahmen sind Pflicht, können Sie sie nachweisen?) - Schadensmeldungsfrist - Selbstbeteiligung - Deckungssumme pro Schadenfall und pro Jahr - Rückwärtsdeckung (Retroaktivität) - Kriegsausschluss-Formulierung - Absicherung für Home-Office und Subunternehmer - Speziellausschlüsse für medizinische Praxen

Den Fragebogen ernst nehmen: Das ist keine Formalität – es ist die Grundlage des Vertrags. Wenn Sie unsicher sind, ob Sie eine Frage mit „Ja" beantworten können: Holen Sie sich zuerst die Maßnahme nach, dann schließen Sie die Versicherung ab.

Die wichtigsten Verhaltenspflichten nach Abschluss

Eine Cyberversicherung ist kein einmaliger Kauf, der dann im Schrank liegt. Sie haben laufende Pflichten: Sicherheitsmaßnahmen aufrechterhalten; wesentliche Änderungen des Risikos melden (neues Geschäftsfeld, gestiegener Umsatz, neue Datenarten, neue Standorte bei MVZ); im Schadensfall sofort melden – nicht nach einer Woche; keine unnötigen Kosten verursachen, ohne die Versicherung einzubinden.

Checkliste: Cyberversicherung

Vor dem Abschluss

  • Ich habe die grundlegenden Sicherheitsmaßnahmen umgesetzt, die als Obliegenheit verlangt werden (Antivirus, Updates, Backup, 2FA, KBV-Richtlinien).
  • Ich habe den Fragebogen vollständig und wahrheitsgemäß ausgefüllt.
  • Ich habe die Obliegenheiten im Vertrag gelesen und verstanden.
  • Ich habe die Deckungssumme realistisch gewählt (mindestens 250.000 € – 500.000 € als Orientierung für Arztpraxen).
  • Ich habe die Selbstbeteiligung und ihre Auswirkungen verstanden.
  • Ich weiß, was der Kriegsausschluss in meiner Police besagt.
  • Ich weiß, ob CEO-Fraud/Social Engineering mitversichert ist.
  • Ich habe überprüft, ob spezielle Anforderungen für TI-Konnektor und eHBA abgedeckt sind.
  • Ich habe die Notfall-Hotline-Nummer der Versicherung im Notfalldokument eingetragen.

Im laufenden Betrieb

  • Ich halte die vertraglich zugesicherten Sicherheitsmaßnahmen aufrecht.
  • Ich melde wesentliche Änderungen meines Risikoprofils an den Versicherer.
  • Ich überprüfe meinen Versicherungsschutz jährlich – deckt er noch meine aktuelle Praxis ab?
  • Ich führe regelmäßige Sicherheits-Schulungen für Mitarbeiter durch.

Im Schadensfall

  • Versicherung sofort nach Entdeckung informiert (Frist beachten).
  • Keine eigenmächtigen Kosten oder Entscheidungen ohne Rücksprache mit Versicherung.
  • Alle Maßnahmen und Kommunikation dokumentiert.
  • Notfall-Hotline angerufen, um Unterstützung durch Forensiker, Anwälte und Krisenmanager zu aktivieren.

  1. GDV, Musterszenarien Cyberversicherung, Stand 2023. 

  2. BSI, Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen (SiRiPrax 2024), März 2024. 

  3. Diese Preisspanne basiert auf öffentlich verfügbaren Vergleichsrechnern und Anbieterinformationen (Stand: 2026). Prämien variieren erheblich je nach Branche, Deckungsumfang und individueller Risikolage. Für verbindliche Angaben: finanzchef24.de oder exali.de nutzen bzw. einen spezialisierten Versicherungsmakler befragen.