IT-Sicherheit & Nachweise

Cyberversicherung und IT-Sicherheit: Welche technischen Nachweise Unternehmen brauchen

Cyberversicherungen fragen längst nicht mehr nur nach Umsatz und Branche. Immer häufiger geht es um MFA, Backup, Patchmanagement, Adminrechte, E-Mail-Schutz, Notfallpläne und technische Nachweise.

Lesedauer: ca. 11 MinutenZuletzt aktualisiert: 3. Juli 2026
Digitale Audit-Umgebung für Cyberversicherung mit Identitätsschutz, Backup, Updates, Adminrechten und Notfallplan

Kurzantwort

Kurzantwort für Geschäftsführer

Eine Cyberversicherung ersetzt keine IT-Sicherheit.

Sie kann ein Baustein im Risikomanagement sein. Aber Versicherer fragen zunehmend genauer nach technischen und organisatorischen Schutzmaßnahmen.

Dazu gehören häufig:

  • Mehrfaktor-Authentifizierung
  • Backup und Wiederherstellung
  • Patchmanagement
  • Endpoint-Schutz
  • E-Mail-Sicherheit
  • Adminrechte
  • Notfallplan
  • Schulung der Mitarbeiter
  • Fernzugriff und VPN
  • Dokumentation

Das Problem: Viele Unternehmen haben Maßnahmen teilweise umgesetzt, können sie aber nicht sauber nachweisen.

Im Ernstfall zählt nicht nur, was man glaubt eingerichtet zu haben. Es zählt, was dokumentiert, geprüft und nachvollziehbar ist.

Warum Cyberversicherungen genauer hinschauen

Cybervorfälle sind für Versicherer schwer kalkulierbar.

Ransomware, Datenabfluss, Betriebsunterbrechung und Wiederherstellungskosten können erhebliche Schäden verursachen.

Deshalb prüfen Versicherer zunehmend, wie gut ein Unternehmen vorbereitet ist.

Fragen zur IT-Sicherheit sind nicht mehr reine Formalität. Sie beeinflussen Annahme, Prämie, Bedingungen und im Schadenfall möglicherweise die Bewertung.

Unternehmen sollten Anträge deshalb nicht nebenbei ausfüllen.

Typische Fragen von Versicherern

Viele Fragebögen drehen sich um ähnliche Themen:

  • Ist MFA aktiv?
  • Werden Backups regelmäßig erstellt?
  • Sind Backups offline oder getrennt geschützt?
  • Werden Wiederherstellungen getestet?
  • Sind Systeme aktuell?
  • Gibt es Endpoint-Schutz?
  • Gibt es E-Mail-Schutz?
  • Sind Adminrechte begrenzt?
  • Gibt es einen Notfallplan?
  • Werden Mitarbeiter sensibilisiert?
  • Gibt es Fernzugriffe?
  • Sind Dienstleister eingebunden?

Die konkrete Ausgestaltung unterscheidet sich je Versicherer. Die Grundrichtung ist aber ähnlich.

MFA und Identitätsschutz nachweisen

MFA ist eine der häufigsten Anforderungen.

Unternehmen sollten nachweisen können:

  • für welche Benutzer MFA aktiv ist
  • ob Administratoren besonders geschützt sind
  • ob Ausnahmen existieren
  • ob Legacy-Protokolle deaktiviert sind
  • ob Conditional Access genutzt wird
  • wie Notfallkonten abgesichert sind

Gerade Microsoft 365 sollte sauber dokumentiert werden.

Backup und Restore-Test nachweisen

Backup-Angaben sind besonders kritisch.

Nicht ausreichend ist: „Wir haben ein Backup.“

Besser ist:

  • welche Systeme werden gesichert
  • wie oft wird gesichert
  • wo liegen Sicherungen
  • gibt es externe oder geschützte Kopien
  • wie lange werden Sicherungen aufbewahrt
  • werden Backup-Protokolle geprüft
  • wurde ein Restore-Test durchgeführt
  • wann war der letzte Test
  • wer ist verantwortlich

Ein getestetes Backup ist stärker als ein theoretisches Backup.

Patchmanagement nachweisen

Versicherer wollen wissen, ob bekannte Schwachstellen zeitnah geschlossen werden.

Nachweise können sein:

  • Patchprozess
  • Updateberichte
  • Liste kritischer Systeme
  • Umgang mit Drittanbieterprogrammen
  • Firewall/VPN/NAS-Updates
  • dokumentierte Ausnahmen
  • Migrationsplan für Altsysteme
  • Reaktion auf kritische Schwachstellen

Patchmanagement ist kein einzelner Screenshot, sondern ein laufender Prozess.

Adminrechte und privilegierte Konten

Zu viele Adminrechte erhöhen Risiken.

Unternehmen sollten wissen:

  • wer lokale Adminrechte hat
  • wer globale Microsoft-365-Adminrechte hat
  • ob getrennte Admin-Konten verwendet werden
  • ob Admin-Konten MFA haben
  • ob Dienstleisterzugänge dokumentiert sind
  • ob Rechte regelmäßig geprüft werden

Gerade privilegierte Konten sollten nachvollziehbar geregelt sein.

Endpoint-Schutz und Monitoring

Virenschutz allein reicht oft nicht als Aussage.

Zu prüfen ist:

  • Welche Schutzlösung wird eingesetzt?
  • Sind alle Geräte erfasst?
  • Werden Warnmeldungen geprüft?
  • Gibt es zentrale Übersicht?
  • Wie wird auf Funde reagiert?
  • Sind mobile Geräte berücksichtigt?
  • Gibt es Verantwortliche?

Wichtig ist nicht nur Installation, sondern Betrieb.

E-Mail-Sicherheit und Phishing

E-Mail ist ein zentraler Angriffsweg.

Nachweise können betreffen:

  • Spam- und Phishing-Schutz
  • SPF, DKIM, DMARC
  • sichere Links und Anhänge
  • Awareness-Maßnahmen
  • Meldewege
  • Schutz vor Weiterleitungsregeln
  • Prüfung kompromittierter Postfächer

Auch hier zählt die Kombination aus Technik und Verhalten.

Notfallplan und Reaktion

Versicherer fragen häufig nach Incident Response oder Notfallplänen.

KMU brauchen dafür nicht zwingend ein übergroßes Handbuch.

Wichtig ist ein nutzbarer Ablauf:

  • Wer entscheidet?
  • Wer informiert den IT-Dienstleister?
  • Welche Systeme sind kritisch?
  • Wo liegen Notfallkontakte?
  • Wie werden Mitarbeiter informiert?
  • Wie wird wiederhergestellt?
  • Wie wird dokumentiert?

Ein einfacher, gepflegter Notfallplan ist besser als ein theoretisches Dokument.

Mitarbeiter und Sensibilisierung

Mitarbeiter sollten nicht nur einmal unterschreiben, dass sie vorsichtig sind.

Sinnvoll sind:

  • kurze Awareness-Impulse
  • Phishing-Hinweise
  • klare Meldewege
  • Regeln für Passwörter und MFA
  • Regeln für Freigaben
  • Homeoffice-Hinweise
  • Dokumentation der Maßnahmen

So lässt sich zeigen, dass Sicherheit auch organisatorisch berücksichtigt wird.

Dokumentation ohne Bürokratie

KMU brauchen keine übertriebene Dokumentenflut.

Aber wichtige Nachweise sollten geordnet verfügbar sein:

  • Sicherheitscheck
  • Backup-Bericht
  • Restore-Test-Protokoll
  • Patchübersicht
  • MFA-Status
  • Adminrechte-Übersicht
  • Notfallkontakte
  • Dienstleistervereinbarungen
  • Awareness-Nachweise

Das hilft nicht nur bei Versicherungen, sondern auch im Betrieb.

30-60-90-Tage-Fahrplan

Erste 30 Tage

  • Versicherungsfragebogen prüfen
  • vorhandene Maßnahmen erfassen
  • MFA-Status dokumentieren
  • Backup-Status prüfen
  • kritische Lücken identifizieren

Bis 60 Tage

  • Restore-Test durchführen
  • Adminrechte prüfen
  • Patchprozess dokumentieren
  • Endpoint-Schutz kontrollieren
  • Notfallkontakte erfassen

Bis 90 Tage

  • Nachweismappe erstellen
  • Sicherheitsmaßnahmen nachziehen
  • Awareness dokumentieren
  • Notfallplan ergänzen
  • regelmäßige Nachprüfung einführen

Geschäftsführer-Checkliste

  • Können wir MFA nachweisen?
  • Gibt es Backup- und Restore-Test-Nachweise?
  • Ist Patchmanagement dokumentiert?
  • Sind Adminrechte bekannt?
  • Gibt es Endpoint-Schutz mit Kontrolle?
  • Gibt es einen Notfallplan?
  • Sind Mitarbeiter sensibilisiert?
  • Sind Versicherungsangaben belastbar?

Unsere Empfehlung

EDV Systeme Donner empfiehlt, Cyberversicherungsfragen nicht isoliert zu beantworten.

Zuerst sollte die tatsächliche IT-Sicherheitslage geprüft werden.

Dann können technische Nachweise sauber vorbereitet und Lücken gezielt geschlossen werden.

Das schützt nicht nur den Versicherungsvertrag, sondern vor allem den Betrieb.

Fazit

Cyberversicherung und IT-Sicherheit gehören zusammen.

Eine Versicherung kann finanzielle Risiken abfedern. Sie ersetzt aber keine technischen und organisatorischen Schutzmaßnahmen.

Unternehmen sollten deshalb nicht nur einen Fragebogen ausfüllen, sondern ihre Sicherheitslage ehrlich prüfen und dokumentieren.

Technische Nachweise für MFA, Backup und Patchmanagement als dokumentierte Sicherheitsmaßnahmen
Audit-Check für Cyberversicherung mit strukturierten Sicherheitsnachweisen und Maßnahmenübersicht

Praxis-Check: IT-Nachweise für Cyberversicherung

Keine Speicherung. Dieser Praxis-Check läuft nur lokal im Browser.

0 von 5 Punkten erfüllt

Checkliste Cyberversicherung und IT-Nachweise

Kostenlos

Die Checkliste hilft Ihnen, MFA, Backup, Restore-Test, Patchmanagement, Adminrechte, Endpoint-Schutz, E-Mail-Sicherheit, Notfallplan und technische Nachweise strukturiert vorzubereiten.

Checkliste herunterladen

FAQ

Ersetzt eine Cyberversicherung IT-Sicherheit?

Nein. Sie kann finanzielle Risiken abfedern, ersetzt aber keine Schutzmaßnahmen.

Warum fragen Versicherer nach MFA?

Weil kompromittierte Zugangsdaten ein häufiges Angriffsszenario sind.

Warum ist ein Restore-Test wichtig?

Weil nur ein getestetes Backup zeigt, dass Wiederherstellung im Ernstfall funktioniert.

Müssen Adminrechte dokumentiert werden?

Ja, zumindest sollte nachvollziehbar sein, wer privilegierte Rechte hat und warum.

Was zählt als Patchmanagement-Nachweis?

Zum Beispiel Updateberichte, Prozessbeschreibung, Altsystemliste und dokumentierte Ausnahmen.

Reicht ein Virenschutz als Endpoint-Schutz?

Nicht immer. Wichtig ist auch, ob Geräte erfasst, Warnungen geprüft und Vorfälle bearbeitet werden.

Muss ein Notfallplan sehr umfangreich sein?

Nein. Für KMU reicht oft ein klarer, nutzbarer Ablauf mit Verantwortlichen, Kontakten und Prioritäten.

Sind Mitarbeiter-Schulungen wichtig?

Ja. Awareness und Meldewege sind wichtige organisatorische Schutzmaßnahmen.

Was passiert bei falschen Angaben?

Das kann im Schadenfall problematisch werden. Angaben sollten belastbar und nachvollziehbar sein.

Wie unterstützt EDV Systeme Donner?

EDV Systeme Donner prüft Sicherheitslage, Nachweise, Backup, MFA, Patchstand, Adminrechte und Notfallvorsorge.

Quellen

  1. BSI – Cyber-Sicherheit für Unternehmen
  2. NIST – Cybersecurity Framework 2.0
  3. EDV Systeme Donner – IT-Sicherheitscheck für Unternehmen
  4. EDV Systeme Donner – Backup für Unternehmen
  5. EDV Systeme Donner – Ransomware und Backup
  6. EDV Systeme Donner – Patchmanagement für KMU

Sie möchten technische Nachweise für Ihre Cyberversicherung vorbereiten?

EDV Systeme Donner prüft Ihre IT-Sicherheitslage, dokumentiert wichtige Schutzmaßnahmen und hilft, technische Nachweise für MFA, Backup, Restore-Test, Patchmanagement und Notfallvorsorge strukturiert vorzubereiten.

IT-Nachweise prüfen lassen