Unternehmen können ihre Kosten für Cyberversicherungen deutlich senken, indem sie regelmäßige Penetrationstests („Pentests“) durchführen, um die Resilienz ihrer IT-Infrastrukturen nachzuweisen. Diese Schlussfolgerung ergibt sich aus dem „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai. Für den Cybersicherheitsbericht waren 300 Führungskräfte überwiegend mittelständischer Firmen befragt worden.
Gut zwei Drittel der Unternehmen verfügen demnach über einen umfassenden Versicherungsschutz im Fall von Hackerangriffen. Weitere 14 Prozent sind eigenen Angaben zufolge zumindest teilweise versichert: Der Schutz beschränkt sich auf bestimmte Cyberrisiken. Welchen Einfluss haben Penetrationstests – also von den Firmen in Auftrag gegebene Cyberattacken auf das eigene IT-Netz, um Schwachstellen aufzudecken –, auf die Versicherungsprämien, wollte Horizon3.ai im Rahmen der Umfrage wissen. Beinahe die Hälfte (48 Prozent) beantwortet diese Frage mit „hoch“ (20 Prozent), „sehr hoch“ (17 Prozent) oder „extrem hoch“ (11 Prozent). Weitere 21 Prozent räumen Pentests „einen gewissen Einfluss“ auf die Prämienhöhe ein, halten aber andere Aspekte für wichtiger.
Schätzung: 71 Milliarden Euro Kostenersparnis p.a. durch Pentesting
„Insgesamt sehen 69 Prozent der befragten Unternehmen im Pentesting einen Weg, ihre Cyberversicherungsprämien zu senken“, resümiert Dennis Weyel, International Technical Director bei Horizon3.ai. Laut Umfrage ist es 28 Prozent der Firmen eigenen Angaben zufolge tatsächlich schon gelungen, eine Prämienreduzierung bei ihrer Assekuranz durchzusetzen. Branchenberichte gehen von einer Absenkung in der Größenordnung von 10 bis 20 Prozent aus, abhängig vom Versicherer und Risikoprofil.
Dennis Weyel ordnet ein: „Angesichts einer sich ständig verschärfenden Sicherheitslage geht es in vielen Fällen weniger um Prämienreduzierung als vielmehr darum, einen übermäßigen Anstieg zu verhindern. Und es ist wohl absehbar, dass Assekuranzen künftig immer weniger bereit sein werden, für Unternehmen ohne regelmäßige IT-Sicherheitsnachweise durch Penetrationstests überhaupt noch Cyberversicherungen anzubieten.“ Er verweist auf Schätzungen, wonach sich die Schäden durch Hackerangriffe um bis zu 40 Prozent reduzieren lassen, wenn regelmäßig Pentests durchgeführt und die dabei gefundenen Sicherheitslücken zügig behoben werden. Bei einer vom IT-Branchenverband Bitkom geschätzten Schadenshöhe von 178 Milliarden Euro im Jahr 2024 durch Cyberkriminalität käme das einer Kostenersparnis von über 71 Milliarden Euro jährlich gleich.
Die Bitkom-Zahlen korrelieren größtenteils mit den Einschätzungen der von Horizon3.ai befragten Unternehmen. So stufen 39 Prozent der Firmen laut „Cyber Security Report 2025“ den wirtschaftlichen Schaden durch Cyberkriminalität in Deutschland völlig richtig auf 100 bis 200 Milliarden Euro ein. Aber 29 Prozent liegen darunter (unter 100 Milliarden Euro), 12 Prozent sogar deutlich (unter 50 Milliarden Euro). Ein knappes Drittel (31 Prozent) geht hingegen von einer höheren jährlich Schadenssumme aus (200 bis 300 Milliarden Euro). „70 Prozent der Unternehmen sind sich der immensen finanziellen Schäden und Folgekosten bewusst, die durch Cyberangriffe entstehen können“, zitiert Dennis Weyel aus dem Bericht von Horizon3.ai, „die Versicherungswirtschaft bereitet sich auf zunehmende Cyberschäden vor.“
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat bereits eine offizielle Empfehlung für „eine umsichtige Tarifierung und eine angemessene Rückversicherung“ an die Versicherungsbranche ausgesprochen. Der Grund: Der Markt für Cyberpolicen wächst zwar rasant, aber das Geschäft ist für die Assekuranzen nicht immer auskömmlich, weil die Angriffe und die dadurch verursachten Schäden ebenso rasant zunehmen.
Mehr Informationen: Horizon3.ai