Login

Cyberversicherungen für Unternehmen und speziell für Steuerkanzleien: Was Sie wissen sollten

Cyberversicherungen sind für Unternehmen heute ähnlich wichtig wie die Betriebshaftpflicht. Sie decken Kosten ab, die nach einem erfolgreichen Hackerangriff entstehen: Datenwiederherstellung, IT-Forensik, Krisenkommunikation, Rechtsberatung und Betriebsunterbrechungen. Manche Versicherungen übernehmen auch Lösegeldforderungen bei Ransomware-Angriffen.

🕒 4 Min. Lesezeit

Inhaltsverzeichnis

Der entscheidende Unterschied zu anderen Versicherungen: Cyberversicherer prüfen vor Vertragsabschluss genau, wie gut ein Unternehmen technisch und organisatorisch aufgestellt ist. Ein zentraler Aspekt dieser Überprüfung: Regelmäßige Mitarbeiterschulungen zum Thema Cyber-Sicherheit“.

Diese Schulungspflicht ist keine Empfehlung, sondern eine sogenannte Obliegenheitspflicht: Sie muss erfüllt werden, damit die Versicherung im Schadensfall leistet. Wer das nicht nachweisen kann, riskiert eine Leistungskürzung oder im schlimmsten Fall die Verweigerung der Zahlung.

Warum Steuerkanzleien besonders gefährdet sind

Steuerkanzleien sind für Cyberkriminelle besonders attraktive Ziele. Die Gründe liegen auf der Hand:

Hochsensible Daten
Steuerkanzleien verarbeiten nicht nur eigene Geschäftsdaten, sondern auch sensible Finanzdaten ihrer Mandanten: Einkommensnachweise, Vermögensübersichten, Kontodaten, Sozialversicherungsnummern. Ein erfolgreicher Angriff gefährdet nicht nur die eigene Kanzlei, sondern dutzende oder hunderte Mandanten.

DATEV als Angriffsvektor
Die DATEV-Infrastruktur ist zwar sicher, aber Phishing-Angriffe, die DATEV-E-Mails täuschend echt nachahmen, nehmen zu. Mitarbeiter, die nicht regelmäßig geschult werden, erkennen gefälschte Login-Seiten oder manipulierte Anhänge oft nicht. Ein einziger Klick kann ausreichen, um Zugangsdaten preiszugeben.

Berufsgeheimnis und Haftung
Steuerberater unterliegen der Verschwiegenheitspflicht nach § 57 StBerG. Bei einer Datenpanne drohen nicht nur DSGVO-Bußgelder, sondern auch berufsrechtliche Konsequenzen und Schadensersatzforderungen von Mandanten. Eine Cyberversicherung federt diese Risiken ab – aber nur, wenn die Obliegenheitspflichten erfüllt sind.

Das konkrete Risiko: BEC-Angriffe
Business Email Compromise (BEC) ist die häufigste Angriffsform auf Kanzleien. Angreifer geben sich als Geschäftsführer, Partner oder Mandanten aus und fordern Überweisungen. Beispiel: Eine mittelgroße Kanzlei in Hannover überwies 67.000 EUR auf ein Betrügerkonto, weil eine Mitarbeiterin eine gefälschte Partner-E-Mail nicht erkannte. Die Versicherung kürzte die Leistung um 40%, weil die letzte Schulung zwei Jahre zurücklag. Eigenschaden: 26.800 EUR.

Cyberversicherer sind keine IT-Dienstleister, aber sie fordern nachweisbare Sicherheitsmaßnahmen. Das Bundesamt für Soziale Sicherung nennt folgende Grundvoraussetzungen für den Abschluss einer Cyberversicherung:

Was Cyberversicherungen verlangen

  • Umsetzung grundlegender IT-Sicherheitsmaßnahmen
  • Einhaltung der Datenschutzgesetze (DSGVO)
  • Regelmäßige Sicherheitsaudits und Risikobewertungen
  • Vorhandensein eines Notfallreaktionsplans
  • Regelmäßige Mitarbeiterschulungen zum Thema Cyber-Sicherheit

Der letzte Punkt wird oft unterschätzt. „Regelmäßig“ bedeutet nicht „bei Einstellung“ oder „einmal im Jahr“. Die meisten Versicherer verlangen quartalsweise Schulungen, empfohlen wird monatlich. Der Grund: Phishing-Methoden ändern sich ständig, und die Wachsamkeit von Mitarbeitern sinkt nach wenigen Wochen.

Die Schulungen müssen zudem dokumentiert werden. Im Schadensfall fragt die Versicherung: „Wann fand die letzte Schulung statt? Wer hat teilgenommen?“ Ohne lückenlose Dokumentation droht Leistungskürzung.

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) formuliert es klar: „Angesichts der wachsenden Gefahrenlage bestehen die Versicherer bei Neuabschlüssen auf wirksame Schutzmaßnahmen.“

FAQ: Häufig gestellte Fragen zum Thema Cyberversicherungen, Anforderungen und Schulungspflicht

No accordions found

Was ist eine Obliegenheitspflicht bei Cyberversicherungen?

Eine Obliegenheitspflicht ist eine vertragliche Verpflichtung, die Sie als Versicherungsnehmer erfüllen müssen – und zwar bereits vor einem möglichen Schadensfall. Im Gegensatz zu normalen Versicherungsbedingungen kann die Versicherung bei Verletzung einer Obliegenheitspflicht ihre Leistung kürzen oder komplett verweigern. Bei Cyberversicherungen gehört dazu typischerweise die regelmäßige Schulung Ihrer Mitarbeiter zum Thema IT-Sicherheit. Das Bundesamt für Soziale Sicherung nennt „regelmäßige Mitarbeiterschulungen zum Thema Cyber-Sicherheit“ explizit als eine der Grundvoraussetzungen für den Abschluss einer Cyberversicherung.

Wie oft muss ich meine Mitarbeiter zur IT-Sicherheit schulen?

Die meisten Cyberversicherer verlangen quartalsweise Schulungen, empfohlen wird monatlich. Eine einmalige Schulung bei Einstellung oder eine jährliche Auffrischung reicht nicht aus, um die Obliegenheitspflichten zu erfüllen. Der Grund: Phishing-Methoden und Angriffstechniken ändern sich ständig. Was Ihre Mitarbeiter vor sechs Monaten gelernt haben, schützt heute nicht mehr ausreichend. Zudem zeigt die Lernpsychologie: Die Wachsamkeit von Mitarbeitern sinkt bereits nach 4-6 Wochen deutlich. Regelmäßige, kurze Schulungen (10-15 Minuten monatlich) sind effektiver als seltene, lange Schulungstage.

Was passiert, wenn ich keine Schulungen nachweisen kann?

Wenn Sie im Schadensfall keine lückenlose Dokumentation Ihrer Mitarbeiterschulungen vorlegen können, darf Ihre Cyberversicherung die Leistung kürzen. In der Praxis bedeutet das: Statt der vollen Schadenssumme erhalten Sie nur einen Teil erstattet – die Kürzung kann 20% bis 50% betragen, in Extremfällen kann die Versicherung die Zahlung komplett verweigern. Ein Beispiel: Eine Steuerkanzlei in Hannover erlitt einen Schaden von 67.000 EUR durch einen BEC-Angriff. Die Versicherung zahlte nur 40.200 EUR aus, weil die letzte Schulung zwei Jahre zurücklag. Der Eigenschaden: 26.800 EUR.

Wie dokumentiere ich Mitarbeiterschulungen für meine Versicherung?

Die Dokumentation muss folgende Informationen enthalten: Datum der Schulung, Name des Teilnehmers, Thema der Schulung und idealerweise eine Teilnahmebestätigung. In der Security Awareness Toolbox finden Sie bei jedem Schulungs-Modul einen kurzen Test mit Teilnahmebestätigung. Diese Bestätigung enthält genau die von der Versicherung geforderten Informationen. Legen Sie diese Bestätigung am besten in der Personalakte des Mitarbeiters ab. Darüber hinaus bietet die Security Awareness Toolbox eine Dokumentationsvorlage im Microsoft Excel-Format, in die Sie alle durchgeführten Schulungen eintragen und der Versicherung auf Anfrage vorlegen können. Wichtig: Bewahren Sie die Dokumentation mindestens 3 Jahre auf. Im Schadensfall fragt die Versicherung: „Wann fand die letzte Schulung statt?“ – ohne lückenlose Nachweise droht Leistungskürzung.

Wie die Security Awareness Toolbox hilft

Die Security Awareness Toolbox wurde entwickelt, um genau diese Anforderungen zu erfüllen – speziell für KMUs und Kanzleien, die keine eigene IT-Abteilung haben.

Das System funktioniert so:

Monatliche Micro-Learning-Module
Ihre Mitarbeiter erhalten bereits in der Security Awareness Toolbox BASIC-Version jeden Monat ein kurzes E-Learning-Modul (10-15 Minuten) zu aktuellen Bedrohungen: Phishing-Mails, sichere Passwörter, Social Engineering, Datenschutz. Die Inhalte sind praxisnah, ohne Fachchinesisch, direkt umsetzbar.

Schulungstest als Nachweis
Nach jedem Modul absolvieren die Mitarbeiter einen kurzen Test (max. fünf Fragen) und bestätigen dann in einem entsprechenden Formular, dass sie an der Schulung teilgenommen haben. Die Bestätigung einfach in der Personalakte abheften – und schon ist der Nachweis erbracht

Dokumentationsvorlage
Darüber hinaus enthält die Security Awareness Toolbox eine Vorlage im Microsoft Excel-Format zur zentralen Dokumentation aller durchgeführten Schulungen. Einfach Mitarbeiter, Schulungsthema und Datum der erfolgten Schulung (anhand der Teilnahmebestätigung im Test) eintragen und schon wirkt sich dies positiv bei der Berechnung der Kosten für Ihre Cyberversicherung aus.

Phishing-Simulationen
Einige Versicherer fordern auch Phishing-Tests. Die Security Awareness Toolbox enthält in der PLUS-Version realistische Beispiele für Phishing-E-Mails, die Sie an Ihre Mitarbeiter weitergeben können. Darüber hinaus ist in der Security Awareness Toolbox PRO-Version eine Checkliste Phishing-Simulationen enthalten, die Sie dabei unterstützt, selbst mit geringsten Mitteln solche Simulationen zu planen, durchzuführen und auszuwerten.

Drei Versionen verfügbar:

Alle Preise gelten pro Unternehmen bzw. Kanzlei (unbegrenzte Mitarbeiterzahl), zzgl. MwSt.

Treffen Sie uns auf der TAXarena in Stuttgart

Auf der TAXarena in Stuttgart am 24. März 2026 präsentieren wir die Security Awareness Toolbox und stehen für Fragen zum Einsatz in Steuerkanzleien zur Verfügung.

Unser Angebot für TAXarena-Besucher:

  • Überprüfen Sie die Security Awareness in Ihrer Kanzlei mit unserem Security Awareness Quick Check (2 Minuten, zehn Fragen, Auswertung innerhalb von 48 Stunden nach der Veranstaltung)
  • Sichern Sie sich unser Security Awareness Poster mit praktischen Tipps – zum Aufhängen im Aufenthaltsraum, in der Teeküche, etc.
  • Profitieren Sie von unserem Messe-Rabatt beim Erwerb der Security Awareness Toolbox

Weitere Infos zur TAXArena Stuttgart

Sie können nicht zur TAXarena kommen?
Dann vereinbaren Sie ein kostenloses unverbindliches Erstgespräch mit uns:

👉 Termin vereinbaren

Sie möchten mehr darüber erfahren, wie Sie die Beschäftigten Ihres Unternehmensvom Risikofaktor in eine "Human Firewall" verwandeln?

Kein Problem! In einem kostenlosen Erstgespräch vermitteln wir Ihnen einen Überblick, welche Maßnahmen dafür erforderlich sind und wie Ihnen die Security Awareness Toolbox dabei hilft, diese Maßnahmen mit minimalem Zeit- und Kostenaufwand umzusetzen.
Termin vereinbaren

📋 Nächste Schritte

Security Quick Check starten
Kostenloses Beratungsgespräch vereinbaren
Newsletter abonnieren

📚 Ähnliche Artikel

Ohne Bewusstsein keine Sicherheit

Alles was Sie für ein nachhaltiges Security Awareness-Programm im Unternehmen benötigen
Security Awareness Toolbox kennenlernen
Bild von Heike Kröner

Heike Kröner

Heike Kröner ist als Marketingleiterin für die Content-Marketing-Strategie der Security Awareness Toolbox verantwortlich. Als zertifizierte Online-Marketing-Expertin kombiniert sie digitales Marketing-Know-how mit langjähriger praktischer Erfahrung im B2B-Umfeld. Sie erlebte den Ransomware-Angriff auf GROHMANN BUSINESS CONSULTING hautnah mit und arbeitete danach aktiv am ersten Security Awareness-Programm des Unternehmens mit. Dabei erkannte sie die besonderen Herausforderungen, vor denen kleine und mittlere Unternehmen stehen: Knappe Ressourcen, fehlendes Spezialwissen und die Schwierigkeit, komplexe Sicherheitsthemen verständlich zu vermitteln. Dieses Verständnis für die KMU-Perspektive prägt heute ihre Arbeit für die Security Awareness Toolbox.

📚 Weitere Beiträge zum Thema:

Nur 166,- € pro Monat *)

Jahreslizenz pro Unternehmen

  • Alle Module und Updates
  • Unbegrenzte Mitarbeiterlizenzen
  • Persönliches On-Boarding
  • Support per Telefon & E-Mail
  • Sofort einsatzbereit
Jetzt Angebot anfordern

*) = 1.992,- € zzgl. MwSt. bei jährlicher Zahlung