Studie zeigt: Regelmäßige Pentests reduzieren Cyberversicherungsprämien deutlich

69 Prozent der Unternehmen sind überzeugt, dass regelmäßige Penetrationstests (Pentests) einen direkten Einfluss auf die Höhe ihrer Cyberversicherungsprämien haben.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) berichtet von einem rasanten Wachstum des Marktes für betriebliche Cyberversicherungen, begleitet von stetig steigenden Prämien.

Sicherheitsexperte Dennis Weyel betont: „Angesichts der zunehmenden Bedrohungslage wird es bald unerlässlich sein, kontinuierliche Pentest-Nachweise zu erbringen, um überhaupt noch eine Absicherung gegen Cyberrisiken zu erhalten.“

Unternehmen können ihre Ausgaben für Cyberversicherungen erheblich reduzieren, wenn sie regelmäßig Penetrationstests durchführen und damit die Widerstandsfähigkeit ihrer IT-Systeme belegen. Diese Erkenntnis stammt aus dem „Cyber Security Report DACH 2025“ des Sicherheitsanbieters Horizon3.ai. Für diese Studie wurden 300 Führungskräfte überwiegend mittelständischer Firmen befragt.

Mehr als zwei Drittel der Befragten verfügen über einen umfassenden Versicherungsschutz gegen Hackerangriffe. Weitere 14 Prozent geben an, zumindest teilweise versichert zu sein – ihr Schutz umfasst jedoch nur ausgewählte Cyberrisiken.

Im Rahmen der Umfrage wollte Horizon3.ai wissen, wie stark sich Pentests – also gezielte simulierte Angriffe zur Aufdeckung von Schwachstellen im eigenen IT-Netzwerk – auf die Versicherungsprämien auswirken. Fast die Hälfte (48 Prozent) bewertete den Einfluss als hoch bis extrem hoch: 20 Prozent mit „hoch“, 17 Prozent mit „sehr hoch“ und 11 Prozent mit „extrem hoch“. Weitere 21 Prozent sehen zwar einen gewissen Effekt durch Pentests auf die Prämienhöhe, halten aber andere Faktoren für bedeutender.

Einschätzung: Jährliche Einsparungen in Milliardenhöhe durch regelmäßiges Pentesting

Dennis Weyel fasst zusammen: „Insgesamt betrachten 69 Prozent der befragten Unternehmen das Pentesting als Möglichkeit zur Senkung ihrer Cyberversicherungsprämien.“ Tatsächlich berichten laut Umfrage bereits rund ein Viertel (28 %) davon, bei ihrem Versicherer eine Reduzierung erreicht zu haben. Branchenanalysen gehen dabei von einer Prämienminderung zwischen zehn und zwanzig Prozent aus – abhängig vom jeweiligen Anbieter und Risikoprofil des Unternehmens.

Weyel ergänzt: „Vor dem Hintergrund einer sich verschärfenden Sicherheitslage geht es oft weniger darum, bestehende Prämien weiter abzusenken; vielmehr soll ein übermäßiger Anstieg verhindert werden.“ Er prognostiziert zudem eine Entwicklung hin dazu, dass Versicherer künftig nur noch Unternehmen akzeptieren werden, welche regelmäßige Nachweise über ihre IT-Sicherheit mittels Penetrationstests vorlegen können. Studien zeigen zudem eine mögliche Schadensreduktion durch Hackerangriffe um bis zu vierzig Prozent bei konsequenter Durchführung solcher Tests sowie zügiger Behebung entdeckter Schwachstellen. Basierend auf Schätzungen des Branchenverbands Bitkom könnten so jährlich mehr als siebenundsiebzig Milliarden Euro an Schäden vermieden werden – bei einem erwarteten Gesamtschadenvolumen von etwa einhundertachtundsiebzig Milliarden Euro im Jahr 2024 infolge von Cyberkriminalität in Deutschland.

Laut Bitkom stimmen viele Einschätzungen bezüglich wirtschaftlicher Schäden weitgehend mit den Angaben der Horizon3.ai-Studie überein: Rund vierzig Prozent schätzen den jährlichen Schaden in Deutschland korrekt zwischen hundert und zweihundert Milliarden Euro ein; knapp dreißig geben niedrigere Werte unter hundert Milliarden an; zwölf Prozent sogar deutlich darunter unter fünfzig Milliarden Euro; während fast ein Drittel höhere Summen zwischen zweihundert und dreihundert Milliarden erwartet. Weyel zitiert daraus: „Sieben von zehn Unternehmen sind sich bewusst über das enorme finanzielle Risiko sowie Folgekosten durch digitale Angriffe.“ Die Versicherungsbranche bereitet sich daher intensiv auf wachsende Cyberschäden vor.

Die BaFin hat bereits offizielle Empfehlungen ausgesprochen zur vorsichtigen Tarifgestaltung sowie angemessenen Rückversicherung innerhalb dieser Sparte angesichts eines schnell expandierenden Marktes für reine Cyberpolicen („Stand Alone“-Versicherungen). Trotz dynamischen Wachstums bleibt das Geschäft herausfordernd aufgrund steigender Angriffszahlen und wachsender Schadenssummen.

Zahlen & Fakten seitens BaFin

Laut BaFin hat sich das Volumen reiner Cyberpolicen im selbst abgeschlossenen Erstversicherungsgeschäft deutschlandweit zwischen den Jahren 2020 bis einschließlich 2022 mehr als verdoppelt. Die gebuchten Bruttobeiträge erreichten im Jahr 2022 rund siebenhundert Millionen Euro – was einem Zuwachs um etwa eintausendvierhundertvierzigprozent gegenüber dem Jahr zwei null zwanzig entspricht.

Auffällig ist dabei laut BaFin auch die stärkere Steigerung der Beitragseinnahmen verglichen mit dem Vertragswachstum – dies deutet klar auf signifikante Erhöhungen bei den Prämientarifen hin insbesondere im Zeitraum zwischen zwei null zwei eins bis zwei null zwei zwei .

Zudem prognostiziert die Finanzaufsicht weiteres Wachstum dieses Segments sowohl beim direkt abgeschlossenen Geschäft (>1 Milliarde € bald erreichbar) wie auch beim übernommenen Versicherungsgeschäft (~2 Mrd €).

An erster Stelle stehen Industrieunternehmen als wichtigste Kundengruppe deutscher Anbieter cyberbezogener Policen – sie generieren mehr als achtzigprozent aller Beitragseinnahmen laut aktuellen Auswertungen.
Kleine und mittlere Betriebe kommen zusammen auf fünfzehn bis zwanzigprozent Marktanteil.
Privatkunden spielen dagegen lediglich eine marginale Rolle (<1%).

Über Horizon3.ai

Horizon3.ai bietet Firmen mit seiner autonomen Plattform NodeZero® eine innovative Lösung zum kontinuierlichen Testen ihrer Sicherheitssysteme an.

NodeZero arbeitet ähnlich wie reale Angreifer — erkennt verwundbare Stellen automatisiert — priorisiert notwendige Maßnahmen basierend auf tatsächlichem Risiko — überprüft anschließend Korrekturen effizient in großem Umfang.

Kunden aus unterschiedlichsten Bereichen wie Fertigung , Gesundheitswesen , Finanzen oder nationale Sicherheit vertrauen darauf , Risiken besser einzuschätzen sowie Sicherheitsprozesse spürbar zu beschleunigen .

Folgen Sie Horizon3.ai gerne auch via LinkedIn & X .

Markenzeichenhinweis : NodeZero® ist eingetragenes Warenzeichen von Horizon3.ai

Nähere Informationen: