Der 18. November 2025 zeigt eindrucksvoll, auf welch wackeligen Füßen unsere gesamte Digitaltechnik steht. Kurz zuvor ändert der IT-Dienstleister Cloudflare die Zugriffsrechte für eine interne Datenbank. Es löst eine Kettenreaktion aus, an deren Ende solche hochbeliebten und vielgenutzten Anwendungen wie die Allzweck-KI ChatGPT, der Nachrichtendienst X und das trumpsche Pendant Truth Social nicht mehr laufen.
Eigentlich soll Cloudflare dafür sorgen, dass Internet-Seiten schneller, sicherer und stabiler laufen. So erklärt es das Branchenportal „Heise“. Cloudflare sei besonders bekannt dafür, von Kriminellen gesteuerte Massenanfragen, sogenannte DDoS-Attacken, abzuwehren. Und nun das.
„Heise“-Redakteur Malte Kirchner überlegt nur mal laut: „Wie viel vom Internet, wie wir es kennen, bliebe übrig, wenn Microsoft Azure, Amazon Web Services und Cloudflare gleichzeitig Schluckauf hätten?“ Spinnen wir den Gedanken an dieser Stelle lieber nicht weiter.
Zugegeben, es ist ein großes Beispiel. Aber es zeigt, welch einzigartige Stellung Dienstleister für Informationstechnologie (IT) in unserer heutigen Welt einnehmen können. Einer Welt, in der alle Dienstleister eigene Internet-Seiten betreiben und manchmal auch Apps. In der jeder von ihnen große Mengen an digitalen Daten bewältigen muss, nicht zuletzt, weil ihn der Fortschritt dazu zwingt. Und leisten kann er das nur mithilfe von IT-Dienstleistern. Sie programmieren, entwickeln, schubsen Daten in die Cloud, halten alles am Laufen. Sie sind die Knoten im weltweiten Netz.
Doch gerade Cloudflare zeigt, dass es jeden erwischen kann. Daten können verloren gehen, Projekte können platzen, kluge Köpfe können krank werden oder zur Konkurrenz abwandern. Weshalb IT-Dienstleister gut versichert sein wollen.
Einer, der solche Kunden hat, ist Geschäftsführer Daniel Dierkes vom Berliner Gewerbemakler Surein (ausgesprochen wie das englische Sure-in). Es sind kleine Unternehmen, aber auch Mittelständler. Als absolute Pflicht sieht er für die IT-Branche die Vermögensschadenhaftpflichtversicherung (VSH) zusammen mit der Betriebshaftpflicht. „Damit sind diese Kunden auch abgesichert, wenn solche Dinge wie Programmierfehler passieren, sich die Leistung verzögert oder sie gegen die Datenschutzverordnung verstoßen“, erklärt der Makler. Vieles, was schiefgehen kann, scheint damit abgedeckt.
Wobei es unterschiedliche Ansätze gibt, ob es denn eine Berufshaftpflicht oder eine Betriebshaftpflicht sein soll. Beim Gewerbeversicherer Markel gehört zum Beispiel die Berufshaftpflichtversicherung zur Grundausstattung. Freilich auch hier in Kombi mit der VSH. Und beim HDI ist es eher die Betriebshaftpflicht.
Die gute Nachricht ist: In vielen Punkten nehmen sich die beiden Produkte nichts, grundsätzlich decken sie Schäden ab, die Dritten entstehen. Wobei sich die Berufshaftpflicht eher auf beratende Berufe konzentriert und die Betriebshaftpflicht eher auf … ja, klar … Betriebe. Hier hilft ganz einfach, was man sowieso mit allen Policen tun sollte: Nachsehen, was drin ist und genau Punkt für Punkt mit den eigenen Tätigkeiten abgleichen. Und dann abschließen. Von da an ist jedoch fortlaufend zu prüfen, ob die Versicherungssumme noch ausreicht. Schadenfälle können schnell in die Millionen gehen, und wenn das Unternehmen wächst, sollte auch die Police mitwachsen.
Einen speziellen Tipp haben die Spezialisten des HDI: Die VSH sollte demnach die sogenannte offene Deckung enthalten. „Das bedeutet, dass alle üblichen IT-Tätigkeiten und Nebenrisiken abgedeckt sind, ohne dass sie einzeln aufgelistet werden müssen. Das schützt eine Vielzahl von Tätigkeiten wie Softwareentwicklung, Beratung, Betrieb von Internetportalen oder Apps. Und es verhindert, für jede neue Tätigkeit eine Änderung in der Police beantragen zu müssen“, erklärt ein HDI-Sprecher.
Ebenfalls keine zwei Meinung gibt es zu einem weiteren Pflichtprogramm: der Cyberversicherung. „IT-Dienstleister sind gleich doppelt exponiert: Sie sind selbst Ziel von Cyberangriffen, und sie sind oft das Einfallstor in die Systeme ihrer Kunden“, teilt Markel mit. Eine gute Cyberpolice helfe bei Forensik, Krisenkommunikation, Datenwiederherstellung, Betriebsunterbrechung und im Extremfall auch bei Haftungsszenarien. „Ohne Cyberschutz unterwegs zu sein, ist für viele IT-Unternehmen inzwischen schlicht fahrlässig“, stellt der Versicherer klar.
Doch das scheint sich nicht unter allen Kunden herumgesprochen zu haben. „Das Bewusstsein steigt zwar, aber es gibt immer noch Verständnisprobleme“, berichtet Makler Dierkes. So würden viele nicht vollständig erkennen, welche Kosten an erfolgreichen Cyberangriffen hängen: Wenn der Betrieb unterbrochen ist und Daten wiederherzustellen sind, zum Beispiel. Manche Kunden halten sich für ausgesprochen sicher aufgestellt.
Denen könnte man jenen IT-Dienstleister entgegenhalten, den Surein als Kunden bekam, und der noch davor Opfer eines Cyberangriffs geworden war. Es war das ganze Gangster-ABC: Millionenschaden, eine Spur, die nach Russland führt, verschlüsselte Daten, Erpressernachricht und Lösegeld in Bitcoin. Erklärt man also Kunden, welche Kosten im Zusammenhang mit Cyberangriffen entstehen können, steigt das Bewusstsein eben doch.
Und dann wäre da noch der dritte Teil: Nennen wir es das Nasen-Risiko. Zunächst hängt in kleinen IT-Firmen nicht selten alles an einigen wenigen klugen Köpfen. Diese Köpfe sollte man über die gängigen Policen vor Berufsunfähigkeit, langer Krankheit und Unfällen schützen, findet Makler Dierkes: „Da geht es immer um die Frage: Was bedroht die Existenz?“
Die anderen wichtigen Nasen gehören der Chefetage, weshalb die Managerhaftpflicht, auch bekannt als D&O, durchaus nötig sein kann. So warnt Markel: „Gerade bei wachstumsstarken IT-Unternehmen mit Investoren, Beirat oder Aufsichtsorganen ist eine D&O essenziell. Geschäftsleiter haften persönlich mit ihrem Privatvermögen für Managementfehler – und das kann mit einem einzigen Streitfall schmerzhaft werden, zum Beispiel bei gescheiterten Projekten, unterlassener IT-Sicherheit oder Streitigkeiten mit Investoren.“
Große Gesellschafterkreise oder Investoren sind auch Umstände, unter denen Daniel Dierkes dringend zur D&O rät. Es komme sogar vor, dass die Investoren so etwas von sich aus für die komplette Führungsetage verlangen, inklusive Prokuristen und Organmitgliedern. Das wäre dann ein Fall für die Firmen-D&O. Interessanterweise gehen Versicherer bei solchen Policen gern mal restriktiv zu Werk. Es könnte also manchmal schwierig werden, die Versicherungssummen weiter zu erhöhen. Ein zweiter D&O-Vertrag wird dann nötig.
Es lassen sich natürlich noch weitere Dinge versichern. Die Vertrauensschadenversicherung schützt vor internem und externem Betrug. Elektronik- und Inhaltsversicherungen decken Gerätschaften ab. Und die Rechtsschutzversicherung springt ein, wenn es mit Kunden oder Mitarbeitern nach Ärger riecht. Wenngleich sie nicht absolute Pflicht sind und zum Teil vielleicht schon in anderen Policen mit enthalten sind (zum Beispiel Rechtsschutz in der Cyberpolice). Sie können sehr nützlich sein. Im Gespräch auf den Tisch kommen sollten sie deshalb auf jeden Fall.
