Für kleine und mittlere Maklerbüros

Cyber-Versicherung für Immobilienmakler

Q: Brauche ich als kleine Maklerbüro wirklich eine Cyber-Versicherung?

Ja. Immobilienmakler verarbeiten Eigentümerdaten, Kontostammdaten und Beschluss-Dokumente und wickeln größere Geldbeträge ab — eine Kombination, die für Cyber-Angreifer attraktiv ist. Auch kleinere Verwaltungen mit weniger als 20 Wohnungseigentümergemeinschaften werden angegriffen, besonders durch breit gestreute Phishing-Kampagnen. Die Schadensgröße im Einzelfall ist häufig hoch, weil mehrere Schadenarten gleichzeitig auflaufen — Betriebsunterbrechung, Drittschaden und DSGVO-Bußgeld.

Q: Was muss ich an IT-Sicherheit selbst vorweisen, um eine Police zu bekommen?

Versicherer verlangen zunehmend Mindeststandards: Mehr-Faktor-Authentifizierung für alle Zugänge, regelmäßige Datensicherung mit Offline-Komponente, aktuelle Schutzsoftware, dokumentierte Patch-Routine, jährliche Mitarbeiterschulungen zu Phishing. Manche Anbieter prüfen das aktiv mit Fragebögen oder externen Scans.

Q: Sind DSGVO-Bußgelder überhaupt versicherbar?

Bei vorsätzlichen Verstößen lautet die Antwort klar nein. Bei fahrlässigen Verstößen bieten viele Cyber-Policen Deckung „soweit gesetzlich versicherbar“ — keine vollständige Absicherung, aber auch keine Null-Linie. Bei einer Klage gegen ein Bußgeld übernehmen die Policen üblicherweise auch die Verteidigungskosten.

Q: Wie schnell muss ich nach einem Vorfall melden?

Versicherung: vertragsabhängig, häufig unverzüglich oder binnen 72 Stunden nach Kenntnis. DSGVO-Aufsicht: 72 Stunden ab Bekanntwerden bei meldepflichtigen Datenschutzverletzungen nach Art. 33 DSGVO. Krisen-Hotline: am besten sofort — je früher die IT-Forensik beginnt, desto mehr Spuren sind verwertbar.

Cyberversicherung Immobilienmakler – Was Ihre Police übernimmt, wenn Verwaltersoftware, Zahlungsverkehr oder Eigentümerdaten getroffen werden — und worauf es bei der Auswahl ankommt.

Wenn die Verwaltersoftware nach einem Ransomware-Angriff stillsteht, Hausgeld-Konten manipuliert werden oder Eigentümerdaten unbefugt nach draußen geraten, sind die finanziellen Folgen schnell sechsstellig. Eine Cyber-Versicherung übernimmt IT-Forensik, Krisenkommunikation, die Prüfung von Lösegeld-Forderungen und den Ertragsausfall durch Betriebsunterbrechung — bevor aus einem Vorfall ein Existenzproblem für Ihre Verwaltung wird. Ihr Ansprechpartner: Jan Pohl, Versicherungsmakler mit Spezialisierung auf die Immobilienwirtschaft.

Das Wichtigste in Kürze: Immobilienmakler verarbeiten Exposé-, Kunden- und Eigentümerdaten und wickeln Zahlungen ab — das macht sie zum Ziel für Phishing, CEO-Fraud und Ransomware. Die Cyberversicherung trägt Datenwiederherstellung, Betriebsunterbrechung und Haftung nach Art. 32 DSGVO. Marktüblich sind Versicherungssummen von 250.000 bis 1.000.000 € (Stand: 06/2026).

Online-Beratung buchen

Cyberversicherung Immobilienmakler: auf einen Blick

Zielgruppe: Kleine und mittlere Maklerbüros, typischer Bestand 5–80 Wohnungseigentümergemeinschaften oder vergleichbare Maklergeschäfts-Volumina.
Versicherungssumme typisch: 1–5 Mio. EUR, abhängig von Bestandsgröße und IT-Landschaft.
Selbstbehalt: Ab 1.500 EUR pro Schadenfall, häufig 2.500–5.000 EUR.
Auslösekriterium: Meist Manifestationsprinzip — entscheidend ist die Schadenentdeckung.
Krisendienst: 24/7-Hotline mit IT-Forensik, Datenschutz-Anwalt, Krisenkommunikation.
Rechtliche Klammer: DSGVO Art. 32/33/34/83, BDSG, IT-SiG 2.0, NIS2-UmsuG (in Kraft seit 5.12.2025), § 280 BGB, § 27 WEG, § 202a–c StGB, § 263a StGB.

Welche Gesetze gelten — und wer haftet wofür?

Die Cyber-Sicherheit für Immobilienmakler steht auf mehreren Rechtsfundamenten gleichzeitig. Datenschutz, IT-Sicherheit, allgemeine Haftung und Strafrecht greifen ineinander — und genau aus dieser Überlagerung entsteht der Versicherungsbedarf, der mit einer reinen Vermögensschadenhaftpflicht nicht zu decken ist.

Datenschutz: DSGVO und BDSG

Die DSGVO bildet das Rückgrat. Art. 32 DSGVO verpflichtet jeden Verantwortlichen — und das ist der Immobilienmakler für die Daten der Eigentümer und Mieter — zu „angemessenen technischen und organisatorischen Maßnahmen“ (TOM). Was angemessen ist, bemisst sich am Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Verarbeitung und der Eintrittswahrscheinlichkeit eines Risikos.

Art. 33 DSGVO verpflichtet zur Meldung an die zuständige Aufsichtsbehörde binnen 72 Stunden, sobald eine meldepflichtige Datenschutzverletzung bekannt wird. Art. 34 DSGVO verlangt zusätzlich die Information der Betroffenen, sobald ein hohes Risiko für deren Rechte und Freiheiten vorliegt — typisch bei abgeflossenen Eigentümerlisten mit IBAN und Hausgeldständen. Art. 83 DSGVO setzt den Bußgeldrahmen: bis zu 20 Mio. EUR oder 4 % vom weltweiten Jahresumsatz, je nachdem, welcher Betrag höher ist. Ergänzend gilt das BDSG mit deutschen Spezialregelungen, etwa § 26 BDSG für Beschäftigtendaten.

IT-Sicherheit: IT-SiG 2.0 und NIS2-Umsetzungsgesetz

Das IT-Sicherheitsgesetz 2.0 richtet sich an Betreiber kritischer Infrastrukturen und ist für eine durchschnittliche Maklerbüro nur mittelbar relevant — etwa über IT-Dienstleister oder bei der Verwaltung größerer Wohnbestände in regulierten Strukturen. Anders das NIS2-Umsetzungsgesetz: Es ist in Deutschland am 5. Dezember 2025 in Kraft getreten und gilt unmittelbar für „wichtige“ und „wesentliche“ Einrichtungen. Für die meisten Maklerbüros besteht keine direkte Pflichtanwendung, mittelbare Betroffenheit entsteht aber, wenn Sie IT-Prozesse für regulierte Geschäftspartner mitverwalten oder selbst die Größenschwellen erreichen. Im Zweifel ist eine rechtliche Prüfung sinnvoll.

Haftung gegenüber Auftraggebern und Dritten

§ 280 BGB begründet die zentrale vertragliche Schadensersatzhaftung — der Maklervertrag verpflichtet zu sorgfältiger Datenverarbeitung, eine schuldhafte Pflichtverletzung löst Ersatzansprüche aus. § 823 BGB ergänzt die deliktische Haftung gegenüber Dritten, etwa wenn Daten unbefugt offengelegt werden. § 27 WEG bindet den WEG-Verwalter zusätzlich als Treuhänder an die Vermögensinteressen der Gemeinschaft — Manipulationen am Hausgeldkonto sind damit auch zivilrechtlich relevant, nicht nur strafrechtlich.

Strafrecht: Wenn ein Innentäter oder CEO-Fraud im Raum steht

Cyber-Schäden bewegen sich oft im Vorfeld strafrechtlicher Tatbestände. §§ 202a–c StGB erfassen das Ausspähen, das Abfangen und das Vorbereiten von Daten-Straftaten. § 263a StGB stellt den Computerbetrug unter Strafe — typische Fallgruppe bei manipulierten Überweisungen aus Treuhandkonten. § 269 StGB erfasst die Fälschung beweiserheblicher Daten, etwa gefälschte E-Mail-Adressen beim sogenannten CEO-Fraud.

Datenschutzverletzung im Sinne der DSGVO: Jede Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO). Auch versehentliche Fehlsendungen — etwa eine Eigentümerliste an einen falschen Verteiler — sind davon erfasst.

Drei Säulen: Eigenschaden, Drittschaden, Krisendienst

Eine durchdacht aufgebaute Cyber-Police deckt drei Bereiche, die im Schadenfall parallel auftreten. Das Verständnis dieser Dreiteilung ist die Voraussetzung dafür, eine Police zu beurteilen — und zu erkennen, wo Lücken sind.

Eigenschaden — Ihre eigenen Verluste

Wiederherstellung verschlüsselter oder gelöschter Daten, Wiederbeschaffung beschädigter Hard- und Software, Ertragsausfall durch Betriebsunterbrechung, Mehrkosten für Notbetrieb (Ersatzgeräte, externe IT-Dienstleister) sowie — sofern in der Police ausdrücklich gedeckt — Cyber-Erpressung und Lösegeld. Die Eigenschaden-Säule ist das, was Ihrer Verwaltung selbst entgeht oder kostet.

Drittschaden — Ansprüche anderer gegen Sie

Schadensersatz an betroffene Eigentümer, Mieter und Geschäftspartner, Anwaltskosten zur Abwehr unberechtigter Ansprüche, Verfahrens- und Gerichtskosten. Diese Säule ist der klassische Haftpflicht-Anteil der Cyber-Police — und sie ist im Schadenfall häufig der größte Einzelposten, weil sich die Forderungen vieler Betroffener summieren.

Krisendienst — Sofortmaßnahmen im Schadenfall

IT-Forensik zur Schadensaufklärung, Datenschutz-Rechtsanwälte für die Behördenkommunikation, Krisenkommunikation und PR-Beratung, Benachrichtigung Betroffener nach Art. 34 DSGVO sowie DSGVO-Bußgelder, soweit nach deutschem Recht versicherbar. Diese Säule entscheidet darüber, wie groß der Schaden am Ende wird — eine schnelle, koordinierte Reaktion in den ersten 72 Stunden reduziert die Folgekosten erheblich.

Auslösekriterium: Der Zeitpunkt, an dem ein Cyber-Vorfall die Police aktiviert. Drei Modelle sind verbreitet: Verstoßprinzip (Zeitpunkt der Pflichtverletzung), Claims-made (Anspruchserhebung), Manifestationsprinzip (Schadenentdeckung). Bei Cyber überwiegt das Manifestationsprinzip, weil Angriffe oft monatelang unentdeckt bleiben.

Wann greift die Police? Drei Auslösemodelle im Vergleich

Bei Cyber-Schäden vergeht häufig viel Zeit zwischen der Pflichtverletzung — etwa einer übersehenen Sicherheitslücke —, dem eigentlichen Angriff und der Schadensentdeckung. Welches Auslösemodell die Police nutzt, entscheidet im Streitfall darüber, ob ein Vorfall überhaupt gedeckt ist.

Verstoßprinzip: Gedeckt ist der Schaden, dessen Auslöser — die Pflichtverletzung — in den Versicherungszeitraum fällt. Auch wenn der Schaden erst Jahre später bekannt wird, greift die Police. Bei einer reinen VSH ist das Standard, bei Cyber dagegen seltener.

Claims-made-Prinzip: Gedeckt ist der Schaden, dessen Anspruchserhebung in den Versicherungszeitraum fällt. Lange Latenzzeiten zwischen Angriff und Bekanntwerden sind hier kritisch — der Vertrag muss bei Anspruchserhebung noch laufen oder eine ausreichende Nachhaftung haben.

Manifestationsprinzip: Gedeckt ist der Schaden, dessen Entdeckung in den Versicherungszeitraum fällt. Für Cyber sehr passend, weil Angreifer typischerweise Monate unbemerkt in einem System sitzen, bevor sie zuschlagen oder bevor der Datenabfluss auffällt.

In der Praxis arbeiten die meisten deutschen Cyber-Versicherer mit dem Manifestationsprinzip — oft kombiniert mit einer Rückwärtsdeckung für nicht bekannte Vorvertragsumstände und einer Nachhaftung von mindestens drei Jahren. Bei der Bedingungsprüfung lohnt es sich, die genaue Wortwahl im Vertrag zu kennen: „Bekanntwerden“, „Geltendmachung“ und „Entdeckung“ sind drei unterschiedliche juristische Anker, die in der Praxis Streitpotenzial bergen.

Praxis-Empfehlung: Manifestationsprinzip mit Rückwärtsdeckung wählen, Mindest-Nachhaftung drei Jahre, idealerweise fünf. Sonst entstehen Lücken, wenn ein Schaden nach Vertragsende sichtbar wird.

Nachhaftung und Rückwärtsdeckung — was passiert nach Vertragsende?

Zwei eng verwandte Mechanismen sichern Sie gegen zeitliche Lücken ab. Beide sind bei Cyber-Policen besonders wichtig, weil zwischen Angriff und Schadensentdeckung typischerweise Monate liegen — und weil Anbieterwechsel im Cyber-Markt häufiger sind als in klassischen Sparten.

Nachhaftung: Schutz nach Beendigung der Police für später entdeckte Altschäden. Die Versicherung leistet, wenn der Schaden in der Versicherungszeit angelegt war, aber erst nach Vertragsende sichtbar wird. Übliche Zeiträume: drei Jahre, in besseren Bedingungswerken fünf Jahre oder unbegrenzt bis Verjährungseintritt.

Rückwärtsdeckung (Vorhaftung): Schutz für Pflichtverletzungen, die vor Vertragsbeginn erfolgten, aber dem Versicherten zum Vertragsschluss nicht bekannt waren. Bei Cyber-Policen oft entweder unbegrenzt oder mindestens drei Jahre rückwirkend. Pflichtangabe bei Vertragsschluss: alles, was tatsächlich bekannt war, muss benannt werden.

Beim Anbieterwechsel beide Mechanismen prüfen. Eine Cyber-Police, die heute endet, und eine, die morgen beginnt, decken nicht automatisch nahtlos ab — wenn ein Angriff genau in der Übergangsphase sichtbar wird, kann die Frage entstehen, welcher Versicherer leistet. Saubere Übergänge sind dokumentiert und zwischen den Versicherern abgestimmt.

Besondere Relevanz hat das Thema beim Verkauf oder bei der Aufgabe einer Maklerbüro. Wird das Mandat übergeben, müssen Spätschäden aus der eigenen Verwalterzeit weiterhin gedeckt sein. Eine Berufsaufgabe-Deckung mit ausreichender Nachhaftungsdauer ist hier zentral.

Versicherungssumme, Maximierung und Sublimits

Die Hauptsumme ist nur die halbe Wahrheit. Cyber-Policen sind notorisch sublimit-lastig — viele Einzelleistungen sind innerhalb der Hauptsumme noch einmal gekappt, oft auf Beträge, die für einen ernsthaften Vorfall nicht reichen.

Versicherungssumme je Versicherungsfall: Höchstbetrag pro Einzelschaden. Zusammenhängende Vorfälle — etwa eine Angriffswelle, die mehrere Makler-Mandanten gleichzeitig trifft — können je nach Klausel als ein einziger Versicherungsfall gewertet werden.

Jahreshöchstleistung (Maximierung): Gesamtsumme aller Schadenleistungen eines Versicherungsjahres. Eine zweifach maximierte Police zahlt jährlich bis zum Doppelten der Einzelfallsumme — sinnvoll, wenn in einem Jahr mehrere Vorfälle auftreten.

Sublimit: Betraglich abgesenkte Höchstgrenze für bestimmte Schadenarten. Bei Cyber sehr verbreitet — und der eigentliche Engpass im Schadenfall.

Empfehlung Hauptsumme

Für eine durchschnittliche Maklerbüro mit 5–20 Wohnungseigentümergemeinschaften reicht eine Hauptsumme von 1 Mio. EUR häufig nicht — schon ein Ransomware-Schaden mit Forensik, Notbetrieb und Drittschaden erreicht die Größenordnung. Mittlere Verwaltungen mit 20–80 Beständen sollten 2–3 Mio. EUR ansetzen, größere Bestände 3–5 Mio. EUR. Die Maximierung pro Jahr idealerweise zweifach, damit zwei Schäden in einem Jahr nicht aus derselben Topfgrenze müssen.

Sublimit-Fallen — auf diese Posten unbedingt achten

Cyber-Erpressung: oft nur 100.000–250.000 EUR — bei klassischer Ransomware-Forderung schnell ausgereizt.
Betriebsunterbrechung: häufig nur wenige Wochen abgedeckt — bei tiefen IT-Schäden zu kurz.
DSGVO-Bußgelder: typisch bis 500.000 EUR; bei großen Datenpannen reicht das nicht aus.
IT-Forensik: oft pauschalisiert auf 50.000–100.000 EUR — bei komplexen Vorfällen häufig zu niedrig.
Krisenkommunikation: häufig fester Tagessatz mit Obergrenze — bei langwieriger Eigentümerkommunikation knapp.
CEO-Fraud / Identitätsmissbrauch: wenn überhaupt eingeschlossen, dann mit oft niedrigen Sublimits.

Praxis-Punkt: Eine 5-Mio.-Police mit 100.000-EUR-Sublimit für Cyber-Erpressung hilft beim klassischen Ransomware-Fall nur sehr begrenzt. Wir prüfen jede Police nicht nur auf die Hauptsumme, sondern auf die für Immobilienmakler typischen Sublimit-Engpässe.

Cyber-Erpressung und Lösegeld — die Ransomware-Falle

Ransomware verschlüsselt die Verwaltersoftware und fordert Lösegeld für die Entschlüsselung. Der durchschnittliche Stillstand beträgt mehrere Tage bis Wochen, der finanzielle Schaden liegt schnell im sechsstelligen Bereich. Für Immobilienmakler besonders kritisch, weil die laufenden Pflichten — Hausgeld einziehen, Mahnungen versenden, Rechnungen prüfen — nicht warten.

Rechtliche Lage: Wann darf gezahlt werden?

Eine Lösegeldzahlung an Personen oder Organisationen, die auf Sanktionslisten stehen, kann strafbar sein — etwa nach den EU-Sanktionsverordnungen oder dem deutschen Außenwirtschaftsgesetz. Seriöse Cyber-Versicherer prüfen vor jeder Zahlungsfreigabe die Identität der Täter und gleichen sie mit Sanktionslisten ab. Dieser Schritt schützt nicht nur den Versicherer, sondern auch den Versicherungsnehmer vor einer eigenen Strafbarkeit.

Forensische Bewertung vor jeder Zahlung

Versicherer beauftragen IT-Forensiker mit zwei Kernfragen: Ist eine Entschlüsselung nach Zahlung überhaupt zu erwarten — manche Ransomware-Gruppen liefern keine funktionierenden Schlüssel? Und: Ist die Wiederherstellung aus Backups die schnellere, sicherere Option? Eine Zahlung ohne diese Analyse ist unprofessionell und in den meisten Cyber-Policen ausgeschlossen.

Erkenntnis aus der deutschen Versicherungspraxis

Die BaFin weist darauf hin, dass deutsche Cyber-Versicherer in der Praxis nur selten Lösegeld zahlen. In den meisten Fällen ist die Wiederherstellung aus sauberen Offline-Backups schneller und sicherer als die Hoffnung auf einen funktionierenden Entschlüsselungsschlüssel — und sie umgeht das Risiko, mit einer Zahlung künftige Angriffe mitzufinanzieren. Versicherer verlangen zunehmend dokumentierte Backup-Routinen als Vertragsvoraussetzung — saubere Offline-Backups machen Ransomware in vielen Fällen wirtschaftlich erträglich, weil man wiederherstellen statt zahlen kann.

Praxis-Punkt: Das beste Lösegeld ist das, das nicht gezahlt werden muss. Wer in eine getrennte Backup-Strategie, in Mehr-Faktor-Authentifizierung und in regelmäßige Mitarbeiterschulungen investiert, senkt nicht nur das Schadenrisiko, sondern bekommt auch deutlich bessere Police-Konditionen.

Sofortmaßnahmen und Krisendienst — die ersten 72 Stunden

Die ersten 72 Stunden nach einer Cyber-Attacke entscheiden, wie groß der Schaden am Ende wird. Drei Uhren laufen gleichzeitig — und sie laufen unabhängig voneinander.

Drei parallele Uhren

DSGVO-Meldeuhr (72 Stunden, Art. 33 DSGVO). Sobald eine meldepflichtige Datenschutzverletzung vorliegt, ist die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden zu informieren. Versäumnis dieser Frist ist eigener Bußgeldgrund.
Forensik-Uhr. Je früher die Spurensicherung anfängt, desto mehr Beweise sind verwertbar. Logdateien, RAM-Speicherzustände und Netzwerkverbindungen werden mit jeder Stunde unschärfer.
PR-Uhr. Sobald der Vorfall öffentlich wird — oder werden könnte —, beginnt die Krisenkommunikation. Eine ungeordnete Eigentümer- oder Medienkommunikation in den ersten Stunden ist oft schwerer zu reparieren als der eigentliche IT-Schaden.

Was der Krisendienst Ihrer Police leisten sollte

24/7-Hotline mit garantierten Reaktionszeiten — auch nachts, am Wochenende und an Feiertagen.
IT-Forensiker werden direkt vom Versicherer organisiert und bezahlt — Sie müssen nicht selbst Anbieter suchen oder Vorkasse leisten.
Datenschutz-Anwälte für die Behördenkommunikation — Erfahrung mit Aufsichtsbehörden ist hier mehr wert als allgemeines IT-Recht.
Krisenkommunikations-Berater für Eigentümer- und Medienanfragen, sowohl schriftlich als auch in Telefon-Hotlines für Betroffene.
Krisen-Pauschalen — manche Policen bieten feste Pauschalen für Sofortmaßnahmen (z. B. 50.000–100.000 EUR), die ohne langwierige Einzelfallprüfung sofort abrufbar sind.

Praxis-Punkt: Eine Krisen-Hotline, die nur werktags von 9 bis 17 Uhr erreichbar ist, ist bei Cyber wertlos. Angriffe passieren bevorzugt nachts und am Wochenende, weil dann weniger Personal aufpasst. Bestehen Sie auf echter 24/7-Erreichbarkeit mit Reaktionszeit-Zusage — und lassen Sie sich diese Zusage schriftlich geben, nicht als Werbeaussage in der Broschüre.

Mitversicherte Tätigkeiten — Vollständigkeit zählt

Die Cyber-Police versichert den ausdrücklich benannten Geschäftsbetrieb. Tätigkeiten, die in der Police nicht genannt sind, können im Schadenfall ausgeklammert werden. Für Immobilienmakler sind besonders folgende Bereiche zu prüfen — oft fehlen sie in Standard-Policen oder sind nur mit niedrigen Sublimits abgedeckt.

Allgemeine Verwaltungstätigkeit (WEG- und Maklergeschäft) — das Kerngeschäft, sollte unzweideutig benannt sein.
Buchhaltung und Zahlungsverkehr — inklusive Online-Banking und elektronischer Überweisungen, weil hier die größten Geldströme laufen.
Online-Portale für Eigentümer und Mieter — etwa Beschluss-Plattformen, digitale Versammlungsunterlagen oder Mieterportale.
Cloud-Dienste, soweit für die Verwaltungstätigkeit eingesetzt — Verwaltersoftware-Anbieter wechseln zunehmend in Cloud-Modelle. Wenn Ihre Daten in der Cloud liegen, muss das in der Police stehen.
Heimarbeit und mobile Geräte (Notebooks, Tablets, Smartphones) — heute Standardarbeitsweise, in älteren Bedingungswerken aber nicht immer eingeschlossen.
E-Mail-Verkehr und elektronische Kommunikation — relevant für Phishing- und CEO-Fraud-Vorfälle.
Verträge mit Subunternehmern (externe Buchhaltung, IT-Dienstleister, Steuerberater) — wenn Daten ausgelagert sind, muss die Police diese Schnittstelle abdecken.
Eigentümerversammlungen mit digitaler Teilnahme (Hybrid- oder Online-Format) — die WEMoG-Reform hat diese Formate ausgebaut, Bedingungswerke aus der Zeit davor regeln sie oft nicht ausdrücklich.

In der Beratungspraxis ist die unvollständige Tätigkeitsbenennung einer der häufigsten Konfliktpunkte bei Schadenmeldungen. Wir gehen die tatsächlich ausgeübten Tätigkeiten mit Ihnen durch und stellen sicher, dass die Police lückenlos abbildet, wie Sie wirklich arbeiten.

Was die Cyber-Versicherung nicht abdeckt — typische Ausschlüsse

Auch eine gut ausgehandelte Cyber-Police hat Grenzen. Die im Maklerbürospraxis relevanten Ausschlüsse:

Grobe Fahrlässigkeit und Vorsatz. Bewusstes Übergehen bekannter Sicherheitswarnungen kann als grobe Fahrlässigkeit gewertet werden — die Police kürzt dann nach Verschuldensgrad oder lehnt vollständig ab.
Nicht behobene Schwachstellen. Patches, die seit Monaten verfügbar sind, müssen eingespielt sein. Ein nicht aktualisiertes System ist ein gängiger Ausschlussgrund.
Kriegerische Ereignisse und Cyber-War. Die sogenannten „war exclusions“ werden seit dem Ukraine-Krieg zum Streitpunkt, weil Versicherer zunehmend staatlich finanzierte Angriffe ausschließen wollen — die Formulierungen unterscheiden sich erheblich zwischen Anbietern.
Bekannte Vorvertragsumstände. Schäden, deren Auslöser dem Versicherten bei Vertragsschluss bekannt waren — etwa eine schon laufende Untersuchung —, fallen nicht in die Rückwärtsdeckung.
Behördenbußgelder, die rechtlich nicht versicherbar sind. Insbesondere Bußgelder aus vorsätzlichen Verstößen; Details siehe FAQ-Bereich.
Sanktions-Verstöße. Lösegeldzahlungen an gelistete Organisationen sind klassisch ausgeschlossen.
Bestechung und Strafvereitelung. Eigene Straftaten des Versicherungsnehmers sind nicht versicherbar.
Patentrechts- und Urheberrechtsverletzungen. Häufig nur in spezialisierten Bausteinen mitversichert, nicht in der Standard-Cyber-Deckung.

Die genaue Formulierung der Ausschlussklauseln unterscheidet sich zwischen Anbietern erheblich. Wir prüfen nicht nur, dass Ausschlüsse vorhanden sind, sondern wie eng sie formuliert sind — eng formulierte Ausschlüsse bedeuten breitere Deckung.

Selbstbehalt — Spielraum für die Prämie

Cyber-Policen arbeiten üblicherweise mit Selbstbehalten zwischen 1.500 und 10.000 EUR pro Schadenfall. Übliche Niveaus für Immobilienmakler:

1.500 EUR bis 2.500 EUR für sehr kleine Verwaltungen mit überschaubarem IT-Risiko.
2.500 EUR bis 5.000 EUR für mittlere Verwaltungen — meist die wirtschaftlichste Stellschraube.
5.000 EUR bis 10.000 EUR bei größeren Verwaltungen oder als gezielter Prämien-Hebel.

Höhere Selbstbehalte senken die Prämie spürbar, lassen aber das Restrisiko anwachsen. Sinnvoll ist ein Niveau, das Sie ohne Liquiditätsproblem aus eigenen Mitteln tragen können — und das bei Klein-Schäden nicht jede Schadenmeldung wirtschaftlich unattraktiv macht.

Zeit-Selbstbehalt bei Betriebsunterbrechung

Bei Betriebsunterbrechung gibt es oft einen zeitlichen Selbstbehalt zusätzlich zum Geldbetrag — typisch „die ersten 12 Stunden trägt der Versicherte“. Bei einer Verwaltung, die schon nach einem halben Tag in echten Verzug mit Hausgeldeinzügen kommt, ist ein Zeit-Selbstbehalt von 24 oder 48 Stunden problematisch. Achten Sie darauf, dass der Zeit-Selbstbehalt zur Größe und Reaktionsgeschwindigkeit Ihrer Verwaltung passt.

Typische Schadenkonstellationen aus der Maklerbürospraxis

Drei stilisierte Fallbeispiele, die in der Beratungspraxis regelmäßig in dieser oder ähnlicher Form auftauchen. Personen und Beträge sind hypothetisch und dienen der Anschauung.

Fall 1: Ransomware-Angriff auf die Verwaltungssoftware

Ausgangslage: Maklerbüro mit 60 Wohnungseigentümergemeinschaften und acht Mitarbeitenden.
Hergang: Phishing-E-Mail an die Buchhalterin, getarnt als Rechnung eines Reinigungsdienstes. Klick auf den Anhang installiert Ransomware. Innerhalb von vier Stunden ist die komplette Verwaltersoftware verschlüsselt.
Folge: Acht Tage Stillstand. Lösegeldforderung 50.000 EUR in Bitcoin. Verwaltung entscheidet sich nach Forensik-Beratung gegen die Zahlung und stellt aus Offline-Backups wieder her.
Kosten: 80.000 EUR Wiederherstellung, 35.000 EUR IT-Forensik, 25.000 EUR Ertragsausfall, 8.000 EUR Krisen-Anwälte. Summe rund 150.000 EUR (hypothetisch).
Klausel: Eigenschaden + Betriebsunterbrechung + Krisendienst. Bei sauberer Police mit ausreichender Hauptsumme und 2.500 EUR Selbstbehalt vollständig gedeckt.

Fall 2: Datenpanne mit Eigentümerlisten

Ausgangslage: Mittelgroße Verwaltung, eine Mitarbeiterin im Empfang vertippt sich beim Empfänger eines E-Mail-Verteilers.
Hergang: Eigentümerliste mit Namen, Anschriften, IBAN und Hausgeldzahlungen für 280 Personen geht versehentlich an eine fremde Domain. Datenschutzbehörde wird binnen 72 Stunden informiert (Art. 33 DSGVO), alle Betroffenen werden nach Art. 34 angeschrieben.
Folge: Behördenbußgeld 35.000 EUR (vermindert wegen Selbstmeldung und kooperativem Verhalten). Drei Eigentümer fordern Schadenersatz wegen befürchtetem Identitätsmissbrauch.
Kosten: 35.000 EUR Bußgeld, 25.000 EUR Schadenersatz, 15.000 EUR Anwalts- und Kommunikationskosten. Summe rund 75.000 EUR (hypothetisch).
Klausel: Drittschaden + DSGVO-Bußgeld (soweit versicherbar) + Krisenkommunikation. Vollständige Regulierung abhängig von ausreichendem Sublimit für DSGVO-Bußgelder.

Fall 3: CEO-Fraud auf Hausgeld-Sonderzahlung

Ausgangslage: Verwaltung erhält scheinbar legitime E-Mail vom Beiratsvorsitzenden einer Wohnungseigentümergemeinschaft.
Hergang: Die E-Mail fordert eine Sonderzahlung von 45.000 EUR auf eine neue Bankverbindung — mit Verweis auf eine angeblich beschlossene Sanierungsmaßnahme. Verwaltung führt die Überweisung aus. Beim Folge-Telefonat mit dem Beirat fliegt der Betrug auf: Die E-Mail-Adresse war täuschend echt gefälscht.
Folge: Polizeiliche Ermittlung, zivilrechtlicher Streit mit der Gemeinschaft um die Frage, wer für den Schaden haftet.
Kosten: 45.000 EUR Sonderzahlung (nicht zurückzuholen), 12.000 EUR Rechtsstreit, 5.000 EUR IT-Forensik. Summe rund 62.000 EUR (hypothetisch).
Hinweis: CEO-Fraud beziehungsweise Identitätsmissbrauch muss in der Police ausdrücklich eingeschlossen sein. Eine Standard-Cyber-Deckung greift hier nicht automatisch — die Klausel ist ein Pflicht-Prüfpunkt.

Worauf wir Ihre Bestandspolice prüfen

Strukturierte Bedingungsprüfung anhand einer Checkliste. Die zwölf Punkte, die in der Cyber-Versicherung für Immobilienmakler den Unterschied machen:

Manifestationsprinzip als Auslösekriterium, klar formuliert.
Nachhaftung mindestens drei Jahre, idealerweise fünf.
Rückwärtsdeckung für nicht bekannte Vorvertragsumstände.
Versicherungssumme passend zur Verwaltergröße (1–5 Mio. EUR).
Jahreshöchstleistung mindestens zweifach maximiert.
24/7-Krisendienst mit dokumentierter Reaktionszeit, nicht nur werktags.
Cyber-Erpressung ausdrücklich gedeckt — mit transparenten Sanktionsklauseln.
CEO-Fraud und Identitätsmissbrauch eingeschlossen.
DSGVO-Bußgelder gedeckt, soweit rechtlich versicherbar.
Betriebsunterbrechung mit ausreichendem Zeitraum (mindestens zwölf Wochen).
IT-Forensik und Krisen-PR als feste Pauschalen mit klaren Obergrenzen.
Heimarbeit, Cloud-Dienste und Subunternehmer-Schäden mitversichert.

So arbeiten wir

Drei Schritte, ohne Vor-Ort-Termin, ohne Aktenwälzen.

Risiko-Gespräch (30 Minuten per Microsoft Teams)

Wir gehen Ihre IT-Landschaft gemeinsam durch: Mitarbeiterzahl, eingesetzte Verwaltersoftware, Backup-Routinen, Heimarbeitsmodell, Cloud-Anbindung, Subunternehmer-Schnittstellen. Ergebnis: ein klares Bild Ihres Cyber-Risikos.

Termin buchen →

Marktvergleich

Wir prüfen sechs bis acht spezialisierte Cyber-Anbieter — nicht nur auf Prämie, sondern auf Deckungs-Bedingungen, Sublimits, Krisendienst-Qualität und Erreichbarkeit der 24/7-Hotline.

Schriftliche Empfehlung mit Bedingungsvergleich

Sie bekommen einen sauberen Vergleich mit unserer klaren Empfehlung und der dahinter stehenden Begründung. Sie entscheiden auf dieser Grundlage — wir vermitteln den Vertrag.

Hinweis: Der Cyber-Check als Online-Selbsttest ist in Vorbereitung — bis dahin nutzen wir das 30-Minuten-Beratungsgespräch als ersten Schritt. Kostenfrei und unverbindlich. Vermittlung ausschließlich nach § 34d GewO.

Über Pohl Versicherungsmakler

Cyberversicherung Immobilienmakler – Beratung durch Jan Pohl — Jan Pohl, Inhaber

Pohl Versicherungsmakler e. K. mit Sitz in Aachen ist auf Versicherungen für die Immobilienwirtschaft spezialisiert. Inhaber Jan Pohl arbeitet als ungebundener Versicherungsmakler nach § 34d GewO und vermittelt für Hausverwalter, WEG-Verwalter und Immobilienmakler.

Frühe unternehmerische Entscheidung: Studium der Rechtswissenschaften an der Universität zu Köln und Betriebswirtschaftslehre — bewusst zugunsten des Aufbaus eigener Firmen unterbrochen. Seit 1999 in der Versicherungsbranche, eigene Maklerei in Aachen seit 2012. Fachwirt für Finanzberatung (IHK) und Fachberater für Finanzdienstleistungen (IHK). Über 25 Jahre Branchenerfahrung aus drei Perspektiven: als selbstständiger Versicherungsmakler, in der Vertriebsführung eines deutschen Versicherungskonzerns (Leitung der bundesweiten Maklerbetreuung) und in der Geschäftsleitung eines mittelständischen Versicherungs-IT-Unternehmens, das Vergleichssoftware für Versicherungsmakler entwickelt. Prüfer der IHK für die Sachkundeprüfung nach § 34d GewO von 2008 bis 2019 und Dozent in Vorbereitungskursen für Versicherungsvermittler von 2009 bis 2012. Speaker auf der MMM-Messe 2026 und der DKM 2019, Mitautor der Studie „Die Zukunft des Maklervertriebs“, Fachbeiträge im ExpertenReport und in der Branchenpresse. Erfahrung in B2B-Rahmenkonzepten — unter anderem empfohlener Makler der IPC EMEA für Subway Deutschland.

„Ich berate so, wie ich selbst beraten werden möchte: klar, strukturiert und ohne Verkaufsshow.“

Geboren 1978, verheiratet, zwei Kinder. Lebt mit seiner Familie in Aachen-Richterich. Beratung erfolgt strukturiert per Microsoft Teams — kein Außendienst, klare Termine, dokumentierte Empfehlungen.

Eintragungen im Vermittlerregister

Versicherungsvermittler-Register: D-6LQ8-VHMG3-85
Handelsregister: HRA 10268, Amtsgericht Aachen
Aufsicht: IHK Aachen, Theaterstraße 6–10, 52062 Aachen

Häufige Fragen

Brauche ich als kleine Maklerbüro wirklich eine Cyber-Versicherung?

Ja. Immobilienmakler verarbeiten typischerweise Eigentümerdaten, Kontostammdaten und Beschluss-Dokumente und wickeln größere Geldbeträge ab — eine Kombination, die für Cyber-Angreifer attraktiv ist. Auch kleinere Verwaltungen mit weniger als 20 Wohnungseigentümergemeinschaften werden angegriffen, besonders durch breit gestreute Phishing-Kampagnen, die nicht auf einzelne Ziele optimiert sind, sondern auf Masse setzen. Die Schadensgröße im Einzelfall ist häufig höher als bei vielen anderen Branchen, weil mehrere Schadenarten gleichzeitig auflaufen — Betriebsunterbrechung, Drittschaden und DSGVO-Bußgeld.

Was kostet eine Cyber-Police für Immobilienmakler?

Die Bandbreite reicht von etwa 1.500 EUR pro Jahr für sehr kleine Verwaltungen bis 8.000 EUR pro Jahr und mehr für mittlere Verwaltungen mit gehobenem Tätigkeitsumfang. Entscheidende Faktoren sind Mitarbeiterzahl, Umsatz, eingesetzte IT-Schutzmaßnahmen, gewünschte Versicherungssumme und Sublimit-Konfiguration. Eine belastbare Indikation erhalten Sie nach der Bestandsaufnahme im Beratungsgespräch — wir holen dann Angebote bei mehreren spezialisierten Anbietern ein.

Reicht meine Vermögensschadenhaftpflicht (VSH) nicht aus?

Nein. Die VSH deckt fahrlässige Pflichtverletzungen aus der Maklertätigkeit — also Beratungs- und Bearbeitungsfehler. Cyber-Angriffe sind in der Regel keine Pflichtverletzungen, sondern externe Schadensereignisse mit eigener Police-Logik. Konkret fehlen in der VSH typischerweise der Krisendienst, die Eigenschaden-Komponente (Wiederherstellung eigener Daten, eigener Ertragsausfall) und die DSGVO-Bußgeld-Absicherung. VSH und Cyber sind komplementär, nicht ersetzbar.

Was muss ich an IT-Sicherheit selbst vorweisen, um eine Police zu bekommen?

Versicherer verlangen zunehmend Mindeststandards als Vertragsvoraussetzung: Mehr-Faktor-Authentifizierung für alle Zugänge, regelmäßige Datensicherung mit Offline-Komponente, aktuelle Schutzsoftware mit zentralem Update-Status, dokumentierte Patch-Routine, jährliche Mitarbeiterschulungen zum Thema Phishing. Manche Anbieter prüfen das im Vorfeld aktiv mit Fragebögen oder externen Scans. Wer diese Standards nicht erfüllt, bekommt entweder gar keine Police oder eine mit deutlich höheren Prämien und Selbstbehalten.

Sind DSGVO-Bußgelder überhaupt versicherbar?

Die Frage ist juristisch in Deutschland umstritten. Bei vorsätzlichen Verstößen lautet die Antwort klar: nein. Bei fahrlässigen Verstößen bieten viele Cyber-Policen Deckung „soweit gesetzlich versicherbar“ — das ist keine vollständige Absicherung, aber auch keine Null-Linie. Bei einer Klage gegen ein Bußgeld übernehmen die Policen üblicherweise auch die Verteidigungskosten, unabhängig davon, ob das Bußgeld selbst am Ende versicherbar ist. Wir prüfen die genaue Klauselformulierung in jedem Bedingungswerk.

Was ist mit Heimarbeit und Cloud-Diensten?

Beides muss ausdrücklich in der Police mitversichert sein. Bei kleineren oder älteren Anbietern fehlen diese Klauseln manchmal — lassen Sie sich Heimarbeit und Cloud-Dienste schriftlich bestätigen. Wenn Sie Verwaltersoftware in der Cloud nutzen — heute zunehmend der Regelfall —, muss das im Versicherungsschein erscheinen, mit Nennung der Anbieter oder zumindest mit einer allgemeinen Cloud-Klausel. Andernfalls kann der Versicherer die Deckung bei einem Cloud-bezogenen Vorfall ablehnen.

Wie schnell muss ich nach einem Vorfall melden?

Versicherung: Die Meldefrist ist vertragsabhängig — häufig „unverzüglich“ oder binnen 72 Stunden nach Kenntnis. Die genauen Wortlaute unterscheiden sich; die Versicherungsbedingungen sollten Sie daher kennen, bevor der Schaden eintritt.

DSGVO-Aufsicht: 72 Stunden ab Bekanntwerden bei meldepflichtigen Datenschutzverletzungen (Art. 33 DSGVO). Diese Frist ist unabhängig von der Versicherungsmeldefrist und gilt direkt gegenüber der Aufsichtsbehörde.

Krisen-Hotline: Am besten sofort kontaktieren — je früher die IT-Forensik beginnt, desto mehr Spuren sind verwertbar und desto eher kann der Schaden begrenzt werden.

Was ist, wenn der Angriff von einem eigenen Mitarbeiter ausgeht (Innentäter)?

Innentaten sind in den meisten Cyber-Policen mit höheren Selbstbehalten und niedrigeren Sublimits mitgedeckt — die fahrlässige Pflichtverletzung des Mitarbeiters (etwa der Klick auf eine Phishing-Mail) ist Standard. Vorsätzliche Schädigung durch leitende Mitarbeiter, die in der Geschäftsleitung sitzen, kann allerdings ausgeschlossen sein — hier verschwimmt die Grenze zwischen Cyber-Police und Vertrauensschadenversicherung. Wir achten auf die genaue Klauselformulierung und empfehlen, bei größerem Buchhaltungs-Volumen zusätzlich eine eigenständige Vertrauensschadenversicherung zu prüfen.

Über Ihre Cyber-Risiken sprechen — in 30 Minuten per Teams.

Cyber-Schäden treffen Immobilienmakler heute deutlich häufiger als noch vor fünf Jahren — und die Folgen sind selten kleiner als sechsstellig. Eine gut gemachte Cyber-Police ist die wirtschaftlich vernünftige Antwort darauf, bevor der Schaden eintritt. Kostenfrei und unverbindlich.

Online-Beratung buchen

5-Minuten-Cyber-Check — jetzt kostenlos starten

Beantworten Sie zehn Fragen zu Ihrer IT-Hygiene und erhalten Sie sofort eine Ampel-Auswertung mit konkreten Empfehlungen für Ihren Verwaltungsbetrieb.

Angebot anfordern Cyber-Check starten

Pohl Versicherungsmakler e.K. ist Versicherungsmakler nach § 34d GewO, kein Versicherer. Die Vermittlung von Versicherungsverträgen erfolgt im Auftrag des Kunden. Inhaltliche Angaben dieser Seite sind sorgfältig recherchiert, ersetzen aber keine individuelle Versicherungsberatung. Eine verbindliche Prüfung erfolgt erst nach fachlicher Auswertung durch einen Versicherungsmakler. Gesetzeszitate beziehen sich auf die zum Zeitpunkt der Veröffentlichung geltende Fassung; Änderungen bleiben vorbehalten.