Cyberversicherung für Architekt:innen und Ingenieur:innen – digitaler Schutz für reale Risiken

Eine Cyberversicherung ist eine gewerbliche Versicherung, die finanzielle Verluste und Folgekosten abdeckt, die durch Cyberangriffe, IT-Ausfälle, Datenverlust oder digitale Erpressung entstehen. Für Planungsbüros bedeutet das: gezielter Schutz für BIM-Systeme, CAD-Datenpools, Projektdaten und digitale Kommunikationsinfrastruktur — dort, wo klassische Betriebs- und Berufshaftpflicht nicht greifen. 

Architekturbüros und Ingenieurbüros sind heute vollständig digital aufgestellt. CAD-Programme, BIM-Plattformen, Cloud-Speicher, digitale Projektkommunikation — all das beschleunigt Prozesse erheblich. Es öffnet aber auch Angriffsflächen, die vor zehn Jahren nicht existierten.

Eine Cyberversicherung schützt vor den finanziellen Folgen, wenn diese Systeme angegriffen, kompromittiert oder lahmgelegt werden. Sie ist kein Ersatz für technische Schutzmaßnahmen — aber sie sichert den wirtschaftlichen Fortbestand eines Büros, wenn Technik und Prävention versagen.

Was eine Cyberversicherung für Planungsbüros typischerweise abdeckt:

• Kosten für IT-Forensik nach einem Angriff 
• Datenwiederherstellung nach Ransomware oder Datenverlust 
• Betriebsunterbrechung: entgangene Honorare während des Stillstands 
• Rechts- und Beratungskosten bei DSGVO-Verletzungen 
• Reputationskosten: externe Kommunikation gegenüber Auftraggebern 
• Krisenmanagement und Notfallhotline 24/7 

Wichtig für Planungsbüros: Schäden an projektbezogenen Systemen — also wenn BIM- oder CAD-Daten manipuliert werden und laufende Projekte ins Stocken geraten — sind nur über branchenspezifische oder entsprechend konfigurierte Policen abgedeckt. Standardpolicen für allgemeine Gewerbebetriebe decken diese Risiken oft nicht vollständig ab.

Planungsbüros sind heute vollständig digital aufgestellt — von CAD und BIM bis zur gesamten Projektkommunikation. Diese Abhängigkeit von digitaler Infrastruktur macht sie zu einem attraktiven Ziel für Angreifer: Ein Ausfall trifft sofort den laufenden Betrieb, gefährdet Projektdeadlines und wird Auftraggebern gegenüber sichtbar.

Architekturbüros und Ingenieurbüros — ob Tragwerksplanung, TGA, Brandschutz oder Generalplanung — teilen ein gemeinsames Merkmal: Der gesamte Wertschöpfungsprozess läuft digital. CAD-Modelle, BIM-Plattformen, Ausschreibungsunterlagen, Projektkommunikation, Buchhaltung — all das liegt auf denselben Systemen. Fällt die Infrastruktur aus, steht das Büro still. Nicht irgendwann, sondern sofort.

Genau das macht Planungsbüros für Angreifer interessant. Nicht weil sie Bankdaten oder Kreditkarteninformationen verwalten — sondern weil ein Ausfall unmittelbaren Druck erzeugt. Deadlines laufen weiter, Auftraggeber müssen informiert werden, laufende Projekte geraten ins Stocken. Dieser Druck ist es, der Lösegeldzahlungen wahrscheinlicher macht.

Dazu kommt ein zeitliches Problem: Angreifer sind oft wochenlang im System, bevor sie zuschlagen. Im dokumentierten Schadenfall in diesem Artikel war der Angreifer nachweislich über den Terminalserver eingedrungen — wann genau, ließ sich anhand der Logfiles nicht vollständig rekonstruieren. Das Büro hatte keinen Hinweis, bis in der Nacht die Verschlüsselung startete.

Die Konsequenz: Cyber ist kein abstraktes IT-Thema. Es ist ein Betriebsrisiko — mit direkter Auswirkung auf Projektverantwortung, Auftraggeber-Vertrauen und wirtschaftliche Handlungsfähigkeit. Für jede Fachrichtung gleichermaßen.

→ Top 5 Cybergerfahren für Planungsbüros im Jahr 2025

Eine Cyberversicherung zahlt nur dann vollständig, wenn die vertraglich vereinbarten Sicherheitsmaßnahmen — die sogenannten Obliegenheiten — tatsächlich erfüllt waren. Das klingt selbstverständlich. In der Praxis ist es der häufigste Grund für Deckungslücken. 

Das Missverständnis sitzt tief: Ein Geschäftsführer schließt eine Cyberversicherung ab und geht davon aus, sein Büro sei jetzt abgesichert. Was er nicht weiß oder nicht ernst nimmt: Die Police setzt voraus, dass bestimmte technische und organisatorische Maßnahmen dauerhaft umgesetzt werden. Und zwar nicht einmalig beim Antrag — sondern laufend.

Diese Maßnahmen heißen im Versicherungsrecht Obliegenheiten (§ 28 VVG — Versicherungsvertragsgesetz). Sie sind keine Kleingedruckten-Schikane. Sie sind die Bedingung dafür, dass das Risiko für den Versicherer kalkulierbar bleibt — und damit dafür, dass Sie im Ernstfall Geld sehen.

Die häufigsten Obliegenheiten in der Praxis

In der Beratungspraxis begegnet uns regelmäßig eine bestimmte Konstellation: Das Büro hat eine Cyberversicherung. Die Obliegenheiten wurden im Antrag bejaht — aber nicht gelebt. Manche Vermittler helfen dabei, im Antrag ein Auge zuzudrücken. Das mag kurzfristig einen Abschluss erleichtern. Im Schadenfall kommt es heraus — und dann ist es zu spät.

Wichtig zu wissen: Die Obliegenheiten sind keine Schikane des Versicherers. Sie beschreiben die Hygienemaßnahmen, die das Risiko für Ihr Büro tatsächlich minimieren. Der Versicherer sichert nur den Worst-Case ab — die eigentliche Risikoreduzierung liegt in den Maßnahmen davor. Eine Police ohne erfüllte Obliegenheiten ist kein Schutz. Sie ist eine Ausgabe ohne Gegenwert.

Download

Welche technischen Obliegenheiten verlangt Ihr Versicherer konkret — und erfüllt Ihr Büro sie bereits? Laden Sie jetzt die Checkliste herunter und prüfen Sie Ihren Stand — am besten gemeinsam mit Ihrem IT-Dienstleister.

→ Checkliste technische Obliegenheiten kostenlos herunterladen 

Der folgende Fall ist ein anonymisierter, realer Schadenfall aus der Beratungspraxis. Er zeigt, wie ein technisch grundsolide aufgestelltes Büro durch eine Obliegenheitslücke im Schadenfall erhebliche Kosten selbst tragen musste. Alle personenbezogenen und unternehmensbezogenen Daten wurden entfernt. 

Ausgangssituation

Ein Ingenieurbüro mit mehreren Dutzend Mitarbeitern verfügt über eine strukturierte IT-Infrastruktur: ein Produktivnetzwerk, ein separates Managementnetzwerk, eine Firewall dazwischen. Für die Datensicherung nutzt das Büro ein mehrstufiges System: tägliche inkrementelle Sicherungen und monatliche Vollbackups auf externem Medium, das nach der Sicherung physisch vom System getrennt wird. Das Büro hat eine Cyberversicherung.

Was passiert

Am Abend eines Sonntags verschafft sich ein Angreifer über den Terminalserver Zugang zum Netzwerk. Er nutzt gültige Anmeldedaten — vermutlich bereits seit längerer Zeit kompromittiert, die Logfiles reichen nicht weit genug zurück, um den genauen Zeitpunkt der Infiltration zu bestimmen. Ab 23:30 Uhr startet die Ransomware FAUST. Innerhalb weniger Stunden werden nahezu alle Server verschlüsselt: Domänencontroller, Datenbankserver, Mailserver, Dateiserver, CAD-Datenpools, Buchhaltungssystem. Am nächsten Morgen kann die Hälfte der Belegschaft nicht arbeiten. Die Erpresser fordern umgerechnet rund 180.000 Euro.

Das Büro meldet den Schaden sofort. Der Versicherer beauftragt einen IT-Gutachter. Die Systeme werden durch externe Dienstleister wiederhergestellt. Soweit läuft der Prozess planmäßig.

Wo die Obliegenheit nicht greift

Das Wochenend-Vollbackup war erstellt worden — aber noch nicht ausgelagert. Das externe Medium hing noch am System, als die Verschlüsselung startete. Es wurde mit verschlüsselt. Die täglichen inkrementellen Sicherungen lagen auf einem netzwerkseitig erreichbaren System — 60 bis 70 Prozent waren betroffen. Das Büro muss den Datenstand vom 10. Februar wiederherstellen — drei Wochen Arbeit sind verloren.

Der Versicherer stellt im Gutachten fest: Die Obliegenheit zur wöchentlichen Datensicherung auf physisch getrenntem Medium war zum Schadenszeitpunkt nicht erfüllt. Denn das externe Medium war zwar vorhanden — aber nicht getrennt.

Die Abrechnung

Der Gesamtschaden setzt sich aus vier Positionen zusammen:

Hier greift die Obliegenheitsverletzung. Der Versicherer erkennt die Datenwiederherstellungskosten nur zu 25 Prozent an, weil die Backup-Obliegenheit nicht erfüllt war. Aus 269.240 EUR werden damit 67.310 EUR anrechenbare Kosten — der Rest von rund 201.930 EUR bleibt beim Büro.

Daraus ergibt sich die versicherungsseitige Abrechnung:

Die Deckungslücke: Der tatsächliche Schaden lag bei rund 424.000 Euro. Der Versicherer hat rund 210.000 Euro erstattet. Die Differenz von rund 214.000 Euro trägt das Büro selbst — davon entfallen allein rund 202.000 Euro auf die gekürzte Datenwiederherstellung.

Wichtig: Das Backup war vorhanden. Das Bewusstsein war da. Die Police war abgeschlossen. Was fehlte, war die konsequente Umsetzung einer einzigen Anforderung an einem einzigen Abend. Dieser Fall ist kein Ausreißer — er ist ein Muster. Die entscheidende Frage ist nicht: Haben wir ein Backup? Sondern: Ist es gestern Abend auch physisch getrennt worden? 

Typische Schadensmuster im Überblick

Der dokumentierte Fall ist kein Einzelfall. Die folgende Übersicht zeigt, welche Angriffsszenarien in Planungsbüros am häufigsten auftreten — und wann die Cyberversicherung greift.

Eine Cyberversicherung greift nach einem Angriff in mehreren Dimensionen gleichzeitig: technisch, rechtlich, betrieblich und kommunikativ. Sie schützt nicht vor dem Angriff — aber vor seinen finanziellen Folgen, sofern die Voraussetzungen erfüllt sind. 

Für Planungsbüros besonders relevant: Schäden an BIM- und CAD-Systemen, die direkte Auswirkungen auf laufende Projekte haben, sind in branchenspezifischen Policen explizit eingeschlossen. In Standardpolicen für allgemeine Gewerbebetriebe fehlt diese Tiefe häufig.

Ebenfalls wichtig: Eine Cyberversicherung deckt keine Schäden ab, die Dritten durch einen Angriff auf Ihre Systeme entstehen — also wenn z.B. ein Auftraggeber durch einen Datenleak bei Ihnen Schaden nimmt. Hierfür ist die Berufshaftpflichtversicherung der erste Ansprechpartner — aber auch dort bestehen oft Lücken bei digitalen Schadensereignissen.

→ Was deckt eine Cyberversicherung ab?

Die Kosten einer Cyberversicherung hängen von mehreren Faktoren ab — und der wichtigste davon ist die Qualität der IT-Sicherheitsmaßnahmen, die das Büro bereits umsetzt. Versicherer bewerten das Risiko zunehmend differenziert: Ein Büro mit büroweiter 2FA, dokumentiertem Backup-Prozess und aktuellen Sicherheitsupdates zahlt spürbar weniger als ein Büro ohne diese Maßnahmen.

Zur Einordnung: Ein realer Schadenfall mit Ransomware kann allein durch Betriebsunterbrechung und Datenwiederherstellung schnell sechsstellige Beträge verursachen — der im vorigen Abschnitt dokumentierte Fall zeigt Gesamtkosten von über 222.000 Euro. Im Verhältnis dazu sind selbst Prämien im oberen Bereich wirtschaftlich klar begründbar.

Mehr zu Kostenbeispielen und Prämienspannen für unterschiedliche Bürogrößen finden Sie in unserem Cluster-Artikel: Kosten Cyberversicherung für Planungsbüros.

→ Kosten Cyberversicherung für Planungsbüros

Es gibt Momente, in denen eine Cyberversicherung dringlicher wird: ein neuer Partner, ein Wachstumsschub, der erste öffentliche Auftraggeber mit IT-Anforderungen im Werkvertrag. Wer in diesen Momenten eine Police abschließt, sollte drei Punkte besonders sorgfältig prüfen: den zeitlichen Selbstbehalt, den Umfang des technischen IT-Supports und die Höhe der Drittschadendeckung. 

Es gibt Situationen, in denen das Thema Cyberversicherung konkret wird — nicht als abstraktes Risikobewusstsein, sondern als echte Handlungsnotwendigkeit. Ein neuer geschäftsführender Partner tritt ein und fragt nach dem Versicherungsstatus. Ein öffentlicher Auftraggeber nennt im Werkvertrag erstmals explizite IT-Sicherheitsanforderungen. Das Büro wechselt auf BIM und arbeitet erstmals in gemeinsamen Datenräumen mit externen Fachplanern. Oder ein Büro im Netzwerk hat einen Vorfall — und plötzlich ist das Thema kein theoretisches mehr.

Diese Momente sind der richtige Zeitpunkt, um nicht nur eine Police abzuschließen — sondern die richtige. Und die richtige Police erkennt man nicht am Preis, sondern an drei Stellen in den Bedingungen, die in der Praxis den größten Unterschied machen.

1. Der zeitliche Selbstbehalt bei Betriebsunterbrechung

In der Cyberversicherung wird der Selbstbehalt bei Betriebsunterbrechung häufig nicht in Euro, sondern in Stunden angegeben. Der Versicherer trägt die Kosten für den Betriebsausfall erst ab dem Moment, an dem dieser Selbstbehalt abgelaufen ist. Klingt technisch — ist in der Praxis aber entscheidend.

Ein Planungsbüro, das nach einem Ransomware-Angriff stillsteht, ist in der Regel nicht nach einem halben Tag wieder arbeitsfähig. Realistisch sind zwei bis fünf Tage Ausfall — manchmal länger, abhängig von Backup-Stand und IT-Komplexität. Ein zeitlicher Selbstbehalt von 48 Stunden bedeutet damit: Die ersten zwei Tage Betriebsunterbrechung trägt das Büro vollständig selbst.

Tipp

Wir empfehlen einen zeitlichen Selbstbehalt von maximal 8 Stunden. Bei einem Selbstbehalt in dieser Größenordnung greift die Versicherung ab dem zweiten Tag vollständig — also genau in dem Zeitraum, in dem die tatsächlichen Ausfallkosten entstehen.

 Ein niedrigerer Selbstbehalt erhöht die Prämie leicht. Er ist es wert. 

2. Technischer IT-Support durch den Versicherer

Der zweite Punkt, den viele Policen im Kleingedruckten unterschiedlich regeln: Ob und in welchem Umfang der Versicherer aktiv bei der Wiederherstellung der Arbeitsfähigkeit hilft — also nicht nur zahlt, sondern Kapazität organisiert.

Das ist für Planungsbüros besonders relevant. Der eigene IT-Dienstleister ist in normalen Zeiten zuständig für laufende Wartung und kleinere Probleme. Nach einem umfänglichen Ransomware-Angriff — bei dem nahezu alle Server betroffen sind, Logdateien ausgewertet werden müssen und Systeme parallel wiederhergestellt werden — ist er kapazitär schlicht nicht in der Lage, das alleine aufzufangen. Das ist keine Kritik, das ist Realität.

Versicherer, die einen eigenen IT-Notfalldienst mitbringen oder zertifizierte IT-Forensiker koordinieren, verschaffen dem betroffenen Büro in den ersten kritischen Stunden und Tagen einen erheblichen Vorteil. Die Kombination aus kurzem zeitlichem Selbstbehalt und aktivem IT-Support durch den Versicherer ist das, was im Schadenfall Wochen von Tagen trennt.

Tipp

Prüfen Sie im Bedingungswerk: Stellt der Versicherer einen eigenen IT-Notfalldienst? Wie schnell ist er erreichbar (24/7)? Koordiniert er externe Forensiker oder muss das Büro selbst beauftragen?

 Policen, die nur zahlen, aber nicht helfen, sind für Planungsbüros in der Praxis deutlich weniger wert als ihr Preis suggeriert. 

3. Drittschadendeckung: relevant für vernetzt arbeitende Büros

Der dritte Punkt betrifft eine Frage, die sich nicht für jedes Büro gleich stellt — aber für Planungsbüros mit Generalplanertätigkeit, intensiver BIM-Kollaboration oder gemeinsamen Datenräumen mit externen Fachplanern besondere Relevanz hat: Was ist, wenn ein Cybervorfall bei Ihnen Schäden bei Dritten auslöst?

Wenn ein Angriff über Ihr System auf einen gemeinsamen BIM-Datenraum übergreift und dort Daten anderer Planungsbeteiligter betroffen sind — oder wenn Auftraggeber durch ein Datenleck bei Ihnen Schäden geltend machen — dann benötigen Sie eine Drittschadendeckung, die dieses Szenario explizit einschließt. Viele Standardpolicen begrenzen die Drittschadendeckung auf ein Minimum oder schließen bestimmte Konstellationen aus.

Tipp

Je stärker Ihr Büro digital vernetzt arbeitet — gemeinsame Datenräume, externe Fachplaner mit Zugriffsrechten, digitale Projektkommunikation mit öffentlichen Auftraggebern — desto mehr sollten Sie auf eine ausreichende Drittschadendeckung achten.

 Was ausreichend bedeutet, hängt von Ihrem Projektvolumen und Ihrer Vernetzung ab. Das ist ein Punkt, den wir im Erstgespräch konkret durchgehen.

Es gibt im Markt Vermittler, die beim Ausfüllen des Versicherungsantrags ein Auge zudrücken — insbesondere bei den Fragen zu Datensicherung und Zugangssicherheit. Das macht einen Abschluss einfacher. Es schafft aber keinen Schutz.

Wir haben in der Vergangenheit Büros gehabt, bei denen wir bewusst keine Cyberversicherung vermittelt haben — weil die Voraussetzungen fehlten und wir den Aufwand für die Umsetzung gemeinsam nicht stemmen konnten. Das war im Moment unbequem. Es war aber die richtige Entscheidung. Denn wenn es zum Schaden kommt, wollen wir nicht derjenige sein, der einem Geschäftsführer erklären muss, dass er kein Geld vom Versicherer bekommt — obwohl er jahrelang Prämien gezahlt hat.

Unser Ansatz sieht daher so aus:

1. Ausgangslage analysieren: Welche Sicherheitsmaßnahmen sind vorhanden? Wo sind die Lücken?
2. Obliegenheiten durchgehen: Was verlangt der Versicherer — und ist das im Büro realistisch umsetzbar?
3. Umsetzung begleiten: Wo nötig, empfehlen wir IT-Dienstleister oder konkrete Maßnahmen — bevor wir eine Police vermitteln.
4. Erst dann: Vermittlung einer Cyberversicherung, die tatsächlich greift.

Dieser Prozess dauert manchmal länger. Aber er ist das Einzige, was am Ende zählt — nämlich dass die Police auch zahlt, wenn sie gebraucht wird.

Was die HVV anders macht

Wie haben erkannt, dass eine Cyberversicherung nur hilft wenn auch die Obliegenheiten erfüllt sind. Die HVV begleitet Sie bei der Erfüllung. Der Unterschied liegt nicht im Produkt — sondern in der Begleitung davor und danach.

Was passiert, wenn es trotzdem zum Schadenfall kommt

Ein Cyberangriff ist keine hypothetische Gefahr — er kann auch Büros treffen, die ihre Obliegenheiten gewissenhaft erfüllen. Für diesen Fall ist es wichtig zu wissen, was in den ersten Stunden zu tun ist — und dass Sie dabei nicht allein sind.

Die wichtigsten Sofortmaßnahmen:

1. Betroffene Systeme sofort isolieren — Netzwerkverbindungen trennen, bevor sich der Angriff ausbreitet
2. Versicherer unverzüglich informieren — idealerweise innerhalb von 24 Stunden über die Notfallhotline
3. Keine Systeme eigenständig neu starten oder bereinigen — das vernichtet Spuren, die IT-Forensiker für die Schadensaufnahme brauchen
4. Kein Lösegeld ohne Abstimmung mit dem Versicherer zahlen — eine eigenmächtige Zahlung kann die Deckung gefährden
5. Strafanzeige bei der Polizei erstatten — relevant für die Schadensdokumentation und mögliche Ermittlungen

Die HVV begleitet Sie in diesem Prozess als direkte Schnittstelle zum Versicherer. Wir koordinieren die Schadensaufnahme, stellen sicher dass die richtigen Dienstleister beauftragt werden — und sorgen dafür, dass Sie schnellstmöglich an die Ihnen zustehenden Leistungen kommen.