Cyberversicherung fuer Schweizer KMU: Was sie abdeckt, was sie kostet und was sie verlangt

Warum Cyberversicherung auf der Agenda jedes Schweizer Unternehmers steht

Vor fuenf Jahren war Cyberversicherung ein Nischenprodukt, das nur Grossunternehmen in Betracht zogen. Heute ist sie eine Standardempfehlung von Unternehmensberatern, Treuhaendern und sogar Bankberatern in der Schweiz. Der Grund ist einfach: Cyberangriffe auf kleine und mittlere Unternehmen nehmen zu, und die finanziellen Folgen eines Vorfalls koennen die Existenz des Unternehmens bedrohen.

Ein Ransomware-Angriff, der Ihre Daten verschluesselt und Ihr Unternehmen zwei Wochen lang lahmlegt. Eine Datenverletzung, die persoenliche Informationen von Kunden offenlegt und Meldepflichten nach dem nDSG ausloest. Eine kompromittierte Website, die Malware an Ihre Besucher verteilt. Das sind keine exotischen Szenarien. Sie passieren Schweizer KMU regelmaessig.

Was die Cyberversicherung typischerweise abdeckt

Cyberversicherungspolicen in der Schweiz decken generell zwei Kategorien ab: Eigenschaeden (Kosten, die Sie direkt tragen) und Drittschaden-Haftpflicht (Ansprueche anderer gegen Sie).

Eigenschaden-Deckung

• Incident-Response-Kosten: Ausgaben fuer forensische Untersuchung, Bestimmung des Ausmasses und Eindaemmung des Angriffs.
• Betriebsunterbrechung: Umsatzverlust und zusaetzliche Betriebskosten waehrend der Ausfallzeit. Oft die groesste Komponente eines Schadens.
• Datenwiederherstellung: Kosten fuer die Wiederherstellung von Daten aus Backups.
• Ransomware-Zahlungen: Einige Policen decken Loesegaldzahlungen ab, obwohl dies zunehmend umstritten ist.
• Benachrichtigungskosten: Kosten fuer die Benachrichtigung Betroffener und Behoerden nach dem nDSG.
• Krisenmanagement und PR: professionelle Kommunikationsunterstuetzung.
• Cyber-Erpressung: Kosten im Zusammenhang mit Erpressungsdrohungen ueber Ransomware hinaus.

Drittschaden-Deckung

• Datenverletzungs-Haftpflicht: Rechtsverteidigungskosten und Vergleiche.
• Regulatorische Verteidigung: Kosten der Verteidigung gegen behoerdliche Massnahmen.
• Netzwerksicherheits-Haftpflicht: Ansprueche Dritter, deren Systeme betroffen wurden.

Was die Cyberversicherung NICHT abdeckt

Vorbestehende Schwachstellen

Wenn der Versicherer feststellt, dass der Vorfall durch eine bekannte, ungepatchte Schwachstelle verursacht wurde, kann der Schaden abgelehnt werden. Siehe unseren Artikel ueber Risiken veralteter Websites.

Nichteinhaltung der Mindestsicherheitsstandards

Wenn Sie die Sicherheitsbedingungen der Police nicht eingehalten haben, kann die Deckung vollstaendig entfallen.

Kriegshandlungen und staatlich gefoerderte Angriffe

Viele Policen schliessen Cyberangriffe aus, die staatlichen Akteuren zugeschrieben werden. Diese Ausschlussklausel wurde nach dem NotPetya-Angriff (2017) kontrovers.

Social Engineering und CEO-Betrug

Einige Policen schliessen Verluste durch Social-Engineering-Angriffe aus. Pruefen Sie Ihre Police sorgfaeltig.

Reputationsschaden ueber Krisenmanagement hinaus

Kurzfristige PR-Kosten sind oft gedeckt, langfristiger Reputationsschaden generell nicht. Unser Artikel zur Website-Reputation nach einem Hack zeigt, wie lange die Erholung dauert.

Systemverbesserungen

Versicherung deckt die Wiederherstellung auf den Vor-Vorfall-Zustand, nicht Upgrades.

Was Schweizer Versicherer vor der Deckung verlangen

Mindestanforderungen an die Sicherheit

Anforderung	Bedeutung	Warum es Versicherern wichtig ist
Multi-Faktor-Authentifizierung (MFA/2FA)	Alle Admin- und Fernzugriffe benoetigen einen zweiten Faktor	Zugangsdaten-Diebstahl ist Einstiegspunkt der meisten Angriffe
Regelmaessige Backups	Automatisierte Backups mit Offline-Kopien, regelmaessig getestet	Ohne Backups werden Ransomware-Vorfaelle viel teurer
Patch-Management	Dokumentierter Prozess fuer zeitnahe Sicherheitsupdates	Ungepatchte Systeme sind der haeufigste Angriffsvektor
Endpunktschutz	Antivirus/Anti-Malware auf allen Geraeten, aktuell	Grundhygiene gegen automatisierte Angriffe
Sicherheitsbewusstsein der Mitarbeiter	Regelmaessige Schulung zu Phishing und Social Engineering	Menschliches Versagen verursacht einen erheblichen Anteil der Vorfaelle
Incident-Response-Plan	Dokumentierter Plan zur Reaktion auf Cybervorfaelle	Koordinierte Reaktion reduziert Kosten und Dauer
Zugriffskontrollen	Prinzip der geringsten Berechtigung	Begrenzt Schaden bei kompromittierten Zugangsdaten
Verschluesselung	Daten im Ruhezustand und bei der Uebertragung verschluesselt	Reduziert die Auswirkung von Datendiebstahl

Schweizer Versicherer im Cybermarkt

Die Mobiliar

Einer der aktivsten Schweizer Versicherer im Cyberbereich. Die Mobiliar bietet Cyberversicherung fuer KMU mit erschwinglichen Praemien und hat erheblich in Cybersicherheits-Sensibilisierung investiert.

Zurich Versicherung

Zurich bietet umfassende Cyberpolicen fuer Unternehmen aller Groessen mit starkem Fokus auf Risk Engineering.

AXA Schweiz

AXA bietet Cyberversicherung als Teil ihres Geschaeftsversicherungsportfolios mit Incident-Response-Services und Zugang zu Sicherheitsspezialisten.

Helvetia

Helvetias Cyberprodukt richtet sich an KMU mit Fokus auf Betriebsunterbrechung und einem gestuften Ansatz, bei dem hoehere Sicherheitsreife zu besseren Deckungsbedingungen fuehrt.

Baloise

Baloise bietet Cyberversicherung mit besonderer Beruecksichtigung der Beduerfnisse kleinerer Unternehmen und kombinierte Produkte.

Kosten-Nutzen-Analyse

Cyberversicherungspraemien fuer Schweizer KMU liegen typischerweise bei CHF 500 bis CHF 5.000 pro Jahr fuer Deckungslimits von CHF 250.000 bis CHF 1 Million.

Was die Praemie erhoehrt

• Verarbeitung sensibler Daten (Gesundheit, Finanzen).
• E-Commerce mit Kartenzahlungsabwicklung.
• Hoher Jahresumsatz.
• Fruehere Cybervorfaelle.
• Schwache Sicherheitsposition (keine MFA, unregelmaessige Backups, veraltete Software).
• Branche (Gesundheitswesen, Finanzdienstleistungen, Recht sind hoeher eingestuft).

Was die Praemie niedrig haelt

• Dokumentierte und durchgesetzte Sicherheitsmassnahmen. Siehe unsere Sicherheitsaudit-Checkliste.
• Mitarbeiterschulungsprogramme.
• Minimale Angriffsflaeche (statische Websites vs. dynamisches CMS).
• Dokumentierter Incident-Response-Plan.
• Nutzung verwalteter Sicherheitsdienste.

Lohnt es sich?

Betrachten Sie die Zahlen. Ein kleines Unternehmen im Tessin zahlt CHF 1.500 pro Jahr fuer eine Cyberversicherung mit CHF 500.000 Deckungslimit. Ein Ransomware-Vorfall, der das Unternehmen zwei Wochen lahmlegt, koennte CHF 50.000 bis CHF 200.000 an direkten Kosten verursachen. Fuer die meisten Unternehmen ist die Praemie ein angemessener Betrag im Verhaeltnis zur potenziellen Exposition.

Warum Versicherung Praevention nicht ersetzt

1. Versicherung verhindert nicht die Stoerung. Ihr Unternehmen steht waehrend eines Angriffs trotzdem still.
2. Versicherung deckt nicht alles ab. Viele Kosten und Folgen sind ausgeschlossen.
3. Versicherung verlangt Sicherheit. Paradoxerweise brauchen Sie bereits gute Sicherheit, um eine Versicherung zu bekommen.
4. Schaeden erhoehen die Praemien. Schadenmeldungen fuehren zu Praemienerhoehungen.
5. Reputationsschaden ist dauerhaft. Die Google-Strafen fuer kompromittierte Websites brauchen Monate zur Erholung.

Der richtige Ansatz: Zuerst in Praevention investieren, dann Versicherung fuer das Restrisiko kaufen.

Wie eine sichere Website Ihre Praemien senkt

• Statische Website-Architektur: Eine Jamstack-Website hat einen Bruchteil der Angriffsflaeche einer traditionellen CMS-Website.
• Konfigurierte Sicherheitsheader: Die Implementierung von HTTP-Sicherheitsheadern zeigt aktives Sicherheitsmanagement.
• Regelmaessige Sicherheitsaudits: Dokumentierte Nachweise regelmaessiger Ueberpruefungen.
• WAF vorhanden: Eine zusaetzliche Schutzschicht, die Versicherer schaetzen.
• HTTPS ueberall: Grunderwartung.
• Dokumentierte und getestete Backup-Strategie.

Praktische Schritte fuer Schweizer KMU

1. Bringen Sie zuerst Ihre Sicherheitsgrundlagen in Ordnung. MFA implementieren, getestete Backups einrichten, alle Software aktualisieren, Sicherheitsheader konfigurieren, Praktiken dokumentieren.
2. Bewerten Sie Ihr Risikoprofil. Welche Daten verarbeiten Sie? Was wuerden zwei Wochen Ausfall kosten?
3. Holen Sie mehrere Angebote ein. Sprechen Sie mit mindestens drei Versicherern.
4. Lesen Sie die Ausschluesse sorgfaeltig. Der Ausschluss-Abschnitt ist aussagekraeftiger als der Deckungsabschnitt.
5. Verstehen Sie die Bedingungen. Wissen Sie, welche Sicherheitsmassnahmen die Police verlangt.
6. Ziehen Sie einen Makler in Betracht, der auf Cyberrisiko spezialisiert ist.
7. Ueberpruefen Sie jaehrlich. Ihr Risikoprofil aendert sich mit der Entwicklung Ihres Unternehmens.

Cyberversicherung ist ein sinnvoller Teil einer umfassenden Risikomanagementstrategie fuer Schweizer KMU. Sie funktioniert aber am besten in Kombination mit echten Investitionen in Praevention. Wenn Sie Hilfe bei der Bewertung der Sicherheitslage Ihrer Website benoetigen, bevor Sie sich an Versicherer wenden, kann unser Team in Lugano helfen.