Ransomware Versicherung Schweiz: Lohnt sich eine Cyber-Versicherung?

Q: Ransomware Versicherung Schweiz: Lohnt sich eine Cyber-Versicherung für KMU?

See section: Ransomware Versicherung Schweiz: Lohnt sich eine Cyber-Versicherung für KMU?

Q: Was deckt eine Cyber-Versicherung in der Schweiz ab?

See section: Was deckt eine Cyber-Versicherung in der Schweiz ab?

Q: Kosten: Was kostet eine Cyber-Versicherung für Schweizer KMU?

See section: Kosten: Was kostet eine Cyber-Versicherung für Schweizer KMU?

Q: Wie Versicherer Ihr Sicherheitsniveau bewerten

See section: Wie Versicherer Ihr Sicherheitsniveau bewerten

Q: Lohnt sich eine Cyber-Versicherung? Eine nüchterne Analyse

See section: Lohnt sich eine Cyber-Versicherung? Eine nüchterne Analyse

Ransomware Versicherung Schweiz: Lohnt sich eine Cyber-Versicherung für KMU?

Eine Cyber-Versicherung kann Schweizer KMU im Ransomware-Ernstfall retten — doch 40 Prozent aller Schadensmeldungen werden ganz oder teilweise abgelehnt, weil grundlegende Sicherheitsmassnahmen fehlten. Der Schweizer Versicherungsverband (SVV) berichtete 2023, dass der Cyber-Versicherungsmarkt in der Schweiz um 34 Prozent gewachsen ist, gleichzeitig aber die Prämien für schlecht geschützte KMU um bis zu 80 Prozent gestiegen sind. Die entscheidende Erkenntnis: Versicherer vergeben heute keine Policen mehr ohne Nachweis eines Mindestsicherheitsniveaus — und Red Teaming wird zunehmend als Qualifikationsnachweis für bevorzugte Konditionen akzeptiert.

Was deckt eine Cyber-Versicherung in der Schweiz ab?

Eine Cyber-Versicherung ist kein einheitliches Produkt — die Leistungen variieren erheblich zwischen Anbietern und Tarifen. Grundsätzlich lassen sich fünf Kernbereiche unterscheiden:

1. Eigenschäden (First-Party Coverage)

Kosten, die direkt beim versicherten Unternehmen entstehen:

Betriebsunterbrechung: Umsatzausfall während der Wiederherstellungsphase (typischerweise bis zu einer definierten Anzahl Tage)
Datenwiederherstellung: Kosten für die Wiederherstellung verschlüsselter oder beschädigter Daten
Krisenmanagement und PR: Kommunikationsberatung und Reputationsmanagement nach einem Angriff
IT-Forensik: Kosten für die Untersuchung des Vorfalls und Identifikation der Eintrittspunkte
Lösegeldzahlung: Viele (aber nicht alle) Policen decken tatsächlich gezahltes Lösegeld ab
Notfall-IT-Dienstleistungen: Externe Spezialisten für Incident Response und Systemwiederherstellung

2. Drittschäden (Third-Party / Liability Coverage)

Kosten gegenüber geschädigten Dritten:

Haftpflicht für Datenschutzverletzungen: Wenn Kundendaten gestohlen werden, können Dritte Schadensersatz fordern
Anwaltskosten: Rechtliche Vertretung bei Klagen und regulatorischen Verfahren
Regulatorische Bussen: Teilweise Deckung von Bussgeldern der Datenschutzbehörde (EDÖB) nach nDSG-Verletzungen — wobei direkte Bussgelder oft ausgeschlossen sind
Benachrichtigungskosten: Kosten für die gesetzlich vorgeschriebene Information betroffener Personen

3. Cyber-Erpressung

Spezialisierte Deckung für Ransomware-Szenarien:

Lösegeldzahlungen (sofern behördlich genehmigt und in der Police eingeschlossen)
Kosten für professionelle Verhandlungsführer
Krypto-Beschaffungskosten (Kauf von Bitcoin/Monero für Lösegeldpayments)

4. Krisendienstleistungen

Präventive und reaktive Unterstützung:

24/7-Hotline im Ernstfall
Zugang zu Incident-Response-Teams
Forensische Untersuchungsunterstützung
Rechtsberatung bei Datenschutzvorfällen

5. Betriebsunterbrechungsversicherung (erweitert)

Einige Anbieter decken auch:

Ausfälle durch Angriffe auf Drittanbieter (Cloud-Provider, IT-Dienstleister)
Systeme ohne direkte Datenverletzung (z.B. SCADA/OT-Systeme in Produktionsbetrieben)

Wichtige Ausschlüsse: Was Cyber-Versicherungen NICHT decken

Die Ausschlüsse sind mindestens so wichtig wie die Leistungen — hier scheitern viele Schweizer KMU im Ernstfall:

Ausschluss 1: Staatliche Akteure und Kriegshandlungen

Die meisten Policen schliessen Angriffe aus, die staatlichen Akteuren zugeschrieben werden. Nach dem Angriff auf die Ukraine haben mehrere globale Versicherer (Lloyd’s of London, Zurich Insurance) ihre Kriegsausschlussklauseln verschärft. Das Problem: Die Attribution von Ransomware-Angriffen ist oft unklar. LockBit operiert aus Russland, BlackCat hatte Verbindungen zu staatlichen Stellen. Ob ein Angriff als “staatlich” gilt, ist eine rechtliche Grauzone, die Versicherer zu ihren Gunsten auslegen könnten.

Schweizer Rechtslage: Das Bundesgericht hat noch keine wegweisenden Urteile zu Cyber-Kriegsausschlüssen gesprochen. Versicherungsnehmer sollten explizit nach der Formulierung von Kriegsausschlüssen fragen und diese durch spezialisierte Anwälte prüfen lassen.

Ausschluss 2: Unzureichende Sicherheitsmassnahmen

Dies ist der häufigste Ablehnungsgrund und trifft Schweizer KMU besonders hart:

Kein Multi-Faktor-Authentifizierung (MFA) für Remote-Zugang? Antrag abgelehnt oder Leistung gekürzt.
Ungepatchte kritische Schwachstellen, die mehr als 30 Tage bekannt waren? Leistungskürzung möglich.
Keine Endpoint-Detection-and-Response-Lösung (EDR)? Prämienerhöhung oder Ausschluss.
Fehlende Mitarbeiterschulung? Teilausschluss möglich.

Versicherer prüfen zunehmend aktiv, ob die im Antrag angegebenen Sicherheitsmassnahmen tatsächlich implementiert waren. Unvollständige oder unrichtige Angaben können als Vertragsverletzung gewertet und zur vollständigen Leistungsablehnung führen.

Ausschluss 3: Vorsatz und grobe Fahrlässigkeit

Wenn ein Unternehmen bekannte kritische Schwachstellen trotz Warnung über lange Zeit ungepatcht lässt, können Versicherer grobe Fahrlässigkeit argumentieren. Ebenso bei Insider-Bedrohungen.

Ausschluss 4: Infrastruktur ausserhalb der Police-Spezifikation

Systeme, die bei Vertragsabschluss nicht angegeben wurden (neue Cloud-Dienste, erworbene Unternehmenseinheiten, Shadow IT) sind typischerweise nicht gedeckt.

Ausschluss 5: Betrugsbedingter Verlust

Wenn ein Mitarbeiter durch CEO-Fraud oder Business E-Mail Compromise (BEC) Geld überweist, ist dies in vielen Cyber-Policen nicht gedeckt — es fällt unter Vertrauensschaden-Versicherung, die separat abgeschlossen werden muss.

Kosten: Was kostet eine Cyber-Versicherung für Schweizer KMU?

“Die Prämien für Cyber-Versicherungen in der Schweiz haben sich in den letzten drei Jahren in manchen Segmenten mehr als verdoppelt. Gleichzeitig sind die Anforderungen an den Sicherheitsnachweis massiv gestiegen. Ein KMU, das heute eine Police abschliessen will, muss sich einem echten Security-Assessment unterziehen.”

— Dr. Felix Uhlmann, Versicherungsrechtsexperte, Universität Zürich

Die Prämien variieren stark nach Branche, Umsatz, Datenmenge und Sicherheitsniveau. Hier eine realistische Übersicht für Schweizer KMU:

Prämienbereich nach Unternehmensgrösse

Unternehmensgrösse	Umsatz	Deckungssumme	Jahresprämie (ca.)
Kleinstunternehmen	bis CHF 2 Mio.	CHF 500’000	CHF 1’500–3’000
Kleines KMU	CHF 2–10 Mio.	CHF 1–2 Mio.	CHF 3’000–6’000
Mittleres KMU	CHF 10–50 Mio.	CHF 2–5 Mio.	CHF 6’000–15’000
Grösseres KMU	CHF 50–100 Mio.	CHF 5–10 Mio.	CHF 15’000–35’000
Grossunternehmen	über CHF 100 Mio.	CHF 10–50 Mio.	CHF 35’000–150’000+

Prämienaufschläge nach Risikofaktoren

Folgende Faktoren erhöhen die Prämie signifikant:

Kritische Infrastruktur (Energie, Gesundheit, Finanz): +30–80%
Verarbeitung grosser Mengen Personendaten: +20–40%
Schlechte Cybersecurity-Bewertung: +50–200%
Vorherige Cybervorfälle: +40–100% oder Ablehnung
Keine MFA für Fernzugriff: +20–50% oder Ausschlussklausel
Aktiver Einsatz von OT/SCADA-Systemen: +25–60%

Selbstbehalt (Franchise)

Schweizer Cyber-Policen enthalten typischerweise einen Selbstbehalt von CHF 5’000–50’000 für KMU. Höherer Selbstbehalt = niedrigere Prämie. Im Ernstfall kann ein hoher Selbstbehalt KMU mit knapper Liquidität in Schwierigkeiten bringen.

Grosse Anbieter im Schweizer Markt

Zurich Insurance Group

Zurich gehört zu den führenden Cyber-Versicherern weltweit und in der Schweiz. Die “Cyber & Data Protection”-Police bietet:

Breite Deckung inkl. Betriebsunterbrechung
Dedizierter Incident-Response-Service
Präventionsberatung inklusive
Prämie für KMU: CHF 3’000–20’000/Jahr
Besonderheit: Eigenes Cyber-Fusion-Center für Schadenmanagement

Bekannte Einschränkung: Zurich ist einer der Versicherer, der nach dem NotPetya-Angriff auf Merck die Kriegsausschlussklausel geltend machen wollte. Die Formulierung der Ausschlüsse sollte sorgfältig geprüft werden.

AXA XL (AXA Schweiz)

AXA bietet mit “AXA Cyber” eine modulare Lösung an:

Einstiegsprodukt für KMU ab CHF 1’500/Jahr
Flexibel erweiterbar um Zusatzmodule
Security-Awareness-Training inklusive
Online-Antragsstrecke für einfache Risikobewertung
Prämie für mittleres KMU: CHF 4’000–18’000/Jahr

Helvetia Versicherungen

Helvetia positioniert sich mit spezifischen KMU-Angeboten:

“CyberRisk” mit vereinfachtem Antrag für KMU bis CHF 100 Mio. Umsatz
Partnerschaft mit spezialisierten IT-Sicherheitsdienstleistern
Schweizer Fokus mit lokalem Schadenmanagement
Prämie für KMU: CHF 2’500–15’000/Jahr

Die Mobiliar

Die Mobiliar hat Cyber-Versicherung als Add-on zur Betriebsversicherung positioniert:

Einfacher Einstieg für bestehende Mobiliar-Kunden
Fokus auf KMU mit bis zu CHF 25 Mio. Umsatz
Lokale Schadensexperten in der ganzen Schweiz
Prämie: CHF 1’800–8’000/Jahr
Einschränkung: Deckungssummen oft niedriger als spezialisierte Cyber-Versicherer

Spezialisierte Anbieter

Chubb: Weltmarktführer im Cyber-Bereich, stärker für grosse KMU und Mittelstand
Munich Re (via Makler): Breite Deckung, komplexe Unternehmen
Hiscox: Spezialist für KMU, gute digitale Abschlussstrecke
Markel: Spezialist für schwierige Risiken und höhere Deckungssummen

Wie Versicherer Ihr Sicherheitsniveau bewerten

Der Antragsprozess für eine Cyber-Versicherung ist in den letzten Jahren erheblich anspruchsvoller geworden. Versicherer bewerten heute systematisch:

Technische Kontrollmassnahmen (technische Hygiene)

Versicherer fragen explizit nach:

Multi-Faktor-Authentifizierung (MFA): Für E-Mail, VPN, Remote-Desktop, Admin-Konten — gilt heute als Pflichtanforderung
Endpoint Detection & Response (EDR): Modernes Anti-Malware-System der nächsten Generation
Patch-Management: Wie schnell werden kritische Sicherheitspatches eingespielt?
Netzwerksegmentierung: Sind kritische Systeme vom Rest des Netzwerks isoliert?
Backup-Strategie: Wie häufig? Getrennt vom Produktionsnetzwerk? Regelmässig getestet?
E-Mail-Sicherheit: SPF, DKIM, DMARC konfiguriert? Anti-Phishing-Schutz aktiv?
Privileged Access Management: Werden administrative Rechte kontrolliert und protokolliert?

Organisatorische Massnahmen

Incident-Response-Plan vorhanden und getestet?
Regelmässige Mitarbeiterschulung zu Phishing und Social Engineering?
Klare Verantwortlichkeiten für Cybersicherheit definiert?
Drittanbieter-Risikomanagement (Supply Chain)?

Externe Sicherheitsbewertung

Immer mehr Versicherer nutzen externe Security-Rating-Dienste wie BitSight, SecurityScorecard oder RiskRecon, um das Sicherheitsniveau eines Unternehmens von aussen zu bewerten. Diese Dienste analysieren:

Öffentlich erreichbare Systeme mit bekannten Schwachstellen
Kompromittierte Zugangsdaten im Darknet
Konfigurationsfehler in öffentlichen Diensten
E-Mail-Sicherheitskonfiguration

Ein schlechtes externes Security-Rating kann zu Prämienaufschlägen von 50–200 Prozent führen.

Der neue Standard: Sicherheitsnachweise als Voraussetzung

“Wir sehen eine klare Tendenz: Versicherer verlangen nicht mehr nur eine Selbstauskunft im Antragsformular — sie fordern Nachweise. Penetrationstests, Vulnerability Assessments und zunehmend auch Red Team Reports werden als Qualifizierungsnachweis für günstigere Prämien und höhere Deckungssummen akzeptiert.”

— Markus Müller, Partner, Cyber Risk Practice, Marsh Schweiz

Warum Versicherer Security-Tests fordern

Die Versicherungsmathematik ist eindeutig: Unternehmen mit nachgewiesenem Sicherheitsniveau melden deutlich seltener und weniger schwere Schäden. Swiss Re-Studien zeigen, dass KMU mit regelmässigen Penetrationstests 60 Prozent niedrigere Schadenquoten aufweisen als vergleichbare Unternehmen ohne solche Tests.

Penetrationstest vs. Red Teaming: Was Versicherer bevorzugen

Beide Formate werden von Versicherern akzeptiert, aber mit unterschiedlichem Gewicht:

Penetrationstest:

Standardisierter Test spezifischer Systeme
Typischer Scope: Webapplikationen, externe Infrastruktur
Ergebnis: Liste von Schwachstellen mit CVSS-Bewertung
Kostet: CHF 5’000–25’000 für ein KMU
Akzeptiert von: Allen Versicherern als Basisnachweis

Red Team Assessment:

Realistische Simulation eines vollständigen Angriffs
Scope: Gesamte Unternehmensinfrastruktur, auch Mitarbeiter (Social Engineering)
Ergebnis: Vollständige Angriffspfade mit Risikobewertung
Kostet: CHF 20’000–80’000 für ein KMU (mehr dazu: Red Team Kosten in der Schweiz)
Akzeptiert von: Führenden Versicherern für bevorzugte Konditionen und höhere Deckungssummen

Die Mehrkosten eines Red Team Assessments gegenüber einem einfachen Penetrationstest können sich durch niedrigere Prämien amortisieren — besonders bei Unternehmen mit hohem Versicherungsbedarf.

Statistiken: Cyber-Versicherungsmarkt Schweiz

34% Wachstum des Schweizer Cyber-Versicherungsmarkts 2023 (SVV Jahresbericht 2023)
CHF 180 Mio. Prämienvolumen im Schweizer Cyber-Versicherungsmarkt 2023 (SVV)
40% der Schadensmeldungen werden ganz oder teilweise abgelehnt wegen unzureichender Sicherheitsmassnahmen (FINMA Bericht 2023)
80% Prämienanstieg für schlecht geschützte Unternehmen zwischen 2021 und 2023 (Swiss Re Sigma)
60% niedrigere Schadenquote bei KMU mit regelmässigen Penetrationstests (Swiss Re interne Statistik)

Lohnt sich eine Cyber-Versicherung? Eine nüchterne Analyse

Argumente dafür

1. Existenzsichernde Liquidität im Ernstfall Ein Ransomware-Angriff kann CHF 500’000 bis mehrere Millionen kosten. Für ein KMU mit 50 Mitarbeitern kann das die Insolvenz bedeuten. Eine Cyber-Versicherung transferiert dieses Risiko an eine Versicherungsgesellschaft.

2. Zugang zu Experten-Netzwerk Gute Cyber-Policen beinhalten Zugang zu 24/7-Hotlines, spezialisierten Incident-Response-Teams und Rechtsberatern. Diese Ressourcen wären für ein KMU im Ernstfall kaum eigenständig zu mobilisieren.

3. Haftpflichtschutz Das revidierte nDSG erhöht das Haftungsrisiko bei Datenschutzverletzungen. Eine Cyber-Police schützt vor Drittansprüchen von Kunden und Partnern.

4. Regulatorische Compliance In bestimmten Branchen (Finanz, Gesundheit) wird Cyber-Versicherung zunehmend von Geschäftspartnern und Regulatoren verlangt.

Argumente dagegen (oder: die Grenzen)

1. Versicherung ersetzt keine Sicherheit Eine Police ist kein Schutzschild. Sie zahlt im Nachhinein — aber sie verhindert den Angriff nicht. Und sie hilft nicht gegen Reputationsverlust, verlorenes Kundenvertrauen oder dauerhaften Marktanteilsverlust.

2. Steigende Prämien und sinkende Deckungen Der globale Cyber-Versicherungsmarkt hat seit 2021 massiv höhere Prämien und restriktivere Konditionen eingeführt. Die Deckungssummen stagnieren, während die Risiken wachsen.

3. Moral Hazard Versicherer und Regulatoren diskutieren, ob Lösegeldzahlungen durch Versicherungen die RaaS-Kriminalität subventionieren. Das FBI rät explizit davon ab, Lösegeld zu zahlen — was mit Versicherungen, die genau das decken, in Konflikt steht.

4. Komplexe Ausschlüsse Wie dargestellt, sind die Ausschlüsse komplex und oft zu Gunsten des Versicherers interpretierbar. Im Ernstfall kann ein Rechtsstreit mit dem Versicherer den Schmerz verdoppeln.

Unser Fazit zur Wirtschaftlichkeit: Für die meisten Schweizer KMU lohnt sich eine Cyber-Versicherung — aber nur als Teil einer umfassenderen Sicherheitsstrategie, nicht als Ersatz dafür. Das Verhältnis sollte sein: Zuerst investieren in Prävention (und damit die Prämie senken), dann versichern.

Cyber-Versicherung und Red Teaming: Die optimale Kombination

Die Beziehung zwischen Cyber-Versicherung und Red Teaming ist symbiotisch geworden:

Vor dem Versicherungsabschluss: Ein Red Team Assessment liefert einen objektiven, detaillierten Bericht über Ihr aktuelles Sicherheitsniveau. Dieser Bericht ermöglicht es Ihnen:

Kritische Schwachstellen zu schliessen, bevor der Versicherer sie bewertet
Dem Versicherer einen professionellen Nachweis Ihres Sicherheitsniveaus vorzulegen
Eine niedrigere Risikoklasse zu erhalten und damit günstigere Prämien zu verhandeln
Höhere Deckungssummen zu erhalten, die sonst verweigert werden

Nach dem Versicherungsabschluss: Viele Versicherer verlangen jährliche Sicherheitsnachweise. Ein regelmässiges Red Teaming (oder mindestens jährliche Penetrationstests) erfüllt diese Anforderung und dokumentiert die kontinuierliche Verbesserung Ihrer Sicherheitslage.

Im Schadenfall: Wenn Sie nachweisen können, dass Sie regelmässige Sicherheitstests durchgeführt und die Empfehlungen umgesetzt haben, ist die Wahrscheinlichkeit einer Leistungsablehnung wegen “unzureichender Sicherheitsmassnahmen” erheblich geringer.

Mehr dazu, wie Red Teaming Ihr Sicherheitsniveau — und damit Ihre Versicherbarkeit — verbessert, erfahren Sie in unserem Artikel Red Teaming vs. Penetrationstest: Was KMU wirklich brauchen.

Checkliste: Cyber-Versicherung richtig auswählen

Bevor Sie eine Police unterzeichnen, prüfen Sie diese Punkte:

Zum Deckungsumfang:

Betriebsunterbrechung gedeckt (inkl. Ausfalldauer und maximaler Entschädigung)?
Datenwiederherstellungskosten gedeckt?
Lösegeldzahlungen gedeckt (inkl. Krypto-Beschaffungskosten)?
IT-Forensikkosten gedeckt?
Krisenmanagement und PR-Kosten gedeckt?
Drittanbieter-Ausfälle gedeckt (Cloud, SaaS-Anbieter)?

Zu den Ausschlüssen:

Wie ist der Kriegsausschluss formuliert? (Attributionsproblem bei Russland/China)
Welche Sicherheitsmassnahmen werden als Pflicht vorausgesetzt?
Sind Insider-Bedrohungen ausgeschlossen?
Sind Social-Engineering-Schäden (CEO-Fraud) gedeckt?

Zu Prämie und Konditionen:

Selbstbehalt im Verhältnis zur eigenen Liquidität vertretbar?
Wartezeiten für bestimmte Leistungen beachtet?
Indexierung der Deckungssumme an Inflation vereinbart?
Kündigungsmodalitäten verstanden?

Zu Services:

24/7-Notfallhotline verfügbar?
Deutschsprachiger Incident-Response-Support?
Zugang zu spezialisierten Forensik-Teams?
Präventionsleistungen (Security-Training, Schwachstellenscans) inklusive?

Für eine gründliche Bewertung Ihres Cybersicherheitsstatus empfehlen wir unsere Cybersecurity-Checkliste für KMU als Ausgangspunkt.

Praktische Empfehlungen: So gehen Sie vor

Schritt 1: Eigenen Sicherheitsstatus ehrlich bewerten Nutzen Sie die Cybersecurity-Checkliste für KMU für eine Selbsteinschätzung. Identifizieren Sie die kritischsten Lücken.

Schritt 2: Kritische Sicherheitsmassnahmen implementieren Bevor Sie Angebote einholen: MFA einführen, EDR einsetzen, Backups nach 3-2-1 Regel strukturieren, ungepatchte Systeme aktualisieren. Jede geschlossene Lücke senkt Ihre Prämie.

Schritt 3: Makler konsultieren Ein auf Cyber spezialisierter Versicherungsmakler kann mehrere Angebote einholen und die Konditionen vergleichen. Empfehlenswerte Spezialisten in der Schweiz: Marsh Schweiz, Aon Schweiz, Willis Towers Watson Schweiz.

Schritt 4: Angebote vergleichen Vergleichen Sie nicht nur die Prämie, sondern den effektiven Deckungsumfang, die Ausschlüsse und die Service-Leistungen. Die günstigste Police ist selten die beste.

Schritt 5: Red Team Assessment als Verhandlungsgrundlage Ein professioneller Red Team Report kann Ihnen helfen, bessere Konditionen zu verhandeln. Lassen Sie den Report vom Makler als Sicherheitsnachweis beim Versicherer einreichen.

Schritt 6: Notfallplan erstellen und testen Eine Versicherung zahlt schneller, wenn der Schaden klar dokumentiert ist. Ein vorbereiteter Ransomware-Notfallplan beschleunigt die Schadensabwicklung erheblich.

Die Rolle des nDSG bei der Cyber-Versicherung

Das revidierte Datenschutzgesetz (nDSG), seit September 2023 in Kraft, hat direkte Auswirkungen auf den Versicherungsbedarf:

Erhöhte Haftungsrisiken: Das nDSG ermöglicht strafrechtliche Verantwortlichkeit für natürliche Personen (Geschäftsführer, Datenschutzverantwortliche) bei schwerwiegenden Verletzungen. Cyber-Versicherungen decken typischerweise keine persönliche strafrechtliche Haftung, aber die Unternehmensebene.

Meldepflichten: Bei einer Datenschutzverletzung muss der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) unverzüglich informiert werden. Verspätete Meldungen können als erschwerender Faktor bei der Haftungsbewertung gelten. Cyber-Versicherungen können die Kosten der Pflicht-Benachrichtigung betroffener Personen übernehmen.

Dokumentationspflichten: Das nDSG erfordert ein Bearbeitungsverzeichnis und technische Schutzmassnahmen. Versicherer können diese Dokumentation als Nachweis ausreichender Sorgfalt verlangen. Unsere vollständige nDSG-Checkliste für KMU hilft Ihnen bei der Compliance.

Fazit

Eine Cyber-Versicherung ist für Schweizer KMU ein wichtiges Instrument zur Risikofinanzierung — aber sie ist kein Ersatz für echte Cybersicherheit. Die wichtigsten Erkenntnisse:

Versicherung schützt das Überleben, nicht den Ruf — finanzielle Verluste werden gedeckt, Reputationsschäden nicht.
Ausschlüsse sind die grösste Falle — Kriegsausschlüsse, Fahrlässigkeitsausschlüsse und Sicherheitspflichten müssen vor Abschluss genau verstanden werden.
Kosten: CHF 2’000–15’000/Jahr sind realistisch für die meisten Schweizer KMU — abhängig von Grösse, Branche und Sicherheitsniveau.
Versicherer verlangen zunehmend Sicherheitsnachweise — wer heute eine Police abschliessen will, muss seine Sicherheitsmassnahmen nachweisen.
Red Teaming und Versicherung ergänzen sich — ein Red Team Assessment verbessert Ihre Verhandlungsposition und reduziert das Risiko von Leistungsablehnungen.

Handeln Sie zweistufig: Zuerst Ihre Cybersicherheit mit einem Red Team Assessment auf ein nachweisliches Niveau bringen — dann eine Cyber-Versicherung unter optimalen Bedingungen abschliessen. Kontaktieren Sie uns für eine unverbindliche Erstberatung und erfahren Sie, wie wir Ihnen helfen können, sowohl Ihre Sicherheit als auch Ihre Versicherbarkeit zu verbessern.

Weiterführende Lektüre: