Schweizer Versicherungsunternehmen stehen vor einzigartigen Cyberbedrohungen – und müssen handeln
Schweizer Versicherungsgesellschaften verarbeiten täglich Millionen sensibler Datensätze: Gesundheitsdaten, Finanzverhältnisse, Schadensmeldungen, biometrische Angaben. Für Cyberkriminelle ist dieser Datenschatz ausserordentlich wertvoll. Gleichzeitig unterliegen Versicherungsunternehmen strengen regulatorischen Anforderungen der FINMA, was die IT-Sicherheit zu einer strategischen Führungsaufgabe macht – nicht bloss zu einem technischen Problem.
Die Bedrohungslage ist konkret: Laut dem Bericht des Nationalen Zentrums für Cybersicherheit (NCSC) wurden im Jahr 2024 über 63’000 Cybervorfälle in der Schweiz gemeldet, davon ein überproportionaler Anteil aus dem Finanz- und Versicherungssektor. Wer in dieser Branche tätig ist, muss verstehen, welche spezifischen Risiken bestehen – und wie sich ein wirksamer Schutz aufbauen lässt.
Die Bedrohungslandschaft für Schweizer Versicherungen
Sensible Kundendaten als primäres Angriffsziel
Kein anderer Sektor ausser dem Gesundheitswesen verfügt über eine vergleichbar dichte Sammlung personenbezogener Daten. Versicherungsunternehmen speichern:
- Gesundheitsdaten aus Krankenkassen- und Lebensversicherungsverträgen
- Vermögensverhältnisse und Bankverbindungen aus Hausrat-, Rechtsschutz- und Lebensversicherungen
- Fahrzeug- und Schadenhistorien aus der Motorfahrzeugversicherung
- Unternehmensdaten aus Betriebs- und D&O-Versicherungen
Diese Datenkombination erlaubt Angreifern nicht nur Identitätsdiebstahl, sondern auch gezielte Erpressung und Betrug. Ein einziger erfolgreicher Angriff kann hunderttausende Policeninhaber betreffen.
Schadensbetrugvia Cyberangriff
Eine unterschätzte Bedrohung ist der digitale Schadensbetrug. Angreifer dringen in Systeme ein, um Schadensberichte zu manipulieren, gefälschte Ansprüche einzureichen oder bestehende Fälle zu verändern. Automatisierte Schadensabwicklungssysteme, die ursprünglich zur Effizienzsteigerung eingeführt wurden, werden dabei zum Einfallstor. Gemäss einer Schätzung von Accenture entsteht der Versicherungsbranche weltweit jährlich ein Schaden von über 80 Milliarden US-Dollar durch Versicherungsbetrug – ein wachsender Anteil davon ist digital.
Drittparteienrisiko durch Broker und Agenten
Schweizer Versicherungen arbeiten mit einem ausgedehnten Netz von unabhängigen Brokern, Generalagenten und Technologiepartnern zusammen. Jeder dieser Akteure ist ein potenzielles Einfallstor. Sogenannte Supply-Chain-Angriffe, bei denen Angreifer über einen weniger geschützten Partner Zugang zum Hauptsystem erlangen, haben in den vergangenen Jahren stark zugenommen. Der Angriff auf einen mittelgrossen Schweizer Softwareanbieter für Versicherungslösungen kann so zum Datenleck bei zehn verschiedenen Versicherungsgesellschaften führen.
“Versicherungsunternehmen sind ein ideales Ziel für staatlich gesponserte und organisierte Cyberkriminalität: grosse Datenmengen, komplexe IT-Infrastrukturen und regulatorischer Druck, der schnelle Reaktionen hemmt.” – Dr. Marc Henauer, ehem. Leiter Cyber-Intelligence, NCSC Schweiz
FINMA-Anforderungen an die IT-Sicherheit
Die Eidgenössische Finanzmarktaufsicht FINMA ist für Schweizer Versicherungen die massgebliche Regulierungsbehörde. Ihre Rundschreiben – insbesondere FINMA-RS 2023/1 zu operationellen Risiken – legen konkrete Anforderungen fest:
Governance und Verantwortlichkeit: Der Verwaltungsrat trägt die oberste Verantwortung für das Risikomanagement, einschliesslich Cyberrisiken. Eine bloss technische Delegation an die IT-Abteilung genügt nicht.
Informationssicherheitsmanagementsystem (ISMS): Versicherungsunternehmen ab einer gewissen Grösse müssen ein dokumentiertes ISMS vorhalten, das auf anerkannten Standards wie ISO 27001 basiert.
Business Continuity Management: Für kritische Systeme sind Wiederherstellungszeiten (RTO) und Wiederherstellungspunkte (RPO) zu definieren und regelmässig zu testen.
Meldepflichten: Schwerwiegende Cybervorfälle müssen der FINMA unverzüglich gemeldet werden. Mit dem Inkrafttreten des revidierten Datenschutzgesetzes (DSG) kommen zusätzliche Meldepflichten gegenüber dem EDÖB hinzu. Mehr dazu in unserer nDSG-Checkliste für KMU.
Drittparteienmanagement: Outsourcing-Vereinbarungen müssen Sicherheitsanforderungen enthalten, und Drittparteien sind regelmässig zu auditieren.
Für Versicherungen, die Cyber-Versicherungsprodukte anbieten, ergibt sich eine besondere Ironie: Sie müssen selbst vorbildlich abgesichert sein, um glaubwürdig Cyberrisiken zu versichern.
Das Paradox der Cyber-Versicherungsanbieter
Immer mehr Schweizer Versicherungen bieten ihren Unternehmenskunden Cyber-Versicherungspolicen an. Das schafft eine strukturelle Herausforderung: Ein Versicherungsunternehmen, das selbst Opfer eines Cyberangriffs wird, verliert nicht nur Kundendaten – es verliert auch die Glaubwürdigkeit als Anbieter von Cyberrisikoschutz.
Zudem stellt das Underwriting von Cyber-Versicherungen eigene Anforderungen an die Datenanalyse: Aktuelle Risikobewertungsmodelle erfordern den Zugriff auf Echtzeitdaten über Bedrohungslagen, Schwachstellen in Kundensystemen und Schadenstatistiken. Diese Systeme selbst werden zu sensiblen Zielen.
Gemäss Swiss Re betrug das globale Prämienvolumen für Cyber-Versicherungen im Jahr 2024 rund 16 Milliarden US-Dollar – Tendenz stark steigend. Schweizer Versicherungen, die in diesem Markt aktiv sind, müssen ihre eigene Sicherheit als Wettbewerbsvorteil positionieren.
Typische Schwachstellen im Schweizer Versicherungssektor
Unsere Erfahrung aus Red Teaming-Einsätzen bei Finanz- und Versicherungsinstituten zeigt wiederkehrende Schwachstellenmuster:
Legacy-Systeme: Viele Versicherungen betreiben noch immer Kernplattformen aus den 1980er und 1990er Jahren. Diese Systeme wurden nicht für moderne Bedrohungen konzipiert und sind oft schlecht dokumentiert. Patches sind schwierig einzuspielen, weil der Quellcode nicht mehr verfügbar ist.
Übermässige Zugriffsrechte: Das Prinzip der minimalen Rechtevergabe (Least Privilege) wird in der Praxis oft verletzt. Interne Mitarbeiter, Berater und Systemintegratoren haben häufig umfassendere Zugriffsrechte, als ihre Tätigkeit erfordert.
Phishing-Anfälligkeit: Trotz Awareness-Trainings bleibt Phishing die häufigste Einstiegsmethode für Angreifer. In simulierten Angriffstests klicken in der Versicherungsbranche durchschnittlich 23% der Mitarbeitenden auf einen Phishing-Link – ein branchenweiter Spitzenwert.
Unzureichende Netzwerksegmentierung: Wenn ein Angreifer ins Netzwerk eindringt, kann er sich häufig lateral bewegen und auf Systeme zugreifen, die er gar nicht direkt angegriffen hat. Flache Netzwerke ohne Segmentierung sind in der Branche weit verbreitet.
Schwache API-Sicherheit: Moderne Versicherungsplattformen integrieren Dutzende von APIs – für Vergleichsportale, Broker-Systeme, Zahlungsanbieter. Jede ungesicherte API ist ein potenzielles Einfallstor. Vergleiche dazu unsere Analyse von Red Teaming vs. Penetrationstest, um zu verstehen, wie diese Schwachstellen realitätsnah getestet werden.
Besondere Risiken für Krankenzusatz- und Lebensversicherungen
Gesundheitsdaten geniessen unter dem revidierten Schweizer DSG besondere Schutzwürdigkeit. Krankenzusatzversicherer, die sensitive Gesundheitsinformationen verarbeiten, unterliegen damit einer doppelten regulatorischen Last: FINMA auf der einen, EDÖB auf der anderen Seite.
Für Lebensversicherungen kommt das Risiko des Insiderbetrugs hinzu: Mitarbeitende, die Zugang zu Sterbefällen, Begünstigtenänderungen und Auszahlungsanträgen haben, können durch Social Engineering oder eigene Motivation zum Insider-Bedrohungsakteur werden.
Ransomware: Das grösste operative Risiko
Ransomware ist die akuteste Bedrohung für die Betriebskontinuität von Versicherungsunternehmen. Im Jahr 2023 wurde ein mittelgrosser europäischer Versicherer Opfer eines Ransomware-Angriffs, der die gesamte Schadensabwicklung für drei Wochen lahmlegte. Der Schaden belief sich auf über 20 Millionen Euro – inklusive Reputationsschaden und Kundenabwanderung.
Besonders gefährlich: Ransomware-Gruppen wissen, dass Versicherungen selbst über Cyber-Versicherungen verfügen und daher eher bereit sind, Lösegeld zu bezahlen. Versicherungsunternehmen gelten in der kriminellen Community als zahlungskräftige und zahlungswillige Opfer.
Sicherheitsarchitektur für Versicherungen: Ein pragmatischer Ansatz
Angesichts der komplexen Systemlandschaft empfehlen wir für Schweizer Versicherungen eine mehrschichtige Sicherheitsarchitektur:
Kurzfristig (0-6 Monate):
- Multi-Faktor-Authentifizierung für alle privilegierten Zugänge und Remote-Zugriffe
- Netzwerksegmentierung zwischen Legacy-Kernplattform und modernen Systemen
- Phishing-Simulationen und gezieltes Security-Awareness-Training
- Inventarisierung aller Drittparteien mit Datenzugang
Mittelfristig (6-18 Monate):
- Aufbau eines SIEM/SOC für Echtzeit-Monitoring
- Implementierung eines Zero-Trust-Frameworks für interne Netze
- Regelmässige externe Penetrationstests für alle webexponierten Systeme
- API-Security-Review für alle Partneranbindungen
Langfristig (18+ Monate):
- Red Teaming zur realistischen Überprüfung der Gesamtverteidigungsfähigkeit
- ISMS-Zertifizierung nach ISO 27001
- Threat Intelligence Sharing mit Branchenpartnern über Swiss FS-ISAC
Die Cybersecurity-Checkliste für KMU bietet einen guten Einstiegspunkt, auch wenn Versicherungen spezifischere Anforderungen haben.
“Die Frage ist nicht, ob ein Versicherungsunternehmen angegriffen wird, sondern wann – und ob die Verteidigungsmassnahmen im Ernstfall tatsächlich greifen. Das lässt sich nur durch realistische Tests herausfinden, nicht durch Compliance-Checklisten.” – Sicherheitsexperte, Swiss Insurance Association
Red Teaming für den Versicherungssektor
Ein regulärer Penetrationstest prüft technische Schwachstellen in isolierten Systemen. Red Teaming simuliert dagegen einen vollständigen, realistischen Angriff auf das Gesamtunternehmen – inklusive Social Engineering, physische Infiltration und mehrstufige Angriffsketten über Monate hinweg.
Für Versicherungsunternehmen ist Red Teaming besonders wertvoll, weil:
- Die regulatorische Anforderung zur Business-Continuity-Prüfung realitätsnah erfüllt wird
- Schwachstellen in der Kombination aus Menschen, Prozessen und Technologie sichtbar werden
- Der Vorstand konkrete Evidenz über die Wirksamkeit der Sicherheitsinvestitionen erhält
- Das Team unter echtem Druck geübt wird, Angriffe zu erkennen und zu stoppen
Informationen zu Kosten und Umfang finden sich in unserem Leitfaden zu Red Teaming-Kosten in der Schweiz sowie im Vergleich Red Teaming vs. Penetrationstest.
Der Versicherungssektor gehört auch im Kontext des Finanzsektors zu den kritischsten Infrastrukturen der Schweiz und wird entsprechend auch regulatorisch stärker unter Druck gesetzt.
Fazit
Schweizer Versicherungsunternehmen befinden sich in einer paradoxen Lage: Sie bieten Schutz vor Risiken – und sind selbst eines der attraktivsten Angriffsziele für Cyberkriminelle. Die Kombination aus hochsensiblen Kundendaten, komplexen Legacy-Systemen, ausgedehnten Drittparteiernetzwerken und regulatorischem Druck macht eine proaktive, mehrschichtige Sicherheitsstrategie unabdingbar.
Compliance allein schützt nicht. Ein Angreifer weiss nicht, was auf Ihrer Checkliste steht – er sucht den schwächsten Punkt in Ihrer tatsächlichen Infrastruktur.
Bereit für den nächsten Schritt?
Mit einem Red Teaming-Einsatz von CybersecuritySwitzerland erfahren Sie, wie gut Ihr Versicherungsunternehmen einen realen Angriff tatsächlich standhält. Unsere Experten simulieren die Taktiken, Techniken und Prozeduren echter Angreifer – und liefern Ihnen einen konkreten Massnahmenplan.
Red Teaming für Versicherungen ab CHF 11’900 – inklusive Abschlussbericht und Präsentation für Geschäftsleitung und Verwaltungsrat.
Jetzt unverbindliche Beratung anfragen
Quellen
- NCSC Wochenrückblick 52/2024: https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2024/wochenrueckblick_52.html