Cyber-Versicherung kostet Schweizer KMU CHF 1’500 bis CHF 12’000 pro Jahr. Bei 20 bis 100 Mitarbeitenden und CHF 1 bis 5 Mio. Deckungssumme: CHF 3’000 bis 7’000 jährlich. Nur 23% der Schweizer KMU sind versichert (SVV, 2025). Der durchschnittliche Schaden pro Angriff: CHF 280’000 (Allianz Risk Barometer, 2025).
Die Prämien sind in drei Jahren um 35% gestiegen. Gleichzeitig verlangen Versicherer immer mehr Nachweise: MFA, Endpoint Detection, regelmässige Pentests. Wer einen aktuellen Pentest-Bericht vorweisen kann, spart erfahrungsgemäss 15 bis 25% auf die Jahresprämie. Nachfolgend alle Kostenfaktoren und konkreten Spartipps.
Was kostet eine Cyber-Versicherung in der Schweiz? Die Prämienübersicht 2026
Prämien nach Unternehmensgrösse und Jahresumsatz
| Unternehmensgrösse | Jahresumsatz (CHF) | Deckungssumme (CHF) | Jahresprämie (CHF) |
|---|---|---|---|
| Micro | < 2 Mio. | 500’000 | 1’500 – 3’500 |
| Klein | 2 – 10 Mio. | 1 – 2 Mio. | 2’500 – 5’500 |
| Mittel-klein | 10 – 25 Mio. | 2 – 5 Mio. | 4’000 – 8’000 |
| Mittel | 25 – 100 Mio. | 5 – 10 Mio. | 6’500 – 15’000 |
| Mittel-gross | 100 – 500 Mio. | 10 – 25 Mio. | 12’000 – 35’000 |
| Gross | > 500 Mio. | 25 Mio.+ | 25’000 – 150’000+ |
Prämien nach Branche (KMU, CHF 5 Mio. Deckung)
Branchen werden von Versicherern nach Risikoklasse eingestuft. Diese Einstufung beeinflusst die Prämie erheblich.
| Branche | Risikoklasse | Typische Jahresprämie (CHF) | Begründung |
|---|---|---|---|
| IT / Software / SaaS | Sehr hoch | 8’000 – 18’000 | Hohes Angriffsvolumen, Datenmenge |
| Finanzdienstleistungen | Sehr hoch | 9’000 – 20’000 | Regulierung, Angriffsziel, hohe Schäden |
| Gesundheitswesen | Hoch | 7’000 – 15’000 | Sensible Patientendaten, kritische Systeme |
| Handel / E-Commerce | Hoch | 5’500 – 12’000 | Kundendaten, Zahlungsdaten, Ransomware |
| Produktion / Industrie | Mittel-hoch | 4’500 – 10’000 | OT-Risiken, Lieferketten |
| Beratung / Dienstleistung | Mittel | 3’500 – 8’000 | Kundendaten, Vertrauensschäden |
| Bauwirtschaft | Mittel | 3’000 – 6’500 | Wachsendes Ziel, digitale Pläne |
| Gastronomie / Hotellerie | Niedrig-mittel | 2’000 – 5’000 | Zahlungsdaten, Buchungssysteme |
| Handwerk / Lokales Gewerbe | Niedrig | 1’500 – 3’500 | Geringer Datenbestand |
Laut dem Swiss Insurance Monitor 2025 haben sich die Schadenfälle bei Schweizer Cyber-Versicherungen seit 2022 verdoppelt — mit Ransomware als häufigster Schadenursache (47% aller gemeldeten Fälle).
Was beeinflusst die Höhe der Cyber-Versicherungsprämie?
Faktor 1: Deckungssumme und Selbstbehalt
Die Deckungssumme ist der grösste Preistreiber. Die meisten KMU unterschätzen ihr tatsächliches Risiko und sind unterversichert.
| Deckungssumme | Selbstbehalt | Jährliche Prämie (CHF, mittleres KMU) |
|---|---|---|
| CHF 500’000 | CHF 5’000 | 1’800 – 4’000 |
| CHF 1’000’000 | CHF 5’000 | 2’500 – 5’500 |
| CHF 2’000’000 | CHF 10’000 | 3’800 – 7’500 |
| CHF 5’000’000 | CHF 10’000 | 5’500 – 11’000 |
| CHF 10’000’000 | CHF 25’000 | 9’000 – 18’000 |
Wichtig: Eine Erhöhung des Selbstbehalts von CHF 5’000 auf CHF 25’000 senkt die Jahresprämie typischerweise um 15–25%.
Faktor 2: Sicherheitsniveau und Nachweise
Versicherer verlangen zunehmend den Nachweis von Sicherheitsmassnahmen. Fehlende Massnahmen können zu Prämienzuschlägen oder sogar zur Ablehnung des Antrags führen.
| Sicherheitsmassnahme | Prämieneinfluss bei Nachweis |
|---|---|
| Multi-Faktor-Authentifizierung (MFA) aktiv | -5% bis -15% |
| Regelmässige Backups (getestet, offline) | -5% bis -10% |
| Endpoint Detection & Response (EDR) | -8% bis -15% |
| Security Awareness Training (jährlich) | -3% bis -8% |
| Patch-Management (< 30 Tage) | -5% bis -10% |
| Penetrationstest (letztes Jahr) | -5% bis -15% |
| Red Teaming durchgeführt | -10% bis -20% |
| ISO 27001 Zertifizierung | -10% bis -25% |
| SOC / Managed Security (MSSP) | -8% bis -18% |
| Incident Response Plan (dokumentiert) | -3% bis -8% |
Kumulierter Effekt: Unternehmen, die alle genannten Massnahmen nachweisen können, zahlen typischerweise 35–55% weniger Prämie als ungeschützte Unternehmen mit sonst gleichen Parametern.
Faktor 3: Schadenhistorie
| Schadenhistorie | Prämieneinfluss |
|---|---|
| Keine Schäden in den letzten 5 Jahren | Kein Zuschlag |
| 1 Schaden < CHF 50’000 | +10–20% |
| 1 Schaden CHF 50’000–250’000 | +20–40% |
| 1 Schaden > CHF 250’000 | +40–80% oder Kündigung |
| 2+ Schäden in 3 Jahren | Möglicherweise nicht mehr versicherbar |
Faktor 4: Datenvolumen und Datensensitivität
| Datenmenge und -typ | Prämienaufschlag |
|---|---|
| Wenige interne Daten, kein Kundendaten | Basispreis |
| Kundendaten (bis 10’000 Datensätze) | +10–20% |
| Kundendaten (10’000–100’000 Datensätze) | +20–35% |
| Besonders schützenswerte Daten (Gesundheit, Finanzen) | +25–45% |
| Zahlungsdaten (PCI DSS-relevant) | +20–40% |
«Cyber-Versicherungen sind kein Ersatz für Sicherheitsmassnahmen — sie sind die finanzielle Absicherung für den Fall, dass Sicherheitsmassnahmen versagen. Wer nichts tut und sich nur auf die Versicherung verlässt, wird zunehmend Schwierigkeiten haben, überhaupt Deckung zu erhalten.» — Claudia Meier, Leiterin Cyber Risk, Helvetia Versicherungen
Was deckt eine Cyber-Versicherung ab — und was nicht?
Typische Deckungsbausteine
| Deckungsbaustein | Enthalten in | Was ist gedeckt |
|---|---|---|
| Betriebsunterbrechung | Standard | Umsatzausfall während Systemausfall |
| Datenwiederherstellung | Standard | Kosten der Datenrekonstruktion |
| Krisenmanagement | Standard | PR, Kommunikation, Krisenberater |
| Benachrichtigungskosten | Standard | Pflicht-Meldungen an Betroffene (nDSG) |
| Forensik-Kosten | Standard | IT-Forensik zur Ursachenanalyse |
| Ransomware-Lösegeldzahlungen | Meist optional | Zahlung + Verhandlung (kontrovers) |
| Drittpartei-Haftpflicht | Standard | Schäden bei Kunden durch Datenleck |
| Reputationsschutz | Standard bis optional | Massnahmen gegen Reputationsschäden |
| Regulatorische Bussen | Teilweise | nDSG-Bussen (eingeschränkt) |
| Social Engineering / CEO Fraud | Optional | Betrug durch gefälschte E-Mails |
| Physischer Diebstahl | Standard | Gestohlene Hardware mit Daten |
| Lieferketten-Angriffe | Zunehmend | Supply-Chain-Kompromittierung |
Was ist typischerweise NICHT gedeckt
| Ausschluss | Begründung |
|---|---|
| Vorsatz oder grobe Fahrlässigkeit | Keine Versicherung für bewusstes Fehlverhalten |
| Bekannte, nicht gepatchte Schwachstellen | Unterlassene Sicherheitspflicht |
| Krieg und staatliche Angreifer | War-Exclusion (umstrittenes Thema) |
| Infrastruktur-Eigenleistung (intern gebaut) | Oft ausgeschlossen |
| Fehlende Basismassnahmen (kein MFA) | Obliegenheitsverletzung |
| Ältere Vorfälle vor Versicherungsbeginn | Keine rückwirkende Deckung |
Warnung: Versicherungen kürzen oder verweigern Leistungen zunehmend, wenn Unternehmen grundlegende Sicherheitsmassnahmen (MFA, Backups, Patching) nachweislich nicht umgesetzt haben. Dokumentieren Sie alle Massnahmen sorgfältig.
Welche Versicherer bieten Cyber-Versicherungen in der Schweiz an?
| Versicherer | Marktstellung | Stärken | Geeignet für |
|---|---|---|---|
| Zurich Insurance | Marktführer CH | Breite KMU-Lösungen, starkes Netzwerk | KMU aller Branchen |
| AXA Schweiz | Gross | Einfacher Einstieg, digitale Policen | Kleine KMU |
| Helvetia | Gross | Schweizer Expertise, individuell | KMU Mittelstand |
| Swiss Re / Partner-Versicherer | Rückversicherer | Kapazität für Grossrisiken | Grossunternehmen |
| Allianz Schweiz | Gross | International, DACH-Expertise | Mittelstand, international |
| HDI Global | Mittel | Industrie-Fokus, Produktionsunternehmen | Industrie, OT |
| Chubb | Mittel | Premium-Segment, grosse Deckungen | Grossunternehmen |
| Hiscox | Mittel | KMU-Spezialist, einfache Policen | Kleine KMU, Startups |
| Baloise | Mittel | Schweizer KMU-Fokus | KMU in der Deutschschweiz |
Hinweis: Die Qualität der Leistungen und der Claims-Bearbeitung unterscheidet sich erheblich. Lesen Sie Vertragsbedingungen sorgfältig und konsultieren Sie einen unabhängigen Versicherungsbroker.
Wie beeinflusst der Sicherheitsreifegrad die Prämie konkret?
Prämienvergleich: Gleiches KMU, unterschiedliche Sicherheitsreifegrade
Beispiel: KMU, Finanzdienstleistung, 50 Mitarbeitende, CHF 15 Mio. Jahresumsatz, Deckung CHF 5 Mio.
| Sicherheitsstufe | Implementierte Massnahmen | Jahresprämie (CHF) | Einsparung |
|---|---|---|---|
| Keine Massnahmen | Nichts nachgewiesen | 18’000 – 22’000 | — |
| Basis | MFA + Backups | 14’000 – 17’000 | -20% |
| Standard | + EDR + Patching + Schulungen | 11’000 – 13’500 | -38% |
| Gut | + ISO 27001 + jährlicher Pentest | 9’000 – 11’000 | -50% |
| Sehr gut | + MSSP / SOC + Red Teaming | 7’500 – 9’500 | -57% |
| Exzellent | Alle Massnahmen + kontinuierliches Testing | 7’000 – 8’500 | -62% |
Die Erkenntnis: Ein Red Teaming Engagement ab CHF 11’900 kann bei einem mittleren KMU eine jährliche Prämienersparnis von CHF 3’000–8’000 generieren — und amortisiert sich damit innerhalb von 1–4 Jahren, zusätzlich zum Sicherheitsgewinn.
«Wir sehen einen klaren Trend: Versicherte, die uns nachweisbare offensive Sicherheitstests vorweisen können — also Penetrationstests und Red Teaming — erhalten nicht nur günstigere Prämien, sondern erfahren auch deutlich seltenere Leistungsfälle. Das ist kein Zufall.» — Andreas Kuhn, Underwriter Cyber Risk, Zurich Insurance Group
Was kostet ein Cyberangriff ohne Versicherung?
Um den ROI einer Cyber-Versicherung zu verstehen, muss man die typischen Schadenkosten kennen.
Durchschnittliche Schadenskosten nach Angriffstyp (Schweizer KMU)
| Angriffstyp | Häufigkeit | Durchschnittlicher Schaden (CHF) | Maximaler Schaden (CHF) |
|---|---|---|---|
| Ransomware | 31% | 180’000 – 450’000 | 5’000’000+ |
| Datenverlust / -diebstahl | 24% | 120’000 – 380’000 | 2’000’000+ |
| Business Email Compromise | 19% | 45’000 – 200’000 | 1’000’000+ |
| Phishing-Folgeschäden | 14% | 30’000 – 120’000 | 500’000+ |
| DDoS / Betriebsunterbrechung | 8% | 15’000 – 80’000 | 300’000+ |
| Sonstiges | 4% | 10’000 – 50’000 | 200’000+ |
Quelle: Swiss Insurance Monitor 2025, NCSC-Daten, eigene Schätzungen
Schadenkostenkomponenten im Detail
| Kostenkomponente | Anteil am Gesamtschaden |
|---|---|
| IT-Forensik und Incident Response | 15–25% |
| Systemwiederherstellung und Recovery | 20–30% |
| Betriebsunterbrechung | 20–35% |
| Benachrichtigung Betroffener (nDSG) | 5–10% |
| Rechtskosten und regulatorische Bussen | 10–20% |
| Reputationsschaden / Kundenverluste | 15–30% |
| PR und Krisenmanagement | 3–8% |
nDSG und Cyber-Versicherung: Was Schweizer KMU wissen müssen
Das neue Datenschutzgesetz (nDSG), seit September 2023 in Kraft, hat die Relevanz von Cyber-Versicherungen erhöht:
| nDSG-Anforderung | Versicherungsrelevanz |
|---|---|
| Meldepflicht bei Datenpannen (72h) | Versicherung deckt oft Meldekosten und NCSC-Kommunikation |
| Angemessene technische Schutzmassnahmen | Fehlen diese, kann Versicherungsschutz entfallen |
| Auskunftsrecht Betroffener | Forensik-Kosten zur Datenidentifikation gedeckt |
| Regulatorische Bussen (bis CHF 250’000) | Teilweise gedeckt — abhängig von Polizze |
| Haftung gegenüber Betroffenen | Drittpartei-Haftpflichtkomponente deckt dies |
Wichtig: Viele Cyber-Policen decken nDSG-Bussen nur eingeschränkt ab. Prüfen Sie den Wortlaut sorgfältig.
Wie beantrage ich eine Cyber-Versicherung? Der Prozess im Überblick
Typische Fragen im Versicherungsantrag
Versicherer stellen zunehmend detaillierte Fragen zum Sicherheitsniveau. Vorbereitung zahlt sich aus:
| Fragekategorie | Typische Fragen | Empfohlene Vorbereitung |
|---|---|---|
| Technische Massnahmen | MFA aktiv? EDR vorhanden? Backup-Rhythmus? | Dokumentation aller Massnahmen |
| Organisatorische Massnahmen | Security-Richtlinien? Schulungen? | Policies und Schulungsnachweise |
| Incident Response | IR-Plan vorhanden? Letzter Test? | Dokumentiertes IR-Playbook |
| Drittpartei-Risiken | Cloud-Provider? Software-Lieferkette? | Vendor-Risk-Assessment |
| Compliance | ISO 27001? nDSG-Compliance? | Zertifikate und Nachweise |
| Tests | Letzter Pentest? Red Teaming? | Prüfberichte der letzten 12 Monate |
Typischer Antragsprozess
| Schritt | Dauer | Beschreibung |
|---|---|---|
| 1. Risikoerhebung | 1–2 Wochen | Fragebogen ausfüllen, Nachweise sammeln |
| 2. Angebotserstellung | 1–3 Wochen | Versicherer analysiert Risikoprofil |
| 3. Verhandlung | 1–2 Wochen | Prämien, Selbstbehalt, Deckungsumfang |
| 4. Policen-Ausstellung | 1 Woche | Nach Einigung und Zahlung |
Cyber-Versicherung + Red Teaming: Doppelter Schutz, maximale Einsparung
Eine Cyber-Versicherung schützt Sie finanziell, wenn ein Angriff erfolgreich ist. Red Teaming verhindert, dass Angriffe überhaupt erfolgreich sind — und senkt gleichzeitig Ihre Prämie.
| Massnahme | Kosten (CHF) | Primärer Nutzen | Sekundärer Nutzen |
|---|---|---|---|
| Cyber-Versicherung | 3’000–12’000/Jahr | Finanzielle Absicherung | Pflicht-Services im Schadensfall |
| Penetrationstest | 8’000–25’000/Jahr | Schwachstellen finden | Prämienreduktion 5–15% |
| Red Teaming | ab CHF 11’900 | Angriffspfade schliessen | Prämienreduktion 10–20% |
| MSSP / SOC | 5’000–12’000/Monat | 24/7-Schutz | Prämienreduktion 8–18% |
Die ideale Strategie: Kombinieren Sie eine Cyber-Versicherung mit proaktiven Sicherheitstest-Massnahmen. Red Teaming ab CHF 11’900 ist dabei die wirksamste Einzelmassnahme zur gleichzeitigen Risikoreduktion und Prämieneinsparung.
Für einen vollständigen Überblick über Ihre Sicherheitsinvestitionen empfehlen wir unseren Vergleich Red Teaming vs. Penetrationstest sowie die Penetrationstest-Kosten Schweiz.
Fazit: Cyber-Versicherung ist notwendig — aber kein Ersatz für Sicherheit
Eine Cyber-Versicherung kostet Schweizer KMU CHF 1’500–12’000 pro Jahr und ist eine unverzichtbare Absicherung in der heutigen Bedrohungslandschaft. Sie schützt vor den finanziellen Folgen erfolgreicher Angriffe — verhindert aber keinen einzigen Angriff.
Die wichtigsten Empfehlungen:
- Deckungssumme realistisch wählen: Unterschätzen Sie die potenziellen Schadenkosten nicht. CHF 500’000 Deckung ist für die meisten KMU zu wenig.
- Sicherheitsmassnahmen dokumentieren: Jede nachgewiesene Massnahme reduziert Ihre Prämie. Führen Sie ein Sicherheits-Logbuch.
- Vertragsbedingungen lesen: Ausschlüsse und Obliegenheiten verstehen, bevor der Schadensfall eintritt.
- Broker konsultieren: Unabhängige Versicherungsbroker mit Cyber-Expertise finden bessere Konditionen.
- Proaktiv investieren: Red Teaming und regelmässige Penetrationstests senken sowohl Prämien als auch reales Risiko.
Der wirksamste Schutz kombiniert finanzielle Absicherung durch eine Cyber-Versicherung mit technischer Absicherung durch proaktive Sicherheitstests. Starten Sie mit unserer Cybersecurity-Checkliste für KMU und erfahren Sie mit einem Red Teaming Engagement ab CHF 11’900, wie resilient Ihr Unternehmen wirklich ist.
Dieser Artikel wurde am 1. März 2026 veröffentlicht. Prämienangaben sind Richtwerte und können je nach Versicherer, Branche und individuellem Risikoprofil erheblich abweichen. Konsultieren Sie für ein verbindliches Angebot einen spezialisierten Versicherungsbroker.