Cyber-Versicherung: Anforderungen erklärt

Q: Was deckt eine Cyber-Versicherung ab?

Was Cyber-Versicherungen abdecken, welche Mindestanforderungen Versicherer stellen, Kosten im Schweizer Markt und wann sich der Abschluss lohnt. Im Abschnitt "Was deckt eine Cyber-Versicherung ab?" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Q: Wann sich eine Cyber-Versicherung lohnt

Was Cyber-Versicherungen abdecken, welche Mindestanforderungen Versicherer stellen, Kosten im Schweizer Markt und wann sich der Abschluss lohnt. Im Abschnitt "Wann sich eine Cyber-Versicherung lohnt" erläutern wir die wichtigsten Aspekte für IT- und Tech-Dienstleistungen in der Schweiz. Der vollständige Leitfaden bietet detaillierte Informationen zu Kosten, Qualitätskriterien und Auswahlprozessen.

Nach einem Cyberangriff auf einen Winterthurer Handwerksbetrieb übernahm die Cyber-Versicherung CHF 180’000 an Schäden. Ohne Police wäre der Betrieb kaum zahlungsfähig geblieben. Eine Cyber-Versicherung kostet KMU mit 10 bis 50 Mitarbeitenden typischerweise CHF 5’000 bis 15’000 pro Jahr.

Was deckt eine Cyber-Versicherung ab?

Eigenschäden (First-Party Coverage)

Betriebsunterbrechung: Umsatzausfälle durch IT-Ausfälle nach Cyberangriff. Wartezeit oft 8-24 Stunden, Deckungsdauer meist 30-90 Tage.

Datenwiederherstellung: Kosten für Forensik, Backup-Wiederherstellung und Rekonstruktion verlorener Daten.

Cyber-Erpressung (Ransomware): Lösegeldzahlungen und Verhandlungskosten. Vorabgenehmigung oft erforderlich.

IT-Forensik und Incident Response: Externe Spezialisten, Malware-Analyse, Bereinigung. Versicherer verlangen oft vorgegebene Panel-Dienstleister.

Rechtskosten: Anwaltskosten für Datenschutzrecht, Vertragshaftung, Behördenkommunikation.

Benachrichtigung Betroffener: Kosten für Information von Kunden/Mitarbeitenden nach Datenleck (bei grossen Lecks CHF 50’000-200’000).

PR und Krisenkommunikation: Oft nur Teildeckung oder Sub-Limit.

Drittschäden (Third-Party Coverage)

Haftpflicht für Datenschutzverletzungen: Schadenersatz, Anwalts- und Gerichtskosten
Haftpflicht für Datenübermittlung: Schäden durch Übermittlung von Viren an Dritte
Regulatorische Untersuchungen und Bussen: Kosten für Behördenuntersuchungen (ob Bussen versichert sind, ist in der Schweiz umstritten)

Zusatzleistungen

Viele Versicherer bieten präventive Leistungen: 24/7-Hotline, Präventionsberatung, Vulnerability-Scans, Security-Awareness-Training und Krisenplanung.

Mindestanforderungen der Versicherer

Ohne technische Grundsicherung erhalten Sie in der Schweiz keine Cyber-Police mehr. Der EDÖB verweist darauf, dass die Anforderungen der Versicherer weitgehend mit den Pflichten aus Art. 8 revDSG übereinstimmen.

Technische Mindestanforderungen

MFA (Pflicht): Für alle Remote-Zugänge. Verhindert gemäss Microsoft-Daten 99,9% der automatisierten Angriffe. Ohne MFA lehnen die meisten Versicherer ab.

Backup-Strategie (Pflicht): 3-2-1-Regel (3 Kopien, 2 Medien, 1 offline/offsite). Offline-Backups unverzichtbar gegen Ransomware. Regelmässige Wiederherstellungstests.

Endpoint Protection (Pflicht): Aktuelle Antivirensoftware oder EDR. Zentrale Verwaltung aller Endpunkte.

Patch-Management (Pflicht): Sicherheitspatches innerhalb 30 Tagen. Dokumentation des Patch-Status.

E-Mail-Sicherheit (Pflicht): Spam-/Phishing-Filter, DMARC, SPF, DKIM implementieren.

Privilegierte Konten (Pflicht): Administratorkonten nicht für tägliche Arbeit nutzen. Starke, eindeutige Passwörter.

Netzwerksegmentierung (Empfohlen): Trennung von Produktions- und Verwaltungsnetzwerken.

Organisatorische Mindestanforderungen

Incident-Response-Plan (oft gefordert)
Security Awareness Training (jährlich empfohlen)
Klare Zugangskontrollen und Offboarding-Prozesse

Was Versicherer prüfen

Fragebogen: 30-100 Fragen zu IT-Infrastruktur und Sicherheitsmassnahmen. Wahrheitsgemässe Beantwortung entscheidend (Obliegenheit!).

Externe Scans: Öffentlich erreichbare Systeme werden auf Schwachstellen geprüft.

Red Flags: Keine MFA, unverschlüsselte Remote-Zugänge, keine Offline-Backups, veraltete Betriebssysteme, Vorfallhistorie.

Kosten im Schweizer Markt

Richtwerte für Schweizer KMU

| Unternehmensgrösse | Umsatz | Deckungssumme | Jährliche Prämie | |. , : . , : . , : . |, : . , |: . , : . , : -|. , : . , : . ---| | Mikro (1-10 MA) | CHF 500’000 | CHF 250’000 | CHF 2’000-5’000 | | Klein (10-50 MA) | CHF 5 Mio. | CHF 1 Mio. | CHF 5’000-15’000 | | Mittel (50-250 MA) | CHF 50 Mio. | CHF 5 Mio. | CHF 20’000-80’000 | | Gross (250+ MA) | CHF 500 Mio. | CHF 10 Mio.+ | CHF 100’000-500’000+ |

Selbstbehalt

Typisch: CHF 5’000-25’000 pro Schadensfall
Höherer Selbstbehalt = 10-20% Prämienersparnis
Wartezeit bei Betriebsunterbrechung: zusätzlich 8-48 Stunden

Kosten-Nutzen-Beispiel

KMU mit 50 MA, CHF 5 Mio. Umsatz: Prämie CHF 8’000/Jahr + Selbstbehalt CHF 10’000 = CHF 18’000 Eigenbelastung pro Vorfall. Ohne Versicherung: CHF 150’000 volle Eigenbelastung. Break-Even bei einem Vorfall alle 8-10 Jahre.

Der Schadensablauf

Sofortmeldung: Innerhalb 24-72 Stunden über Notfall-Hotline. Verspätete Meldung kann Leistungskürzung bedeuten.
Ersteinschätzung: Versicherer prüft Deckung und koordiniert Panel-Dienstleister.
Schadensbegrenzung: Forensik-Team analysiert, dämmt ein und bereinigt. Rechnungen werden direkt vom Versicherer beglichen.
Schadensregulierung: Einfache Fälle 4-8 Wochen, komplexe 3-6 Monate.

Typische Ablehnungsgründe

Obliegenheitsverletzung: Sicherheitsanforderungen nicht eingehalten (z.B. keine MFA trotz Zusage)
Vorschaden: Angriff begann vor Versicherungsbeginn
Vorsatz oder grobe Fahrlässigkeit: Bewusste Missachtung von Standards
Cyber-War-Klausel: Angriffe durch Nationalstaaten oft ausgeschlossen
Nicht versicherte Ereignisse: Hardware-Defekte, Bedienfehler

Wann sich eine Cyber-Versicherung lohnt

Lohnt sich, wenn: Viele Personendaten verarbeitet werden, Geschäft IT-abhängig ist, kritische Infrastruktur betrieben wird, B2B-Dienstleister, Compliance-Anforderungen bestehen, keine grosse IT-Abteilung vorhanden.

Lohnt sich weniger, wenn: Reines Offline-Geschäft, sehr hohe eigene Sicherheitsstandards, Einzelunternehmen mit minimaler IT, Mindestanforderungen nicht erfüllbar, umfassende Betriebshaftpflicht bereits vorhanden.

Best Practices für den Versicherungsabschluss

Vergleichen: Mindestens 3 Angebote einholen (AXA, Zurich, Allianz, Baloise, Chubb, AIG, Hiscox). Deckungsumfang ist wichtiger als Preis.
Versicherungsmakler nutzen: Marktkenntnisse, Verhandlungsmacht, für Sie meist kostenlos.
Fragebogen wahrheitsgemäss beantworten: Falsche Angaben führen zu Leistungsfreiheit.
Sicherheit vor Abschluss verbessern: MFA, Offline-Backups, Pentest. 3-6 Monate vorher beginnen. Ein professioneller Penetrationstest durch spezialisierte Anbieter wie RedTeam Partners kann dabei helfen, die Anforderungen der Versicherer nachweislich zu erfüllen und bessere Konditionen zu verhandeln.
Kleingedrucktes lesen: Meldepflichten, Obliegenheiten, Sub-Limits, Ausschlüsse prüfen.
Regelmässige Reviews: Jährlich Deckungssumme und neue Risiken überprüfen.

Häufige Ausschlüsse

Krieg und Terrorismus (Cyber-War-Klausel verschärft sich)
Vorschäden und bekannte Schwachstellen
Verlust von Kryptowährungen
Veraltete Systeme (Sunset-Klausel, 12 Monate nach Support-Ende)
Physische Schäden durch Cyberangriffe.
Intellectual Property Loss

Über diesen Ratgeber

Cybersecurity-Partner auf Alpine Excellence finden

Dieser Ratgeber wurde von der Alpine Excellence Redaktion unter Mitwirkung von KI-gestützten Tools erstellt. Die Inhalte basieren auf öffentlich verfügbaren Informationen über den Schweizer Cyber-Versicherungsmarkt, Branchenstandards und rechtlichen Rahmenbedingungen. Der Leitfaden ersetzt keine individuelle Versicherungs- oder Rechtsberatung.