Cyber-Versicherungen gehören zu den am schnellsten wachsenden Segmenten im Versicherungsmarkt. Swiss Re schätzt das globale Prämienvolumen für 2025 auf über 14 Milliarden US-Dollar. Für Schweizer KMU stellt sich die Frage: Lohnt sich eine Cyber-Police – und was steckt tatsächlich dahinter?
Was Cyber-Versicherungen abdecken
Die meisten Cyber-Policen decken die direkten Folgen eines Sicherheitsvorfalls ab. Die konkreten Leistungen variieren je nach Anbieter und Tarif, aber der Kern ist bei den meisten Produkten ähnlich.
- Incident Response und Forensik: Kosten für die Untersuchung des Vorfalls, Identifikation der Angriffsvektoren und Eindämmung des Schadens. Viele Versicherer arbeiten mit festen IR-Dienstleistern zusammen.
- Betriebsunterbrechung: Entgangener Umsatz während der Ausfallzeit – oft der grösste Einzelposten bei Ransomware-Angriffen.
- Datenwiederherstellung: Kosten für die Wiederherstellung von Systemen und Daten aus Backups oder durch Neuaufbau.
- Rechtskosten und Bussen: Anwaltskosten, regulatorische Verfahren und allfällige Bussen nach DSGVO oder dem Schweizer nDSG.
- Benachrichtigungskosten: Das nDSG verlangt die Meldung an den EDÖB bei Verletzungen der Datensicherheit. Bei tausenden betroffenen Kunden summiert sich das.
- Lösegeldzahlungen: Zunehmend umstritten. Einige Versicherer wie AXA France haben Ransomware-Zahlungen zeitweise aus dem Deckungsumfang genommen. Der Trend geht in Richtung Einschränkung.
- Krisenkommunikation: PR-Beratung und Kundenkommunikation nach einem Vorfall.
Was nicht gedeckt ist
Die Ausschlüsse sind mindestens so wichtig wie die Deckung. Hier scheitern viele Schadensmeldungen.
- Bekannte Schwachstellen: Wer eine kritische Sicherheitslücke monatelang ignoriert und dann angegriffen wird, hat ein Problem. Versicherer prüfen, ob zum Zeitpunkt des Angriffs ein Patch verfügbar war.
- Krieg und staatliche Angriffe: Seit 2023 verlangen Lloyd’s of London explizite Kriegsausschlussklauseln in allen Cyber-Policen. NotPetya 2017 führte zu Rechtsstreitigkeiten in Milliardenhöhe genau wegen dieser Frage.
- Mangelnde Grundsicherheit: Wer die vertraglich vereinbarten Sicherheitsmassnahmen nicht einhält, riskiert die Leistungsverweigerung.
- Langfristiger Reputationsschaden: Der Kundenverlust über Monate und Jahre nach einem Breach ist nicht versicherbar.
- Verbesserungskosten: Die Kosten für den Ausbau der Sicherheit nach einem Vorfall – neue Firewalls, bessere Segmentierung – sind keine Versicherungsleistung.
- Diebstahl geistigen Eigentums: Der Wert gestohlener Geschäftsgeheimnisse oder Konstruktionspläne ist schwer bezifferbar und meist ausgeschlossen.
Was Versicherer vor Vertragsabschluss verlangen
Die Zeiten, in denen ein Fragebogen mit zehn Fragen für eine Cyber-Police reichte, sind vorbei. Versicherer haben aus den Schäden der letzten Jahre gelernt und stellen heute konkrete technische Anforderungen.
- Multi-Faktor-Authentifizierung (MFA): Pflicht für alle Remote-Zugänge, VPN, E-Mail und Admin-Konten. Ohne MFA gibt es bei den meisten Anbietern keine Police mehr.
- Backups: Regelmässig, getestet, offline oder unveränderbar (immutable). Ein Backup, das bei Ransomware mitverschlüsselt wird, ist wertlos.
- Endpoint Detection and Response (EDR): Klassischer Antivirus reicht nicht mehr. Versicherer verlangen moderne EDR-Lösungen auf allen Endgeräten und Servern.
- Patch-Management: Dokumentierter Prozess für die zeitnahe Installation von Sicherheitsupdates. Kritische Patches innerhalb von 14 Tagen.
- Security Awareness Training: Nachweisbare Mitarbeiterschulungen, idealerweise mit Phishing-Simulationen.
- Incident Response Plan: Ein dokumentierter Notfallplan, der regelmässig geübt wird.
- Penetration Testing: Immer mehr Versicherer verlangen regelmässige Pentests als Voraussetzung – oder gewähren bei nachgewiesenen Tests Prämienrabatte.
Das Paradox der Cyber-Versicherung
Hier liegt eine gewisse Ironie: Ein Unternehmen, das alle Anforderungen der Versicherer konsequent umsetzt – MFA, EDR, Backups, Patching, Schulungen, Pentests – hat sein Risiko bereits massiv reduziert. Die Wahrscheinlichkeit eines erfolgreichen Angriffs sinkt deutlich. Trotzdem bleibt eine Cyber-Versicherung sinnvoll: Auch bei guter Sicherheit gibt es keine hundertprozentige Garantie, und die finanziellen Folgen eines Vorfalls können existenzbedrohend sein.
Schweizer Kontext
Der Schweizerische Versicherungsverband (SVV) hat Richtlinien für Cyber-Versicherungen publiziert, die als Orientierung für den Schweizer Markt dienen. Die FINMA beaufsichtigt die Versicherer und achtet zunehmend auf die Risikomodellierung im Cyber-Bereich. Mit dem revidierten Datenschutzgesetz (nDSG), in Kraft seit September 2023, sind die Meldepflichten strenger geworden – ein weiterer Grund, warum Cyber-Versicherungen für KMU relevanter werden.
Entscheidend ist die Perspektive: Eine Cyber-Versicherung ist ein Sicherheitsnetz, kein Ersatz für Sicherheit. Wer auf die Police vertraut, aber die Grundlagen vernachlässigt, wird im Schadenfall eine unangenehme Überraschung erleben.
Wie Zerberos unterstützt
Viele der technischen Anforderungen, die Versicherer stellen, lassen sich durch gezielte Sicherheitsmassnahmen erfüllen. Zerberos führt Penetration Tests und Sicherheitsaudits durch, die nicht nur Schwachstellen aufdecken, sondern auch als Nachweis gegenüber Versicherern dienen. Zahlreiche Anbieter gewähren Prämienrabatte für Unternehmen, die regelmässige Pentests vorweisen können. Unsere Risk Assessments helfen zudem, die eigene Sicherheitslage realistisch einzuschätzen – eine Voraussetzung für die richtige Versicherungsentscheidung.
Kontaktieren Sie uns für eine unverbindliche Beratung.
Quellen
- Swiss Re Institute – Cyber Insurance: Strengthening Resilience (2024)
- Munich Re – Cyber Insurance: Risks and Trends (2024)
- Lloyd’s Market Association – Cyber War and Cyber Operation Exclusions (2023)
- Schweizerischer Versicherungsverband (SVV) – Cyber-Versicherung Richtlinien
- FINMA – Aufsichtsmitteilungen zur Cyber-Resilienz
- EDÖB – Neues Datenschutzgesetz (nDSG), in Kraft seit 1. September 2023