Der SecureIT Blog
Zurück zur Übersicht

Cyber-Versicherung für Schweizer KMU: Was Sie wissen müssen, bevor Sie abschliessen

Marc Sumi 05.09.2025

Warum Cyber-Versicherungen ein Thema für KMU sind

Cyberangriffe treffen Schweizer KMU mit zunehmender Häufigkeit und Härte. Ein Ransomware-Angriff kann ein kleines Unternehmen schnell mit Kosten von CHF 50'000 bis 500'000 konfrontieren – für Betriebsunterbruch, Datenwiederherstellung, forensische Analyse, Rechtsberatung und Reputationsschäden. Viele Unternehmen können einen solchen Schaden nicht aus eigener Kraft tragen.

Eine Cyber-Versicherung soll genau dieses Risiko abfedern. Doch das Thema ist komplex: Nicht jede Police deckt dasselbe ab, die Anforderungen der Versicherer sind streng, und eine Versicherung ersetzt keine Sicherheitsmassnahmen. In diesem Artikel klären wir, was Schweizer KMU über Cyber-Versicherungen wissen müssen.

Was deckt eine Cyber-Versicherung ab?

Die meisten Cyber-Versicherungen in der Schweiz decken folgende Bereiche ab:
  • Betriebsunterbruch: Entgangener Umsatz während der Ausfallzeit nach einem Cyberangriff.
  • Datenwiederherstellung: Kosten für die Wiederherstellung verlorener oder verschlüsselter Daten.
  • Forensische Analyse: Beauftragung von IT-Sicherheitsexperten zur Untersuchung des Vorfalls.
  • Rechtsberatung und Haftpflicht: Anwaltskosten, Bussen und Schadenersatzforderungen bei Datenschutzverletzungen.
  • Krisenmanagement: PR-Beratung und Kommunikation nach einem Vorfall.
  • Benachrichtigungskosten: Kosten für die gesetzlich vorgeschriebene Benachrichtigung betroffener Personen.

Was wird typischerweise NICHT abgedeckt?

Hier lauern die grössten Missverständnisse:
  • Lösegeldzahlungen: Manche Policen decken Lösegeldzahlungen ab, viele schliessen sie jedoch explizit aus. Zudem raten Behörden und Sicherheitsexperten von Zahlungen ab.
  • Vorsätzliches Handeln: Schäden durch fahrlässiges oder vorsätzliches Verhalten von Mitarbeitenden werden oft nicht gedeckt.
  • Bekannte Schwachstellen: Wenn der Angriff über eine bekannte, nicht gepatchte Schwachstelle erfolgte, kann der Versicherer die Leistung verweigern.
  • Reputationsschäden langfristig: Kurzfristige PR-Kosten ja, aber langfristiger Kundenverlust wird selten gedeckt.
  • Krieg und staatliche Angriffe: Die meisten Policen schliessen «Cyberwar» und staatlich gesponserte Angriffe aus – eine zunehmend problematische Klausel.

Was Versicherer von Ihnen verlangen

Bevor ein Versicherer eine Cyber-Police ausstellt, prüft er Ihre IT-Sicherheitslage. Typische Mindestanforderungen sind:
  1. Multi-Faktor-Authentifizierung (MFA): Für alle Remote-Zugänge, Admin-Konten und Cloud-Dienste.
  2. Regelmässige Backups: Nach der 3-2-1-Regel, mit mindestens einer Offline-Kopie.
  3. Patch-Management: Kritische Sicherheitsupdates müssen zeitnah eingespielt werden.
  4. Endpoint Protection: Aktuelle Antiviren- oder EDR-Lösung auf allen Geräten.
  5. Mitarbeiterschulung: Nachweisbare Awareness-Massnahmen, z. B. Phishing-Simulationen.
  6. Incident-Response-Plan: Ein dokumentierter Plan für den Umgang mit Sicherheitsvorfällen.
Unternehmen, die diese Anforderungen nicht erfüllen, erhalten entweder keine Police, zahlen deutlich höhere Prämien oder riskieren im Schadensfall eine Leistungsverweigerung.

Was kostet eine Cyber-Versicherung?

Die Kosten variieren stark je nach Unternehmensgrösse, Branche und Sicherheitsniveau:
  • Kleinstunternehmen (1–10 MA): CHF 500 bis 2'000 pro Jahr
  • Kleine KMU (10–50 MA): CHF 2'000 bis 8'000 pro Jahr
  • Mittlere KMU (50–250 MA): CHF 8'000 bis 30'000 pro Jahr
Die Deckungssumme liegt typischerweise zwischen CHF 250'000 und CHF 5 Millionen. Wichtig: Günstigere Prämien bedeuten oft höhere Selbstbehalte oder eingeschränkte Deckung – lesen Sie das Kleingedruckte.

Cyber-Versicherung vs. Prävention: Ein falsches Entweder-Oder

Eine Cyber-Versicherung ist kein Ersatz für IT-Sicherheit – sie ist eine Ergänzung. Denken Sie an eine Analogie: Eine Gebäudeversicherung ersetzt nicht den Rauchmelder und den Feuerlöscher. Genauso wenig ersetzt eine Cyber-Police Firewalls, MFA und Mitarbeiterschulungen.

Tatsächlich verstärken sich Versicherung und Prävention gegenseitig:
  • Bessere Sicherheitsmassnahmen führen zu niedrigeren Prämien
  • Der Versicherungsprozess zwingt Unternehmen, ihre Sicherheitslage ehrlich zu bewerten
  • Im Schadensfall greifen die Präventionsmassnahmen als Schadensbegrenzung

Checkliste: Ist Ihr KMU bereit für eine Cyber-Versicherung?

Prüfen Sie vor dem Abschluss, ob Sie folgende Punkte erfüllen:
  • ☐ MFA für alle kritischen Systeme aktiviert
  • ☐ Regelmässige, getestete Backups (inkl. Offline-Kopie)
  • ☐ Patch-Management-Prozess etabliert
  • ☐ EDR/Antivirus auf allen Endgeräten
  • ☐ Mitarbeitende in Phishing-Erkennung geschult
  • ☐ Incident-Response-Plan dokumentiert
  • ☐ Zugriffsrechte nach dem Prinzip der minimalen Berechtigung vergeben
  • ☐ Netzwerk-Segmentierung umgesetzt
Je mehr Punkte Sie abhaken können, desto besser Ihre Verhandlungsposition – und desto geringer Ihr tatsächliches Risiko.

Fazit

Eine Cyber-Versicherung kann für Schweizer KMU eine sinnvolle Absicherung sein – vorausgesetzt, die Grundlagen der IT-Sicherheit sind bereits vorhanden. Sie schützt vor den finanziellen Folgen eines Angriffs, ersetzt aber keine aktive Prävention. Prüfen Sie Ihre Sicherheitslage, vergleichen Sie Angebote sorgfältig und achten Sie besonders auf Ausschlussklauseln.

SecureIT unterstützt Sie bei der Vorbereitung auf eine Cyber-Versicherung – mit Penetrationstests zur Schwachstellenanalyse, Phishing-Schulungen für Ihre Mitarbeitenden und umfassender Cybersecurity-Beratung. Erfahren Sie auch, was die neue Meldepflicht für Cyberangriffe für Ihr Unternehmen bedeutet.
Webdesign © 2026 SecureIT Swiss
Datenschutz | AGB's