Cyberversicherung für KMU in der Schweiz: Was sie wirklich verlangt

Warum eine Police allein nicht schützt – und welche IT-Sicherheits-Voraussetzungen Versicherer heute fordern, damit im Schadenfall wirklich gezahlt wird.

Kurz gesagt

Eine Cyberversicherung ist für Schweizer KMU sinnvoll – aber sie ersetzt keine IT-Sicherheit, sondern setzt sie voraus. Versicherer verlangen heute zunehmend konkrete technische Mindeststandards (Mehr-Faktor-Authentifizierung, getestete Backups, aktuelle Software, Mitarbeiterschulung), bevor sie eine Police ausstellen – und prüfen im Schadenfall genau, ob diese eingehalten wurden. Wer die Anforderungen nicht erfüllt, riskiert, dass die Versicherung die Zahlung kürzt oder verweigert. Compu-Trade ist nicht Ihr Versicherungsmakler, sondern Ihr IT-Partner, der Ihr Unternehmen überhaupt erst versicherbar macht und im Ernstfall den geforderten Nachweis liefern kann.

Auf einen Blick:

•       Was eine Cyberversicherung abdeckt: Schützt vor finanziellen Folgen von Cyberangriffen (Betriebsunterbruch, Datenwiederherstellung, Haftung, Erpressung)

•       Typische Voraussetzungen: MFA, getestete Backups, aktuelle Software, Firewall, Mitarbeiterschulung – je nach Versicherer

•       Wichtigste Gefahr: Im Schadenfall prüft der Versicherer, ob die zugesicherten Massnahmen wirklich umgesetzt waren

•       Rolle von Compu-Trade: Wir sorgen dafür, dass Ihre IT die Versicherungs-Anforderungen erfüllt und dokumentiert ist

•       Faustregel: Erst die IT-Sicherheit, dann die Police – nicht umgekehrt

Warum Cyberversicherungen für KMU immer wichtiger werden

Cyberangriffe treffen längst nicht mehr nur Grosskonzerne. Im Gegenteil: Kleine und mittlere Unternehmen sind ein bevorzugtes Ziel, weil sie oft schlechter geschützt sind als Grossfirmen, aber trotzdem über wertvolle Daten und funktionierende Zahlungsflüsse verfügen. Ein einziger Ransomware-Angriff kann ein KMU für Tage lahmlegen und Kosten zwischen mehreren tausend und mehreren hunderttausend Franken verursachen – von Betriebsunterbruch über Datenwiederherstellung bis zu möglichen Haftungsansprüchen Dritter.

Eine Cyberversicherung deckt typischerweise: die Kosten der Datenwiederherstellung, den finanziellen Schaden durch Betriebsunterbruch, Ausgaben für IT-Forensik und Krisenkommunikation, Haftpflichtansprüche von Kunden oder Partnern, deren Daten betroffen sind, sowie in vielen Fällen auch Lösegeldzahlungen und die damit verbundene Verhandlungsunterstützung. Das ist ein sinnvoller Schutz – mit einer entscheidenden Bedingung.

Die entscheidende Bedingung: Versicherer verlangen IT-Mindeststandards

Hier liegt der Punkt, den viele KMU unterschätzen: Eine Cyberversicherung ist kein Ersatz für IT-Sicherheit, sondern setzt sie voraus. In den letzten Jahren haben Versicherer ihre Anforderungen deutlich verschärft, weil die Zahl und Schwere der Cybervorfälle stark gestiegen ist. Wer heute eine Cyberpolice abschliessen will, muss in der Regel einen Fragebogen ausfüllen oder ein Self-Assessment zur eigenen IT-Sicherheit machen.

Typische Mindestanforderungen, die Versicherer heute verlangen:

1. Mehr-Faktor-Authentifizierung (MFA)

Für E-Mail, Fernzugriffe (VPN, Remote Desktop) und kritische Systeme. MFA ist heute fast überall Pflicht-Voraussetzung – ohne MFA wird oft gar keine Police ausgestellt.

2. Regelmässige, getestete Backups

Tägliche Sicherung nach der 3-2-1-Regel (drei Kopien, zwei Medien, eine ausser Haus), mit nachgewiesener Wiederherstellungs-Fähigkeit. Ein Backup, das nie getestet wurde, zählt im Ernstfall nicht.

3. Aktuelle Software und Patch-Management

Betriebssysteme und Anwendungen müssen regelmässig aktualisiert werden. Veraltete, nicht mehr unterstützte Systeme (z.B. altes Windows) sind ein häufiger Ausschlussgrund.

4. Professionelle Firewall und Endpoint-Schutz

Eine Business-taugliche Firewall am Internet-Übergang und zentral verwalteter Antivirus auf allen Geräten – nicht nur der kostenlose Standardschutz.

5. Mitarbeiterschulung gegen Phishing

Da die meisten Angriffe mit einer Phishing-Mail beginnen, verlangen viele Versicherer den Nachweis regelmässiger Sensibilisierung der Mitarbeitenden.

6. Dokumentation der Massnahmen

Im Schadenfall prüft der Versicherer, ob die im Antrag zugesicherten Massnahmen tatsächlich umgesetzt waren. Ohne nachvollziehbare Dokumentation wird es schwierig.

Das Risiko, das viele übersehen: Wenn die Versicherung nicht zahlt

Der gefährlichste Irrtum ist, eine Police abzuschliessen und sich dann in Sicherheit zu wiegen. Denn im Schadenfall prüft der Versicherer genau, ob die im Antrag gemachten Angaben zur IT-Sicherheit der Realität entsprachen. Wenn ein Unternehmen im Fragebogen angekreuzt hat, dass es MFA und getestete Backups einsetzt, dies aber nicht der Fall war, kann der Versicherer die Leistung kürzen oder ganz verweigern – wegen Verletzung der vertraglichen Obliegenheiten.

Das bedeutet konkret: Eine Cyberversicherung ist nur so gut wie die IT-Sicherheit, die ihr zugrunde liegt. Die Police auf dem Papier nützt nichts, wenn die technischen Voraussetzungen im Betrieb nicht wirklich erfüllt und dokumentiert sind. Genau hier entsteht für viele KMU eine gefährliche Lücke zwischen dem, was im Versicherungsantrag steht, und dem, was im Unternehmen tatsächlich umgesetzt ist.

Die Rolle von Compu-Trade: Wir machen Ihr KMU versicherbar

Wir sind nicht Ihr Versicherungsmakler – für die Auswahl der passenden Police und die vertraglichen Details ist Ihr Versicherungsberater oder Broker zuständig. Unsere Rolle ist eine andere und ebenso wichtige: Wir sorgen dafür, dass Ihre IT die Anforderungen der Versicherer überhaupt erst erfüllt – und dass dies sauber dokumentiert ist.

Konkret unterstützen wir Sie dabei:

•       Wir prüfen Ihre aktuelle IT-Sicherheit gegen die typischen Anforderungen der Cyberversicherer und zeigen Lücken auf.

•       Wir setzen die geforderten Massnahmen um: MFA, getestete Backups (Synology mit verschlüsseltem Schweizer Cloud-Backup), Patch-Management, professionelle Firewall (Zyxel oder Sophos), zentral verwalteten Antivirus (Bitdefender).

•       Wir schulen Ihre Mitarbeitenden im Erkennen von Phishing-Mails – mit echten Beispielen aus dem Schweizer Geschäftsumfeld.

•       Wir dokumentieren alle umgesetzten Massnahmen, damit Sie den Nachweis gegenüber dem Versicherer erbringen können – sowohl beim Antrag als auch im Schadenfall.

•       Auf Wunsch helfen wir auch beim Ausfüllen des technischen Teils des Versicherungs-Fragebogens – damit die Angaben korrekt und belastbar sind.

Cyberversicherung und FMH: Besonderheit für Arztpraxen

Für Arztpraxen und Gesundheitsbetriebe ist das Thema doppelt relevant. Patientendaten gelten als besonders schützenswerte Personendaten gemäss dem revidierten Datenschutzgesetz (revDSG). Eine Cyberversicherung für Praxen verlangt deshalb meist nicht nur die allgemeinen IT-Standards, sondern auch die Einhaltung der FMH-Empfehlungen zum IT-Grundschutz. Wer diese ohnehin umsetzt, erfüllt damit gleichzeitig einen Grossteil der Versicherungs-Anforderungen – zwei Fliegen mit einer Klappe.

Was kostet eine Cyberversicherung für ein Schweizer KMU?

Die Prämien variieren stark je nach Unternehmensgrösse, Branche, Umsatz und gewähltem Deckungsumfang. Als grobe Orientierung für Schweizer KMU:

Wichtig: Diese Werte sind grobe Orientierungswerte und können je nach Anbieter, Branche und Risikoprofil stark abweichen. Die genaue Prämie ermittelt Ihr Versicherungsberater. Gut umgesetzte IT-Sicherheit kann die Prämie senken – weil das Risiko für den Versicherer sinkt.

Häufige Fragen zur Cyberversicherung für KMU

Braucht mein KMU überhaupt eine Cyberversicherung?

Das hängt von Ihrem Risikoprofil ab. Faustregel: Wenn ein mehrtägiger IT-Ausfall oder der Verlust Ihrer Kundendaten Ihr Unternehmen ernsthaft gefährden würde, ist eine Cyberversicherung sinnvoll. Für Betriebe, die stark von IT-Systemen, Online-Prozessen oder sensiblen Daten abhängen (z.B. Praxen, Treuhänder, Online-Händler), ist sie heute fast unverzichtbar. Wichtig ist aber: Die Versicherung ergänzt gute IT-Sicherheit, sie ersetzt sie nicht.

Was passiert, wenn ich die IT-Anforderungen des Versicherers nicht erfülle?

Dann gibt es zwei mögliche Szenarien: Entweder der Versicherer stellt gar keine Police aus, oder er stellt sie aus, kann aber im Schadenfall die Leistung kürzen oder verweigern, wenn sich herausstellt, dass die zugesicherten Massnahmen nicht umgesetzt waren. Deshalb ist es entscheidend, dass die Angaben im Versicherungsantrag der Realität entsprechen und dokumentiert sind.

Welche IT-Massnahmen verlangen Versicherer am häufigsten?

Am häufigsten: Mehr-Faktor-Authentifizierung (MFA) für E-Mail und Fernzugriffe, regelmässige und getestete Backups, aktuelle Software mit Patch-Management, eine professionelle Firewall, zentral verwalteter Virenschutz und Mitarbeiterschulungen gegen Phishing. Je nach Versicherer und Deckungssumme können weitere Anforderungen hinzukommen, etwa ein dokumentierter Notfallplan.

Hilft Compu-Trade beim Abschluss der Versicherung?

Wir sind nicht Ihr Versicherungsmakler – die Police selbst schliessen Sie mit Ihrem Versicherungsberater oder Broker ab. Aber wir sorgen dafür, dass Ihre IT die technischen Anforderungen erfüllt, und unterstützen Sie beim Ausfüllen des technischen Teils des Fragebogens, damit Ihre Angaben korrekt und belastbar sind. So vermeiden Sie die gefährliche Lücke zwischen Antrag und Realität.

Senkt gute IT-Sicherheit die Versicherungsprämie?

In vielen Fällen ja. Versicherer kalkulieren das Risiko – wer nachweislich hohe IT-Sicherheitsstandards umsetzt, stellt ein geringeres Risiko dar und kann oft von tieferen Prämien oder besseren Konditionen profitieren. Die Investition in IT-Sicherheit zahlt sich also doppelt aus: weniger Risiko eines Vorfalls und potenziell tiefere Versicherungskosten.

Was ist der Unterschied zwischen Cyberversicherung und IT-Sicherheit?

IT-Sicherheit sind die technischen und organisatorischen Massnahmen, die einen Cyberangriff verhindern oder dessen Schaden begrenzen (Firewall, Backup, MFA, Schulung). Die Cyberversicherung deckt die finanziellen Folgen, falls trotz aller Massnahmen ein Schaden eintritt. Beide gehören zusammen: IT-Sicherheit reduziert die Wahrscheinlichkeit eines Vorfalls, die Versicherung fängt das Restrisiko ab.

Fazit: Erst absichern, dann versichern

Eine Cyberversicherung ist ein sinnvoller Baustein im Risikomanagement eines KMU – aber nur dann, wenn die IT-Sicherheit stimmt. Die Police schützt nicht vor dem Angriff, sondern federt die finanziellen Folgen ab, und das auch nur, wenn die zugesicherten Schutzmassnahmen wirklich umgesetzt und dokumentiert sind.

Der richtige Weg ist deshalb: zuerst die IT-Sicherheit auf den geforderten Stand bringen und dokumentieren, dann die passende Police abschliessen. So vermeiden Sie die teure Überraschung, dass die Versicherung im Ernstfall nicht zahlt.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Versicherungs- oder Rechtsberatung. Die genannten Prämien- und Anforderungsangaben sind grobe Orientierungswerte und können je nach Versicherer abweichen. Für die Wahl und den Abschluss einer konkreten Police wenden Sie sich an einen Versicherungsberater. Stand: Mai 2026.