Cyberversicherung vergleichen: so finden KMU die passende Absicherungslösung für digitale Risiken

Wer heute Cyberrisiken vernachlässigt, spielt mit dem Feuer. Fast jedes dritte KMU in der Schweiz fiel bereits einmal Cyberkriminellen zum Opfer. In der Cyber-Studie 2024 gaben zudem 4 Prozent der befragten KMU an, dass sie kürzlich von einem schwerwiegenden Cyberangriff betroffen waren – auf die ganze Schweiz hochgerechnet sind das 24’000 Firmen. Für drei Viertel der betroffenen KMU hatte der Angriff erhebliche finanzielle Schäden zur Folge. Die Zahlen verdeutlichen: Cyberversicherungen sind wichtiger denn je.

Cyberrisiken sind eine Existenzbedrohung für KMU

Cyberangriffe können alle Branchen und Unternehmen gleichermassen treffen. Auch kleine und mittlere Unternehmen, etwa in der Industrie- oder Baubranche, sind dem Risiko ausgesetzt. Jon Samuel Plotke, CEO der ASSEPRO Brokerage AG, betont: «Gerade KMU, die intern nicht die nötigen Ressourcen haben, um sich mit Cyberrisiken auseinanderzusetzen, oder in denen Bewusstsein für das Thema fehlt, sind attraktive Ziele.»

Die Folgen eines erfolgreichen Cyberangriffs sind rasch verheerend. Fallen die internen IT-Systeme aus, ist der Betrieb oft für Tage oder Wochen eingeschränkt oder er kommt komplett zum Erliegen. Dabei ist der direkte Produktionsausfall nur ein Teil des möglichen Schadens. «Gravierender sind häufig die Folgen auf die Kundenbeziehungen», erklärt Jon Samuel Plotke. Denn bis die Systeme nach einer Attacke getestet, die Software neu installiert und alle Prozesse wieder hochgefahren seien, können mehrere Tage oder Wochen vergehen. «Je länger es dauert, desto grösser ist das Risiko, dass Kund:innen sich in der Zwischenzeit nach Alternativen umsehen und ihre Verträge kündigen.»

Kommt es durch den Angriff gar zu einem Verlust oder Diebstahl von Kundendaten, lassen sich ein nachhaltiger Reputationsschaden und langfristige Geschäftseinbussen kaum vermeiden.

Welche Risiken deckt eine Cyberversicherung ab?

Ein erfolgreicher Cyberangriff stellt im schlimmsten Fall die Existenz der Firma infrage. Umso wichtiger ist es für KMU, die eigenen Risiken genau zu kennen und sich mit einer umfassenden Cyberversicherung abzusichern. Die Versicherung deckt, je nach Umfang, folgende Schadenfälle ab:

• Direkte finanzielle Schäden durch Hackerangriffe und Erpressungen, wie unberechtigte Überweisungen oder Lösegeldforderungen
• Schäden aus Betriebsunterbrüchen, die durch einen Cyberangriff ausgelöst wurden
• Haftpflichtansprüche von Dritten, beispielsweise wenn Kundendaten durch eine Phishing-Attacke gestohlen oder Zahlungsverkehrsstandards verletzt werden
• Kosten für die Abwehr ungerechtfertigter Ansprüche, sowie für Datenschutz- und Geheimhaltungsverletzungsverfahren
• Kosten für Verfahren wegen der Verletzung von Immaterialgüterrechten durch digitale Kommunikation
• Kosten für den Beizug von IT-Fachkräften zur Behebung des technischen Problems und von PR-Spezialisten für das Krisenmanagement

Die Höhe der Prämie hängt unter anderem von der Branche und dem spezifischen IT-Risiko des Unternehmens, der Versicherungssumme sowie dem Jahresumsatz und der Höhe des Selbstbehalts ab.

Das folgende Beispiel gibt einen groben Richtwert für ein schweizweit tätiges Unternehmen:

Jahresumsatz: CHF 5’000’000.–
Versicherungssumme: CHF 1’000’000.–
Selbstbehalt: CHF 500.–

Die Firma muss mit einer Jahresprämie von rund 2000 Franken rechnen.

Cyberversicherungen vergleichen – worauf KMU achten sollten

Die Prämie sollte aber nicht das einzige Auswahlkriterium bei der Cyberversicherung sein. Denn eine Standardlösung ist selten zielführend, vielmehr sollte die Versicherung genau auf die individuellen Anforderungen und Risiken zugeschnitten sein.

Auf folgende Punkte sollten Firmen bei der Wahl der Cyberversicherung konkret achten:

• Die Höhe der Deckungssumme: Welcher Betrag ist maximal durch die Versicherung gedeckt?
• Die genaue Beschreibung der Leistungen: Welche Schadenfälle sind konkret abgedeckt? Beispielsweise Datenverluste durch Phishing-Attacken, Kosten für einen Produktionsausfall oder Lösegeldforderungen bei einer Erpressung. Nicht zu vernachlässigen sind indirekte finanzielle Schäden wie Kosten für Rechtsstreite oder Notfallmassnahmen zur Stabilisierung des IT-Systems.
• Weitere Dienstleistungen: Bietet die Versicherung zusätzliche Dienstleistungen an, etwa Schulungen für Mitarbeitende zur Prävention oder Zugang zu IT-, PR- oder Rechtsspezialisten im Schadenfall?
• Zahlungsausschlüsse: Welche Ausschlusskriterien gelten, bei denen die Versicherung nicht bezahlt? Ohne genaue Prüfung drohen unangenehme Überraschungen im Schadenfall.

Zuletzt ist ein Abgleich mit bestehenden Versicherungen zentral. Allenfalls sind bestimmte Risiken beispielsweise bereits über die Haftpflichtversicherung gedeckt. So lässt sich eine Überversicherung verhindern, die das Budget unnötig belastet.

Das zeigt: Für die optimale Auswahl der Cyberversicherung sind viel Fachwissen und Erfahrung notwendig. Es lohnt sich daher, mit Expert:innen zusammenzuarbeiten und sich genau beraten zu lassen.

Schutz vor Cyberrisiken beginnt lange vor dem Versicherungsabschluss

So schön die Vorstellung ist: Ganz verhindern lassen sich Cyberangriffe nie. Jedes Unternehmen kann zur Zielscheibe werden und Schaden davontragen. «Aus Cybersecurity-Sicht gibt es drei Arten von Unternehmen», sagt Jon Samuel Plotke. «Firmen, die einen Cyberangriff erlitten haben und davon wissen, Firmen, die einen Angriff erlitten haben und es noch nicht wissen, und jene Firmen, die noch angegriffen werden.»

Denn es reicht schon ein Klick auf einen falschen Link oder eine unüberlegte E-Mail-Antwort, schon haben Angreifer Zugang zu sensiblen Daten. Umso wichtiger sind neben der Absicherung die Prävention durch technische Massnahmen und eine permanente Schulung der Mitarbeitenden.

Als Broker unterstützt ASSEPRO KMUs mit einem vierstufigen Modell dabei, die eigene Cybersecurity zu stärken und die effektiven Risiken zu minimieren:

• Analyse: Individuelle, systematische Risikoabschätzung inklusive Prüfung aller IT-Verträge zur genauen Ermittlung des Absicherungsbedarfs.
• Identifikation von Risiken: Audits und Penetrationstests zur Identifikation von Schwachstellen sowie die Erarbeitung von Vorschlägen, mit denen die IT-Sicherheit verbessert werden kann.
• Absicherung: Abschluss einer passgenauen Cyberversicherung für das jeweilige Unternehmen sowie Unterstützung bei Fragen und im Krisenmanagement nach einem Schadenfall.
• Schulung und Prävention: Regelmässige Schulungen und Kurse für Mitarbeitende, zur Sensibilisierung für des Themas, der Vermittlung von aktuellem Wissen und neuen Angriffsmustern.

4 Phasen Konzept

Risiken erkennen - Risiken minimieren - Restrisiken abwälzen

Analyse

Analyse und Berechnungen
Systematische Bedarfsermittlung

Identifikation

Schlüssfelfaktoren Identifizieren
Aktueller Stand Sicherheitsniveau ermitteln
Schwachstellen erkennen
Konkrete Lösungsvorschläge erarbeiten

Absicherung

Support
Krisenmanagement
Cyberversicherung

Schulung

Mitarbeitende sensibilisieren
«Risikofaktor» Mensch minimieren
Umgang mit Cyberrisiken erlernen

Zudem erhalten Kundinnen und Kunden im Schadenfall Zugang zu ausgewiesenen Fachexpert:innen für IT, Recht und Kommunikation aus dem Netzwerk von ASSEPRO. So können auch Unternehmen mit wenig internen Ressourcen rasch effektive Strategien erarbeiten, mit denen sie die negativen Folgen eines Schadenfalls so gering wie möglich halten.

Wir sind für Sie da

Wir unterstützen Sie bei sämtlichen Fragen rund um die Cyberversicherung für Ihr Unternehmen. Kontaktieren Sie unsere Expert:innen an einem Standort in Ihrer Nähe.

Beratung anfordern

Vorheriger Beitrag ASSEPRO baut Marktposition in der Nordostschweiz aus