cyberversicherung.ch Notfall

cyberversicherung.ch

Cyberversicherung für IT-Dienstleister, Software & SaaS

IT-Dienstleister und SaaS-Anbieter tragen eigene Cyberrisiken und können zugleich Kundensysteme beeinflussen. So prüfen Schweizer Anbieter Cyber- und IT-Berufshaftpflicht.

Veröffentlicht: Geprüft von:
Privilegierte Kundenzugänge Software-Lieferkette Cloud- und MSP-Ausfall Dritthaftung

Welche Versicherung braucht ein IT-Dienstleister?

IT-Dienstleister, Softwarehäuser, Managed Service Provider (MSP) und SaaS-Anbieter sollten eigene Cyberrisiken und mögliche Ansprüche ihrer Kunden getrennt modellieren. Ein kompromittiertes Administrationskonto kann mehrere Kunden gleichzeitig betreffen. Ein Fehler in Beratung, Konfiguration oder Software kann dagegen auch ohne Cyberangriff einen Vermögensschaden verursachen.

Deshalb reicht die Frage «Cyberversicherung oder Berufshaftpflicht?» nicht. Entscheidend ist, wie Cyber- und IT-Berufshaftpflicht ineinandergreifen und welche Lücken zwischen beiden Verträgen bleiben.

Cyberversicherung oder IT-Berufshaftpflicht?

RisikobereichCyberversicherungIT-Berufshaftpflicht / Vermögensschadenhaftpflicht
Eigener SicherheitsvorfallJe nach Police Forensik, Wiederherstellung, Krisenhilfe und eigener BetriebsunterbruchÜblicherweise nicht der Schwerpunkt
Verletzung von Daten oder VertraulichkeitJe nach Bedingungen eigene Kosten und Ansprüche DritterKann Ansprüche aus beruflicher Tätigkeit erfassen, Umfang variiert
Fehlerhafte Beratung oder KonfigurationNur soweit ausdrücklich eingeschlossenTypischer Kern der IT-Berufshaftpflicht
Fehlerhafte Software oder versäumte LeistungCyberdeckung allein genügt häufig nichtAbhängig von Tätigkeitsbeschreibung, Vertrag und Ausschlüssen
Ausfall eines Cloud- oder Hosting-PartnersNur bei passender Dienstleister- oder BetriebsunterbruchsdeckungKundenansprüche können separat zu prüfen sein

Die Bezeichnungen der Produkte sind nicht einheitlich. Lassen Sie sich schriftlich zeigen, welcher Vertrag bei einem Vorfall zuerst reagiert, wie Mehrfachversicherung behandelt wird und ob Regress- oder Ausschlussklauseln eine Lücke erzeugen.

Warum Kunden- und Adminzugänge das Risiko konzentrieren

Fernwartung, RMM-Werkzeuge, Supportkonten und Cloud-Administrationen bündeln Rechte. Wird ein solches Konto kompromittiert, kann der Vorfall über die eigene Umgebung hinausreichen. Das BACS unterscheidet in seiner Lieferketten-Hilfe ausdrücklich zwischen Partnern mit privilegiertem Zugriff, Softwarelieferanten und wichtigen Dienstleistern wie SaaS-Partnern oder Service Desks.

Für die Risikoprüfung sollten Sie dokumentieren:

  • ob jedes Kundenkonto eindeutig einer Person und einem Mandanten zugeordnet ist;
  • wo Multi-Faktor-Authentifizierung für privilegierte und externe Zugänge erzwungen wird;
  • wie Rechte erteilt, überprüft und beim Austritt entzogen werden;
  • ob Kundensysteme technisch und organisatorisch voneinander getrennt sind;
  • welche Aktionen protokolliert und wie Auffälligkeiten bearbeitet werden;
  • wie Notfallzugänge geschützt und deren Nutzung kontrolliert wird.

Vertrags-, Cloud- und MSP-Konzentration

Eine Plattform, ein Cloud-Konto oder ein RMM-System kann für viele Kunden gleichzeitig kritisch sein. Das erzeugt zwei verschiedene Konzentrationen:

  1. Technische Konzentration: Ein kompromittiertes Werkzeug, Update oder Administrationskonto erreicht mehrere Umgebungen.
  2. Vertragliche Konzentration: Ein einzelner Vorfall kann gleichzeitig Meldepflichten, Service-Level-Verpflichtungen und Ansprüche mehrerer Kunden auslösen.

Prüfen Sie deshalb nicht nur die Gesamtversicherungssumme, sondern auch Sublimiten und Aggregatgrenzen. Wichtig sind zudem Definitionen für Serienereignisse, abhängige Betriebsunterbrüche, Cloud-Ausfälle, Softwarefehler und vertraglich übernommene Haftung.

Das BACS empfiehlt, IT/OT-Lieferketten, Abhängigkeiten und Anforderungen an Provider kontinuierlich zu prüfen und in Lieferantenverträgen unter anderem Haftung und Qualitätsanforderungen zu regeln. Diese Vertragsprüfung ersetzt keine Versicherungsanalyse, liefert aber die nötigen Eingaben dafür.

Der eigene Ausfall bleibt ein separates Risiko

Auch wenn kein Kunde einen Anspruch erhebt, kann der Anbieter selbst belastet sein:

  • Abonnements oder projektbezogene Erträge fallen aus;
  • Support und Entwicklung werden durch Incident Response gebunden;
  • Entwicklungs-, Build- oder Produktivumgebungen müssen neu aufgebaut werden;
  • Daten und Konfigurationen müssen wiederhergestellt und geprüft werden;
  • externe Forensik, Recht und Krisenkommunikation werden benötigt.

Nutzen Sie den Szenariorechner zur Deckungssumme, um eigenen Ausfall und externe Kosten nachvollziehbar zu addieren. Mögliche Kundenansprüche sollten separat dokumentiert werden, damit sie nicht doppelt in dieselbe Rechnung einfliessen.

Diese Deckungspunkte sollten in die Offertenanfrage

  • Incident Response, Forensik, Daten- und Systemwiederherstellung;
  • eigener Betriebsunterbruch einschliesslich passender Bewertungsmethode und Wartefrist;
  • Ausfall oder Sicherheitsvorfall bei Cloud-, Hosting- und weiteren kritischen Dienstleistern;
  • Datenschutz-, Vertraulichkeits- und Netzwerksicherheitsansprüche Dritter;
  • Cyberbetrug und Social Engineering nur, wenn dieses Risiko benötigt und ausdrücklich angeboten wird;
  • Koordination mit IT-Berufshaftpflicht und bestehenden Haftpflichtverträgen;
  • Sublimiten, Jahresaggregate und Behandlung mehrerer betroffener Kunden;
  • Ausschlüsse für bekannte Schwachstellen, nicht unterstützte Systeme oder vertraglich übernommene Haftung;
  • Vorgaben zu Notfallhotline, freigegebenen Dienstleistern und Zustimmung vor Kostenentstehung.

Verbindlich ist jeweils die konkrete Offerte. Eine Produktbezeichnung allein sagt nicht, ob ein bestimmtes Kunden- oder Cloud-Szenario eingeschlossen ist.

Welche Unterlagen Versicherer und Broker benötigen

Bereiten Sie Tätigkeitsbeschreibung und Umsatzanteile präzise vor: Beratung, Individualentwicklung, Standardsoftware, Hosting, SaaS, Managed Services und Zugang zu Kundensystemen erzeugen unterschiedliche Risiken. Ergänzen Sie:

  • Anzahl und Art der Kunden mit privilegiertem Zugriff;
  • kritische Cloud-, Hosting-, RMM- und CI/CD-Abhängigkeiten;
  • sichere Entwicklungs-, Update- und Freigabeprozesse;
  • Mandantentrennung, Protokollierung und Schutz von Secrets;
  • Backup- und getestete Wiederherstellungsverfahren;
  • vertragliche Haftungslimiten, Service Levels und Informationspflichten;
  • frühere Vorfälle, bekannte Schwachstellen und offene Verbesserungen.

Der Fragebogen-Ratgeber hilft, diese Angaben strukturiert vorzubereiten.

Was zeigen Schweizer Quellen?

Der BACS-Halbjahresbericht 2025/1 bezeichnet Angriffe innerhalb der Lieferkette als zentrale Herausforderung: Nach einem Angriff auf ein IT-Unternehmen können auch dessen Geschäftskunden betroffen sein. Das passt direkt zum Konzentrationsrisiko von MSP-, Software- und SaaS-Anbietern.

Die FHNW befragte 2023 insgesamt 502 Geschäftsführende von Schweizer KMU mit 4 bis 49 Mitarbeitenden. 11 Prozent berichteten von einem erfolgreichen Cyberangriff mit erheblichem Aufwand zur Schadensbehebung; 55 Prozent der bereits angegriffenen Unternehmen nannten einen finanziellen Schaden. Diese Werte beschreiben Schweizer KMU insgesamt und sind keine Schadenquote speziell für IT-Unternehmen.

Das KMU-Portal des SECO bündelt Schutzmassnahmen und ordnet Cyberversicherung als mögliche finanzielle Abfederung neben Prävention und Notfallvorsorge ein. Für IT-Anbieter bleibt entscheidend, Eigenschäden, Kundenhaftung und berufliche Fehler nicht in einer pauschalen Annahme zusammenzufassen.

Quellen

Offerten auf dieselben Szenarien prüfen

Fordern Sie Cyber- und IT-Berufshaftpflicht-Offerten mit derselben Tätigkeitsbeschreibung, denselben Kundenzugängen und denselben Cloud-Abhängigkeiten an. BTAG kann Unterschiede bei Deckung, Ausschlüssen, Sublimiten und Vertragskoordination erläutern.

Cyber- und Haftpflicht-Offerten vergleichen

Geprüfte Primärquellen
Courtage wird offengelegt