Was ist passiert?
Im Januar 2025 wurde ein mittelgrosses Schweizer Pharmaunternehmen in der Nordwestschweiz Opfer eines Ransomware-Angriffs, der über einen kompromittierten VPN-Zugang erfolgte. Das Unternehmen, das aus Reputationsgründen anonym bleiben möchte, produziert Wirkstoffe und Generika für den europäischen Markt und beschäftigt rund 350 Mitarbeitende.
Der Angriff begann mit der Kompromittierung der VPN-Zugangsdaten eines externen IT-Dienstleisters, der für die Wartung der Produktionssteuerungssysteme (SCADA/OT) verantwortlich war. Die Angreifer nutzten die gestohlenen Zugangsdaten, um sich über das VPN direkt in das Unternehmensnetzwerk einzuloggen – ohne dass eine Multi-Faktor-Authentifizierung aktiv war.
Über einen Zeitraum von mehreren Tagen kartierten die Angreifer die Netzwerktopologie, identifizierten die kritischen Produktionssysteme und exfiltrierten vertrauliche Daten – darunter Rezepturen, GMP-Dokumentation und Patientendaten aus klinischen Studien. Am 10. Januar 2025 lösten sie die Verschlüsselung aus.
Die Folge war verheerend: Sämtliche Produktionslinien standen still. Die Steuerungssysteme der Reinraumproduktion, die Qualitätssicherungssysteme und das ERP-System waren verschlüsselt. Eine Wiederaufnahme der Produktion war erst nach einer vollständigen Neuinstallation und Revalidierung der GMP-konformen Systeme möglich – ein Prozess, der in der Pharmabranche besonders langwierig ist.
Wer war betroffen?
Der Produktionsstillstand hatte weitreichende Konsequenzen über das Unternehmen hinaus:
- 350 Mitarbeitende, von denen über 200 in der Produktion tätig waren und vorübergehend freigestellt werden mussten
- Spitäler und Apotheken in der Schweiz und der EU, die auf regelmässige Lieferungen der produzierten Medikamente angewiesen waren
- Patienten, deren Medikamentenversorgung gefährdet war – insbesondere bei Produkten mit wenigen Alternativlieferanten
- Zulieferer von Roh- und Hilfsstoffen, deren Lieferungen storniert oder verschoben werden mussten
- Der externe IT-Dienstleister, dessen kompromittierte Zugangsdaten den Angriff ermöglichten
- Swissmedic, das als Aufsichtsbehörde über den Produktionsausfall informiert werden musste
Besonders kritisch: Zwei der produzierten Wirkstoffe standen auf der Liste der versorgungsrelevanten Medikamente des Bundes. Ein längerer Ausfall hätte die Medikamentenversorgung in der Schweiz beeinträchtigt.
Wie gross war der Schaden?
Der Gesamtschaden von CHF 8.5 Mio. setzt sich wie folgt zusammen:
- Produktionsausfall (17 Tage): CHF 4.2 Mio. – entgangener Umsatz und Fixkosten, die während des Stillstands weiterliefen
- IT-Wiederherstellung und Revalidierung: CHF 1.8 Mio. – Neuinstallation aller Systeme, GMP-Revalidierung der Produktionsanlagen, Beauftragung externer Spezialisten
- Incident Response und Forensik: CHF 650’000 – Einsatz eines internationalen Incident-Response-Teams über vier Wochen
- Vertragsstrafen und Konventionalstrafen: CHF 850’000 – Lieferverzögerungen gegenüber Kunden mit verbindlichen Liefervereinbarungen
- Lohnkosten bei Stillstand: CHF 480’000 – Weiterbezahlung der Produktionsmitarbeitenden während der Stillstandszeit
- Rechtliche Beratung und Datenschutz: CHF 280’000 – Meldungen an EDÖB, Swissmedic und betroffene Personen
- Krisenkommunikation: CHF 120’000 – Kommunikation gegenüber Kunden, Behörden und Medien
- Beschleunigte Nachproduktion: CHF 130’000 – Überstunden und Sonderschichten nach Wiederanlauf
Hätte eine Cyberversicherung geholfen?
Dieser Fall zeigt exemplarisch, wie eine Cyberversicherung für ein mittelgrosses Unternehmen den Unterschied zwischen bewältigbarer Krise und existenzieller Bedrohung machen kann.
Kostenanalyse und Versicherungsdeckung
| Kostenposition | Geschätzte Kosten | Von Cyberversicherung gedeckt? |
|---|---|---|
| Produktionsausfall (17 Tage Stillstand) | CHF 4’200’000 | ✅ Ja – Betriebsunterbrechungsdeckung (Kernleistung) |
| IT-Wiederherstellung & GMP-Revalidierung | CHF 1’800’000 | ✅ Ja – Systemwiederherstellung gedeckt |
| Incident Response & Forensik | CHF 650’000 | ✅ Ja – 24/7-Soforthilfe ab Stunde 1 |
| Vertragsstrafen & Konventionalstrafen | CHF 850’000 | ✅ Ja – Haftpflichtkomponente |
| Lohnkosten bei Stillstand | CHF 480’000 | ✅ Ja – als Teil der Betriebsunterbrechung |
| Rechtsberatung & Datenschutz | CHF 280’000 | ✅ Ja – inkl. Behördenmeldungen |
| Krisenkommunikation | CHF 120’000 | ✅ Ja – PR-Beratung häufig inkludiert |
| Beschleunigte Nachproduktion | CHF 130’000 | ⚠️ Teilweise – Mehrkosten zur Schadensminderung oft gedeckt |
| Langfristiger Kundenverlust | Nicht bezifferbar | ❌ Nein – indirekter Schaden |
| Gesamtschaden | CHF 8’510’000 | ~70–85 % potenziell gedeckt (CHF 6–7.2 Mio.) |
Fazit: Mit einer Cyberversicherung und einer Deckungssumme von CHF 10 Mio. (typische Empfehlung für ein Pharmaunternehmen dieser Grösse) wären CHF 6–7.2 Mio. des Schadens gedeckt gewesen. Die jährliche Prämie für eine solche Police liegt bei ca. CHF 25’000–40’000 – ein Bruchteil des tatsächlichen Schadens.
Das Unternehmen hatte keine Cyberversicherung abgeschlossen. Die Geschäftsleitung hatte das Risiko unterschätzt und die IT-Sicherheit an den externen Dienstleister delegiert – ohne dessen Sicherheitsstandards vertraglich zu definieren oder zu überprüfen.
Lehren für Schweizer KMU
Dieser Fall vereint mehrere der häufigsten Fehler, die Schweizer KMU in Bezug auf Cybersicherheit machen:
-
VPN ohne MFA ist fahrlässig: Der gesamte Angriff hätte durch Multi-Faktor-Authentifizierung auf dem VPN-Zugang verhindert werden können. MFA ist die wirksamste und kostengünstigste Einzelmassnahme – und eine Standard-Voraussetzung für Cyberversicherungen.
-
Drittpartei-Zugänge sind Hochrisiko: Externe IT-Dienstleister mit VPN-Zugang haben oft dieselben Rechte wie interne Administratoren. Beschränken Sie Zugangsrechte auf das Minimum (Least Privilege), überwachen Sie externe Zugriffe und definieren Sie Sicherheitsanforderungen vertraglich.
-
Pharma und Medizinaltechnik sind besonders verwundbar: Die GMP-Revalidierung nach einem Cyberangriff macht die Wiederherstellung in der Pharmabranche besonders teuer und langwierig. Branchenspezifische Risiken müssen bei der Versicherungssumme berücksichtigt werden.
-
17 Tage sind keine Seltenheit: Die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff auf ein KMU beträgt laut Studien 22 Tage. 17 Tage liegen unter dem Durchschnitt – das Unternehmen hatte Glück im Unglück.
-
CHF 8.5 Mio. können ein KMU ruinieren: Für ein Unternehmen mit 350 Mitarbeitenden und einem geschätzten Jahresumsatz von CHF 50–80 Mio. ist ein Schaden von CHF 8.5 Mio. bewältigbar, aber schmerzhaft. Für kleinere KMU mit 20–50 Mitarbeitenden wäre ein vergleichbarer Vorfall potenziell existenzbedrohend.
-
Die Prämie ist ein Bruchteil des Schadens: CHF 25’000–40’000 jährliche Prämie vs. CHF 8.5 Mio. Schaden. Das Kosten-Nutzen-Verhältnis einer Cyberversicherung ist bei diesem Risikoprofil eindeutig.
Schützen Sie Ihr Unternehmen
Dieser Fall zeigt eindringlich: Ein einziger kompromittierter VPN-Zugang kann einen 17-tägigen Produktionsstillstand und einen Millionenschaden verursachen. Die Kombination aus technischen Massnahmen (MFA, Netzwerksegmentierung, Monitoring) und einer umfassenden Cyberversicherung bietet den bestmöglichen Schutz.
Lassen Sie sich unverbindlich beraten. Die Spezialisten der BTAG Versicherungsbroker AG in Bern haben Erfahrung mit der Versicherung von Pharmaunternehmen, Fertigungsbetrieben und Unternehmen mit OT-Infrastruktur. Gemeinsam finden wir die richtige Deckung für Ihr spezifisches Risikoprofil – bevor der Ernstfall eintritt.