Deckungsumfang einer Cyberversicherung — Was ist abgedeckt, was nicht?
Was deckt eine Cyberversicherung ab — und was nicht?
Die Cyberversicherung ist eines der komplexesten Versicherungsprodukte auf dem Schweizer Markt. Anders als bei einer Sachversicherung, wo der Schaden physisch sichtbar ist, sind Cyberschäden vielfältig, oft schwer quantifizierbar und können sich über Wochen oder Monate hinziehen. Genau deshalb ist ein fundiertes Verständnis des Deckungsumfangs entscheidend — vor dem Abschluss einer Police, nicht erst im Schadenfall.
In der Schweiz hat das Bundesamt für Cybersicherheit (BACS) im Jahr 2024 über 59’000 Cybervorfälle registriert. Die durchschnittlichen Kosten pro Vorfall bei KMU liegen gemäss IBM-Daten bei CHF 180’000 bis CHF 450’000. Welche dieser Kosten eine Cyberversicherung übernimmt — und welche nicht — erfahren Sie in diesem umfassenden Ratgeber.
Die drei Säulen der Cyberversicherung
Der Deckungsumfang einer Schweizer Cyberversicherung gliedert sich in drei Hauptbereiche:
- Eigenschäden (First-Party): Direkte finanzielle Verluste Ihres eigenen Unternehmens
- Drittschäden (Third-Party / Haftpflicht): Ansprüche Dritter, die durch einen Cybervorfall bei Ihnen geschädigt werden
- Assistance-Leistungen: Sofortige Expertenhilfe im Ernstfall (24/7)
Jeder dieser Bereiche umfasst verschiedene Deckungsbausteine, die je nach Versicherer und Policetyp variieren. Im Folgenden analysieren wir jeden Baustein im Detail.
Eigenschäden (First-Party-Deckung) — im Detail
Eigenschäden sind die direkten finanziellen Folgen eines Cybervorfalls für Ihr eigenes Unternehmen. Sie machen in der Praxis 60–75 % der Gesamtkosten eines Cybervorfalls aus.
1. Betriebsunterbrechung (Business Interruption)
Die Betriebsunterbrechung ist für die meisten Unternehmen der grösste Einzelkostenblock nach einem Cyberangriff. Die Deckung umfasst:
- Ertragsausfall während der Systemausfallzeit
- Mehrkosten für provisorische Lösungen (z. B. manuelle Prozesse, Ausweichsysteme)
- Zusätzliche Personalkosten (Überstunden, Temporärpersonal)
Kennzahlen für die Schweiz:
- Durchschnittliche Ausfallzeit nach Ransomware: 23 Tage
- Typischer Ertragsausfall KMU: CHF 5’000–50’000 pro Tag
- Wartefrist (Karenzzeit) in den meisten Policen: 6–24 Stunden
Die Wartefrist ist vergleichbar mit dem Selbstbehalt: Erst nach Ablauf dieser Frist beginnt die Versicherung zu zahlen. Achten Sie bei der Policenwahl auf eine möglichst kurze Wartefrist.
2. IT-Forensik und Incident Response
Im Ernstfall müssen Spezialisten den Angriff analysieren, eindämmen und Beweise sichern. Die Deckung umfasst:
- Forensische Analyse: Wie kamen die Angreifer ins System? Welche Daten sind betroffen?
- Schadensbegrenzung: Sofortige Massnahmen zur Eindämmung des Angriffs
- Beweissicherung: Für die Strafverfolgung und allfällige Zivilklagen
- Schwachstellenbehebung: Identifikation und Schliessung der ausgenutzten Sicherheitslücke
Typische Kosten: CHF 15’000–80’000 pro Vorfall. Bei einem grossen Vorfall wie dem ABB-Ransomware-Angriff können die Forensik-Kosten in die Millionen gehen.
3. Datenwiederherstellung
Nach einem Ransomware-Angriff oder einer destruktiven Attacke müssen Systeme und Daten wiederhergestellt werden:
- Entschlüsselung oder Wiederherstellung verschlüsselter Daten
- Neuinstallation von Betriebssystemen und Applikationen
- Rekonfiguration aller betroffenen Systeme
- Validierung der Datenintegrität nach der Wiederherstellung
Typische Kosten: CHF 20’000–150’000 je nach Komplexität der IT-Infrastruktur.
4. Cyber-Erpressung (Ransomware)
Dieser Baustein deckt die Kosten im Zusammenhang mit digitaler Erpressung:
- Verhandlungskosten: Spezialisierte Verhandler kommunizieren mit den Erpressern
- Lösegeldzahlung: Einige Policen decken die Zahlung selbst (kontrovers diskutiert)
- Entschlüsselungskosten: Beschaffung und Anwendung von Entschlüsselungs-Tools
Durchschnittliche Lösegeldforderung in der Schweiz 2024: CHF 280’000. Das BACS rät generell von Lösegeldzahlungen ab, da diese keine Garantie für die Datenwiederherstellung bieten und das kriminelle Geschäftsmodell finanzieren.
Wichtig: Nicht alle Policen decken Lösegeldzahlungen. Einige Versicherer schliessen diesen Punkt explizit aus, andere limitieren ihn auf einen Teilbetrag der Deckungssumme. Prüfen Sie diesen Punkt genau.
5. Krisenmanagement und Kommunikation
Ein Cybervorfall ist nicht nur ein technisches Problem — er ist auch eine Kommunikationskrise. Dieser Baustein deckt:
- PR-Beratung: Professionelle Krisenkommunikation gegenüber Kunden, Partnern und Medien
- Kundenkommunikation: Informationsschreiben, FAQ-Seiten, Hotline-Einrichtung
- Reputationsmanagement: Monitoring und Steuerung der öffentlichen Wahrnehmung
- Interne Kommunikation: Briefing der Mitarbeitenden
Typische Kosten: CHF 10’000–60’000. Dieser Baustein wird von KMU oft unterschätzt, ist aber für die langfristige Schadensbegrenzung essenziell.
6. Benachrichtigungskosten (Notification Costs)
Das neue Datenschutzgesetz (nDSG), das seit dem 1. September 2023 in Kraft ist, verpflichtet Unternehmen zur Meldung von Datenschutzverletzungen:
- Meldepflicht an den EDÖB innerhalb von 72 Stunden
- Benachrichtigung betroffener Personen bei hohem Risiko
- Kreditüberwachungsdienste für Betroffene (in vielen Fällen erwartet)
Typische Kosten pro benachrichtigte Person: CHF 8–15. Bei einem Datenleck mit 10’000 Betroffenen summiert sich das auf CHF 80’000–150’000.
Drittschäden (Third-Party-Deckung) — im Detail
Drittschäden entstehen, wenn andere Parteien durch einen Cybervorfall in Ihrem Unternehmen zu Schaden kommen. Die Haftpflichtdeckung der Cyberversicherung umfasst:
1. Datenschutz-Haftpflicht
- Schadenersatzansprüche von Personen, deren Daten kompromittiert wurden
- Verteidigung gegen behördliche Verfahren (EDÖB, kantonale Datenschutzbehörden)
- Bussgelder gemäss nDSG: bis zu CHF 250’000 für verantwortliche Personen
Praxisrelevanz: Der Xplain-Vorfall 2023 hat gezeigt, wie schnell ein Datenleck bei einem IT-Dienstleister zu massiven Haftpflichtansprüchen führen kann. Mehr dazu in unserer Xplain-Fallstudie.
2. Netzwerksicherheits-Haftpflicht
- Weiterverbreitung von Malware über Ihre Systeme an Geschäftspartner
- Supply-Chain-Angriffe, die über Ihre Infrastruktur laufen
- DDoS-Angriffe, die von kompromittierten Systemen in Ihrem Netzwerk ausgehen
Dieser Baustein ist besonders relevant für Unternehmen, die Teil einer digitalen Lieferkette sind — also für die grosse Mehrheit.
3. Medien- und Persönlichkeitsrechts-Haftpflicht
- Verletzung von Persönlichkeitsrechten durch kompromittierte oder manipulierte Inhalte
- Urheberrechtsverletzungen durch unautorisierten Zugriff auf geschütztes Material
- Verleumdung durch von Angreifern veröffentlichte falsche Informationen
4. Rechtsschutz (Cyber)
- Anwalts- und Gerichtskosten bei Cyber-bezogenen Rechtsstreitigkeiten
- Vertretung vor dem EDÖB und weiteren Datenschutzbehörden
- Vertragsrechtliche Streitigkeiten im Zusammenhang mit einem Cybervorfall
Typische Stundensätze für spezialisierte Cyber-Rechtsanwälte in der Schweiz: CHF 300–600 pro Stunde. Ein komplexer Rechtsfall kann schnell CHF 50’000–200’000 an Rechtskosten generieren.
Assistance-Leistungen — die oft unterschätzte Stärke
Die meisten Schweizer Cyberversicherer bieten eine 24/7-Notfallhotline mit sofortigem Zugang zu:
- IT-Forensikern und Incident-Response-Teams
- Spezialisierten Datenschutz-Rechtsanwälten
- Krisenmanagement- und PR-Beratern
- Ransomware-Verhandlungsexperten
- Datenwiederherstellungsspezialisten
Diese Soforthilfe ist für viele KMU der wertvollste Bestandteil der Cyberversicherung. Denn in den ersten Stunden nach einem Angriff entscheidet sich, ob der Schaden begrenzt werden kann — oder ob er eskaliert. Ohne Versicherung müssen Sie diese Experten selbst suchen und beauftragen, was im Notfall Stunden oder Tage kosten kann.
Reaktionszeit der Versicherer im Vergleich:
| Versicherer | Reaktionszeit (Erstkontakt) | Forensik vor Ort |
|---|---|---|
| Zurich | Innerhalb 1 Stunde | Innerhalb 4 Stunden |
| AXA | Innerhalb 2 Stunden | Innerhalb 8 Stunden |
| Mobiliar | Innerhalb 2 Stunden | Innerhalb 6 Stunden |
| Helvetia | Innerhalb 4 Stunden | Innerhalb 12 Stunden |
Was ist NICHT gedeckt? — Typische Ausschlüsse
Ebenso wichtig wie die Deckung ist das Wissen über die Ausschlüsse. Hier lauern die grössten Fallstricke.
Standardausschlüsse im Überblick
| Ausschluss | Was bedeutet das? | Praxisrelevanz |
|---|---|---|
| Vorsätzliches Handeln | Schäden, die absichtlich verursacht werden | Hoch — auch innere Sabotage durch Mitarbeitende |
| Krieg / staatliche Cyberangriffe | Die sog. «War Exclusion» | Hoch — kontrovers seit Ukraine-Konflikt |
| Bekannte, nicht behobene Schwachstellen | Patches waren verfügbar, wurden aber nicht eingespielt | Sehr hoch — häufigster Grund für Leistungsverweigerung |
| Körper- und Sachschäden | Physische Schäden an Personen oder Gegenständen | Mittel — relevant bei OT/IoT-Vorfällen |
| Infrastrukturausfall | Ausfall von Strom, Internet, Telekommunikation | Mittel — nicht vom Versicherten verursacht |
| Vertragsstrafen | Konventionalstrafen aus Verträgen mit Dritten | Mittel — besonders bei IT-Dienstleistern |
| Fehlende Grundsicherheit | Verletzung der vereinbarten Obliegenheiten | Sehr hoch — regelmässiger Streitpunkt |
| Reputationsschäden (langfristig) | Langfristiger Kundenverlust nach Vorfall | Hoch — oft der grösste Gesamtschaden |
| Bussgelder (teilweise) | Versicherbarkeit je nach Kanton unterschiedlich | Mittel — rechtliche Grauzone |
Die «War Exclusion» — ein heisses Thema
Seit den staatlich gesteuerten Cyberangriffen im Zusammenhang mit dem Ukraine-Konflikt ist die Kriegsausschluss-Klausel eines der meistdiskutierten Themen in der Versicherungsbranche. Lloyd’s of London hat 2023 neue Klauseln eingeführt, die staatlich unterstützte Cyberangriffe ausschliessen können.
Das Problem: Die Zuordnung eines Cyberangriffs zu einem staatlichen Akteur (sog. «Attribution») ist in der Praxis extrem schwierig. Im Ernstfall kann es Monate oder Jahre dauern, bis die Urheberschaft geklärt ist — wenn überhaupt. Dies kann zu langwierigen Streitigkeiten zwischen Versicherungsnehmer und Versicherer führen.
Empfehlung: Prüfen Sie die War-Exclusion-Klausel Ihrer Police genau. Einige Schweizer Versicherer bieten engere Formulierungen, die nur Angriffe im Rahmen eines offiziell erklärten Krieges ausschliessen — das bietet deutlich mehr Schutz.
Bekannte, nicht behobene Schwachstellen — der häufigste Fallstrick
Dieser Ausschluss ist für KMU besonders relevant. Wenn ein Angriff über eine Schwachstelle erfolgt, für die zum Zeitpunkt des Angriffs ein Sicherheitspatch verfügbar war, kann der Versicherer die Leistung kürzen oder verweigern.
Laut einer Analyse des Schweizer Versicherungsombuds aus 2024 betrafen rund 18 % aller Streitfälle bei Cyberversicherungen die Verletzung von Obliegenheiten — insbesondere fehlende Patches. Der ABB-Ransomware-Vorfall zeigt exemplarisch, wie verheerende Auswirkungen ein solcher Angriff haben kann. Mehr dazu in unserer ABB-Fallstudie.
Vergleich: Mini-Police vs. Standard-Police vs. Komplett-Police
Schweizer Versicherer bieten ihre Cyberversicherungen oft in gestaffelten Paketen an. Die folgende Übersicht zeigt, welche Bausteine in welcher Variante typischerweise enthalten sind:
| Deckungsbaustein | Mini-Police | Standard-Police | Komplett-Police |
|---|---|---|---|
| IT-Forensik / Incident Response | Ja | Ja | Ja |
| Datenwiederherstellung | Begrenzt | Ja | Ja |
| Betriebsunterbrechung | Nein | Ja | Ja |
| Cyber-Erpressung / Ransomware | Nein | Teilweise | Ja |
| Krisenmanagement / PR | Nein | Begrenzt | Ja |
| Benachrichtigungskosten | Begrenzt | Ja | Ja |
| Datenschutz-Haftpflicht | Begrenzt | Ja | Ja |
| Netzwerksicherheits-Haftpflicht | Nein | Teilweise | Ja |
| Medien-Haftpflicht | Nein | Nein | Ja |
| Rechtsschutz (Cyber) | Nein | Begrenzt | Ja |
| Social Engineering / CEO-Fraud | Nein | Optional | Ja |
| Systemausfall (nicht Cyber) | Nein | Nein | Optional |
| 24/7-Hotline | Ja | Ja | Ja |
| Forensik-Soforthilfe | Begrenzt | Ja | Ja |
| Typische Deckungssumme | CHF 50’000–250’000 | CHF 250’000–2 Mio. | CHF 1–10 Mio. |
| Typische Jahresprämie (KMU, 25 MA) | CHF 400–800 | CHF 1’500–3’500 | CHF 3’000–8’000 |
Für wen eignet sich welche Variante?
-
Mini-Police: Einzelunternehmen und Kleinstbetriebe mit geringem digitalem Fussabdruck (z. B. Handwerker ohne Online-Shop). Bietet Grundschutz, aber erhebliche Lücken bei Betriebsunterbrechung und Haftpflicht.
-
Standard-Police: Die richtige Wahl für die Mehrheit der Schweizer KMU. Deckt die wichtigsten Risiken ab und bietet ein gutes Preis-Leistungs-Verhältnis. Empfehlenswert ab 5 Mitarbeitenden oder bei Verarbeitung von Kundendaten.
-
Komplett-Police: Für Unternehmen mit hohem Cyberrisiko — etwa in regulierten Branchen (Finanz, Gesundheit), bei umfangreicher Datenverarbeitung oder bei kritischen Lieferkettenbeziehungen. Bietet den umfassendsten Schutz einschliesslich Social Engineering und erweitertem Rechtsschutz.
Empfehlung: Lassen Sie sich von BTAG Versicherungsbroker AG beraten, welche Variante zu Ihrem Risikoprofil passt. Die Unterschiede zwischen den Versicherern sind bei den Paket-Varianten erheblich — was bei einem Anbieter als «Standard» gilt, ist bei einem anderen erst in der «Komplett»-Variante enthalten. Ein unabhängiger Broker schafft Transparenz.
Obliegenheiten — Ihre Pflichten als Versicherungsnehmer
Damit die Cyberversicherung im Schadenfall tatsächlich zahlt, müssen Sie bestimmte Sicherheitsstandards dauerhaft einhalten. Diese sog. Obliegenheiten sind vertraglich festgelegt und variieren je nach Versicherer.
Die wichtigsten Obliegenheiten
- Regelmässige Datensicherung: Mindestens wöchentlich, idealerweise täglich, mit periodischen Offline-Backups
- Aktuelle Software: Sicherheitsupdates innerhalb von 30 Tagen einspielen
- Antivirensoftware: Auf allen Endgeräten installiert und aktuell
- Zugriffsschutz: MFA für Remote-Zugriffe und administrative Konten
- Mitarbeiterschulung: Mindestens jährliche Awareness-Schulung zu Cybersicherheit
- Dokumentierter Notfallplan: Incident-Response-Plan mit klaren Verantwortlichkeiten
- Meldepflicht: Cybervorfälle unverzüglich dem Versicherer melden
Was passiert bei Verstoss gegen Obliegenheiten?
Bei Verletzung der Obliegenheiten kann der Versicherer die Leistung kürzen oder ganz verweigern. Die Rechtslage in der Schweiz ist differenziert:
- Leichte Fahrlässigkeit: In der Regel volle Deckung
- Grobe Fahrlässigkeit: Leistungskürzung möglich (proportional zum Verschulden)
- Vorsatz: Vollständiger Leistungsausschluss
In der Praxis wird die Grenze zwischen leichter und grober Fahrlässigkeit oft zum Streitpunkt. Daher gilt: Dokumentieren Sie Ihre IT-Sicherheitsmassnahmen lückenlos und halten Sie die Obliegenheiten konsequent ein.
Checkliste: Den richtigen Deckungsumfang wählen
Nutzen Sie diese Checkliste, um den für Ihr Unternehmen passenden Deckungsumfang zu bestimmen:
Unbedingt enthalten sein sollte:
- IT-Forensik und Incident Response
- Betriebsunterbrechung (mit kurzer Wartefrist)
- Datenwiederherstellung
- Datenschutz-Haftpflicht
- 24/7-Notfallhotline
Dringend empfohlen:
- Cyber-Erpressung / Ransomware-Deckung
- Krisenmanagement und PR
- Benachrichtigungskosten
- Rechtsschutz (Cyber)
Je nach Risikoprofil zusätzlich:
- Social Engineering / CEO-Fraud (besonders bei Unternehmen mit regelmässigen Zahlungsflüssen)
- Netzwerksicherheits-Haftpflicht (bei Einbindung in Lieferketten)
- Medien-Haftpflicht (bei Verarbeitung persönlicher Daten oder medialer Präsenz)
Mehr Informationen zu den Grundlagen einer Cyberversicherung finden Sie in unserem Ratgeber Was ist eine Cyberversicherung?.
Fazit: Der Deckungsumfang entscheidet über den Wert Ihrer Police
Eine Cyberversicherung ist nur so gut wie ihr Deckungsumfang. Die günstigste Police ist wertlos, wenn sie im Schadenfall die entscheidenden Kosten nicht deckt. Gleichzeitig ist die teuerste Police nicht automatisch die beste — es kommt auf die passgenaue Abstimmung auf Ihr individuelles Risikoprofil an.
Die wichtigsten Punkte zusammengefasst:
- Eigenschäden (Betriebsunterbrechung, Forensik, Datenwiederherstellung) machen 60–75 % der Kosten aus
- Drittschäden (Haftpflicht, Rechtskosten) werden mit dem nDSG immer relevanter
- Assistance-Leistungen (24/7-Hotline, Soforthilfe) sind oft der wertvollste Bestandteil
- Ausschlüsse (bekannte Schwachstellen, War Exclusion) können im Ernstfall zur Leistungsverweigerung führen
- Die Obliegenheiten müssen dauerhaft eingehalten werden
Ihr nächster Schritt: Lassen Sie den Deckungsumfang Ihrer bestehenden oder geplanten Cyberversicherung von BTAG Versicherungsbroker AG kostenlos prüfen. Als unabhängiger Broker kennt BTAG die Feinheiten aller Schweizer Policen und identifiziert Deckungslücken, bevor sie im Ernstfall zum Problem werden. Jetzt Deckungsanalyse anfragen