Cyberversicherung für KMU — Warum 90% der Schweizer Unternehmen unversichert sind
Cyberversicherung für KMU in der Schweiz — ein gefährliches Versäumnis
Die Schweiz ist ein KMU-Land: Über 600’000 kleine und mittlere Unternehmen bilden das Rückgrat der Wirtschaft und beschäftigen rund zwei Drittel aller Arbeitnehmenden. Doch wenn es um Cybersicherheit geht, klafft eine gefährliche Lücke. Nur geschätzte 10 % der Schweizer KMU verfügen über eine Cyberversicherung — obwohl die Bedrohungslage Jahr für Jahr dramatisch zunimmt.
Im Jahr 2024 registrierte das Bundesamt für Cybersicherheit (BACS) über 59’000 Cybercrime-Meldungen in der Schweiz. Die Dunkelziffer liegt nach Expertenschätzung drei- bis fünfmal höher. Und die Opfer sind längst nicht mehr nur Grosskonzerne: Rund 36 % aller Schweizer KMU wurden gemäss der Studie der Mobiliar und ETH Zürich (2024) bereits mindestens einmal Opfer eines Cyberangriffs.
Dieser Ratgeber zeigt Ihnen, warum gerade KMU besonders gefährdet sind, welche Schäden eine Cyberversicherung konkret abdeckt, was sie kostet — und wie Sie sich Schritt für Schritt absichern.
Warum sind KMU das bevorzugte Ziel von Cyberkriminellen?
Cyberkriminelle agieren ökonomisch. Sie suchen Ziele mit dem besten Verhältnis von Aufwand zu Ertrag. KMU bieten genau dieses Profil — und das aus mehreren Gründen.
1. Geringere IT-Sicherheit als Grossunternehmen
Während Grosskonzerne eigene Security Operations Center (SOC), dedizierte CISO-Positionen und Millionenbudgets für Cybersicherheit unterhalten, sieht die Realität bei den meisten KMU anders aus:
- 65 % der Schweizer KMU haben keinen dedizierten IT-Sicherheitsverantwortlichen
- 42 % setzen keine Multi-Faktor-Authentifizierung (MFA) für Remote-Zugriffe ein
- 38 % führen keine regelmässigen Offline-Backups durch
- 71 % haben keinen dokumentierten Incident-Response-Plan
Diese Zahlen stammen aus dem Cyber Security Report der FHNW (2024) und zeigen: Die meisten KMU bieten Angreifern ein leichtes Spiel.
2. Wertvolle Daten — ohne adäquaten Schutz
KMU verarbeiten oft hochsensible Daten — Kundendaten, Finanzdaten, Geschäftsgeheimnisse, teilweise sogar Gesundheitsdaten. Auf dem Schwarzmarkt bringen diese Daten erhebliche Summen ein:
| Datentyp | Schwarzmarktwert pro Datensatz |
|---|---|
| Kreditkartendaten | CHF 12–60 |
| Personalausweis-/Pass-Scans | CHF 15–80 |
| Login-Daten (E-Banking) | CHF 50–200 |
| Gesundheitsdaten | CHF 80–400 |
| Firmen-VPN-Zugangsdaten | CHF 200–2’000 |
Ein KMU mit 5’000 Kundendatensätzen kann für Cyberkriminelle einen Wert von CHF 60’000 bis CHF 300’000 haben — Grund genug für einen gezielten Angriff.
3. KMU als Einstiegstor in die Lieferkette
Immer häufiger nutzen Angreifer KMU als Sprungbrett zu grösseren Unternehmen. Ein kompromittierter Zulieferer kann zum Einfallstor für den gesamten Konzern werden. Der Xplain-Vorfall 2023 — bei dem über eine IT-Dienstleisterin sensible Bundesdaten abflossen — hat dieses Risiko eindrücklich demonstriert.
4. Unterschätztes Risiko, fehlende Awareness
Viele KMU-Inhaberinnen und -Inhaber denken: «Wir sind zu klein, um angegriffen zu werden.» Diese Annahme ist gefährlich falsch. Moderne Cyberangriffe funktionieren oft automatisiert und breit gestreut — Ransomware-Kampagnen scannen das gesamte Internet nach verwundbaren Systemen, unabhängig von der Unternehmensgrösse. Wer eine bekannte Schwachstelle hat, wird angegriffen — ob Einzelunternehmen oder Grosskonzern.
Typische Schadensszenarien für Schweizer KMU
Die folgenden drei Szenarien zeigen, wie ein Cyberangriff ein KMU konkret treffen kann — und welche Kosten entstehen.
Szenario 1: Ransomware bei einem Handwerksbetrieb (12 Mitarbeitende)
Ein Mitarbeiter öffnet einen E-Mail-Anhang, der als Rechnung getarnt ist. Innerhalb von Minuten verschlüsselt Ransomware alle Server und Arbeitsplätze.
| Kostenposition | Betrag |
|---|---|
| IT-Forensik und Schadenanalyse | CHF 18’000 |
| Datenwiederherstellung aus Backup | CHF 12’000 |
| Betriebsunterbrechung (8 Arbeitstage) | CHF 48’000 |
| Neue Hardware / Neuinstallation | CHF 8’000 |
| Gesamtschaden | CHF 86’000 |
Ohne Cyberversicherung muss der Betrieb diesen Betrag vollständig aus eigener Tasche bezahlen. Für ein KMU mit einem Jahresgewinn von CHF 150’000 ist das existenzbedrohend.
Szenario 2: Datenleck bei einer Treuhänderin (6 Mitarbeitende)
Ein veraltetes Webmail-System wird kompromittiert. Angreifer erhalten Zugriff auf E-Mail-Korrespondenz mit Steuerunterlagen und Finanzdaten von 340 Mandanten.
| Kostenposition | Betrag |
|---|---|
| IT-Forensik | CHF 22’000 |
| Rechtliche Beratung (nDSG-Meldung, EDÖB) | CHF 15’000 |
| Benachrichtigung der 340 Betroffenen | CHF 4’500 |
| Kreditüberwachung für Betroffene | CHF 8’500 |
| Reputationsmanagement / Krisenkommunikation | CHF 12’000 |
| Haftpflichtansprüche (2 Mandanten klagen) | CHF 45’000 |
| Gesamtschaden | CHF 107’000 |
Besonders bitter: Neben den direkten Kosten verliert die Treuhänderin 15 % ihrer Mandanten — ein langfristiger Schaden, der in keiner Versicherung abgebildet ist.
Szenario 3: CEO-Fraud bei einem Produktionsbetrieb (45 Mitarbeitende)
Cyberkriminelle fälschen die E-Mail-Adresse des CEO und weisen die Buchhalterin an, eine «dringende Zahlung» von CHF 185’000 an ein ausländisches Konto zu überweisen. Die Zahlung wird ausgeführt, bevor der Betrug auffällt.
| Kostenposition | Betrag |
|---|---|
| Überweisungsverlust (nur CHF 40’000 rückholbar) | CHF 145’000 |
| IT-Forensik (Kompromittierung prüfen) | CHF 12’000 |
| Rechtskosten (Strafanzeige, Rückholung) | CHF 18’000 |
| Neue Sicherheitsmassnahmen (Vier-Augen-Prinzip) | CHF 5’000 |
| Gesamtschaden | CHF 180’000 |
Eine Cyberversicherung mit Social-Engineering-Deckung hätte den grössten Teil dieses Schadens übernommen.
Was kostet eine Cyberversicherung für KMU?
Die Kosten einer Cyberversicherung für KMU sind deutlich geringer, als die meisten annehmen. Hier eine Übersicht nach Unternehmensgrösse:
| KMU-Grösse | Mitarbeitende | Jahresprämie | Typische Deckungssumme |
|---|---|---|---|
| Mikro-KMU | 1–10 | CHF 400–2’000 | CHF 100’000–500’000 |
| Kleine KMU | 11–50 | CHF 600–5’000 | CHF 250’000–2 Mio. |
| Mittlere KMU | 51–250 | CHF 2’000–10’000 | CHF 1–5 Mio. |
Mehr dazu in unserem ausführlichen Kostenratgeber.
Kosten der Versicherung vs. Kosten eines Angriffs
Die Gegenüberstellung macht die Verhältnismässigkeit deutlich:
| Vergleichsgrösse | Cyberversicherung (jährlich) | Durchschnittlicher Cyberangriff |
|---|---|---|
| Mikro-KMU (5 MA) | CHF 600 | CHF 75’000 |
| Kleines KMU (25 MA) | CHF 2’000 | CHF 180’000 |
| Mittleres KMU (100 MA) | CHF 5’000 | CHF 450’000 |
Das Verhältnis beträgt im Schnitt 1:90 — für jeden investierten Franken Prämie wird im Schadenfall ein potenzieller Schaden von CHF 90 gedeckt. Bei einer durchschnittlichen Eintrittswahrscheinlichkeit von 8–12 % pro Jahr ergibt sich ein statistischer ROI von 600–900 %.
Worauf KMU bei der Wahl einer Police achten sollten
Nicht jede Cyberversicherung ist für KMU geeignet. Achten Sie auf folgende Punkte:
- 24/7-Hotline mit Soforthilfe: Im Ernstfall zählt jede Stunde. Eine reine Schadenmeldung per E-Mail reicht nicht
- Betriebsunterbrechungsdeckung: Für die meisten KMU der grösste Kostenblock
- Social-Engineering-Deckung: CEO-Fraud und Fake-Rechnungen sind die häufigsten Betrugsarten bei KMU
- Deckung für Drittschäden: Besonders wichtig, wenn Sie Kundendaten verarbeiten
- Realistische Obliegenheiten: Manche Policen fordern Sicherheitsstandards, die für ein Mikro-KMU unrealistisch sind
- Angemessener Selbstbehalt: CHF 2’500–5’000 sind für KMU in der Regel tragbar
Mindestanforderungen der Versicherer — was KMU erfüllen müssen
Bevor ein Versicherer eine Cyberversicherung anbietet, prüft er das IT-Sicherheitsniveau des Unternehmens. Wer die Mindestanforderungen nicht erfüllt, erhält entweder keine Police oder nur zu deutlich höheren Prämien.
Die 7 häufigsten Mindestanforderungen
| Anforderung | Beschreibung | Umsetzung für KMU |
|---|---|---|
| Multi-Faktor-Authentifizierung (MFA) | Für alle Remote-Zugriffe und Admin-Konten | Microsoft 365 / Google Workspace mit MFA aktivieren |
| Regelmässige Datensicherung | Mindestens tägliches Backup, idealerweise offline | Cloud-Backup + wöchentliches Offline-Backup |
| Aktuelle Antivirensoftware | Auf allen Endgeräten, zentral verwaltet | Managed Endpoint Protection (ab CHF 5/Gerät/Monat) |
| Zeitnahes Patch-Management | Sicherheitsupdates innerhalb von 30 Tagen | Automatische Updates aktivieren |
| Firewall | Netzwerk durch Firewall geschützt | Hardware-Firewall oder Managed Firewall Service |
| Mitarbeiterschulung | Jährliche Awareness-Schulung | Online-Schulungsplattformen (ab CHF 15/Person/Jahr) |
| Incident-Response-Plan | Dokumentiertes Vorgehen bei einem Cybervorfall | Vorlage erstellen, Verantwortlichkeiten definieren |
Was passiert, wenn Anforderungen nicht erfüllt werden?
Falls Ihr KMU einzelne Anforderungen noch nicht erfüllt, gibt es drei mögliche Szenarien:
- Ablehnung: Der Versicherer bietet keine Police an (selten bei etablierten Anbietern)
- Aufschlag: Die Prämie wird um 15–40 % erhöht
- Ausschluss: Bestimmte Deckungsbausteine werden ausgeschlossen (z. B. keine Ransomware-Deckung ohne Backup-Nachweis)
Die gute Nachricht: Die meisten Mindestanforderungen lassen sich mit überschaubarem Aufwand und Budget umsetzen. Ein Mikro-KMU kann die grundlegenden Anforderungen für CHF 2’000–5’000 einmalig plus CHF 100–300 pro Monat laufende Kosten erfüllen.
Tipp: Lassen Sie Ihren aktuellen IT-Sicherheitsstatus von einem Broker wie BTAG Versicherungsbroker AG kostenfrei einschätzen. BTAG kennt die Anforderungen aller Schweizer Versicherer und weiss, welche Massnahmen wirklich nötig sind — und welche Nice-to-have.
Schritt-für-Schritt zur Cyberversicherung für Ihr KMU
Schritt 1: IT-Sicherheits-Standortbestimmung
Bevor Sie eine Offerte einholen, verschaffen Sie sich einen Überblick über Ihren aktuellen Sicherheitsstand:
- Welche Systeme und Daten sind geschäftskritisch?
- Wie lange könnte Ihr Unternehmen ohne IT arbeiten?
- Welche Sicherheitsmassnahmen sind bereits umgesetzt?
- Gab es in der Vergangenheit Vorfälle oder Beinahe-Vorfälle?
Viele Versicherer bieten einen kostenlosen Cyber-Risiko-Check an, der Ihnen diese Analyse erleichtert.
Schritt 2: Deckungsbedarf ermitteln
Bestimmen Sie die notwendige Deckungssumme anhand der Faustregel: mindestens das 3-Fache des Monatsumsatzes, aber nicht weniger als CHF 250’000. Berücksichtigen Sie dabei:
- Potenzielle Betriebsunterbrechungsdauer (wie viele Tage können Sie überleben?)
- Art und Menge der gespeicherten Daten (je sensibler, desto höher die Deckung)
- Vertragliche Verpflichtungen gegenüber Kunden und Partnern
- Regulatorische Anforderungen Ihrer Branche
Schritt 3: Mindestanforderungen umsetzen
Setzen Sie die in diesem Artikel beschriebenen Mindestanforderungen um, bevor Sie Offerten einholen. Das senkt Ihre Prämie und stellt sicher, dass Sie überhaupt versicherbar sind. Priorisieren Sie:
- MFA für alle Benutzerkonten aktivieren
- Tägliches Backup einrichten (idealerweise mit Offline-Kopie)
- Alle Systeme auf den neuesten Stand bringen
- Endpoint Protection auf allen Geräten installieren
Schritt 4: Mehrere Offerten einholen und vergleichen
Holen Sie mindestens drei bis fünf Offerten ein. Vergleichen Sie dabei nicht nur den Preis, sondern auch:
- Deckungsumfang (welche Bausteine sind enthalten?)
- Ausschlüsse (was ist explizit NICHT gedeckt?)
- Obliegenheiten (welche Anforderungen müssen Sie dauerhaft erfüllen?)
- Assistance-Leistungen (24/7-Hotline, Forensik, Rechtsberatung)
- Selbstbehalt und Deckungslimiten
Detaillierte Informationen dazu finden Sie in unserem Vergleichsratgeber.
Schritt 5: Police abschliessen und dokumentieren
Lesen Sie die Versicherungsbedingungen sorgfältig und achten Sie besonders auf die Obliegenheiten. Dokumentieren Sie bei Vertragsabschluss den aktuellen Stand Ihrer IT-Sicherheitsmassnahmen — im Schadenfall kann diese Dokumentation entscheidend sein.
Schritt 6: Regelmässig überprüfen und anpassen
Ihre IT-Infrastruktur, Ihr Geschäftsmodell und die Bedrohungslage verändern sich. Überprüfen Sie Ihre Police mindestens jährlich und passen Sie Deckungssumme und Bausteine bei Bedarf an. Typische Anlässe für eine Anpassung:
- Wachstum (mehr Mitarbeitende, höherer Umsatz)
- Neue Geschäftsbereiche (z. B. Einstieg in E-Commerce)
- IT-Infrastrukturänderungen (Cloud-Migration, neue Standorte)
- Veränderte regulatorische Anforderungen
Häufige Einwände von KMU — und warum sie nicht stichhaltig sind
«Wir sind zu klein, um angegriffen zu werden.»
Falsch. Automatisierte Angriffe unterscheiden nicht nach Unternehmensgrösse. Ransomware-Kampagnen scannen das Internet breit und verschlüsseln jedes verwundbare System. Gerade die fehlende IT-Security bei kleinen KMU macht sie zum leichten Ziel.
«Unsere IT ist sicher genug.»
Möglicherweise — aber auch die besten Sicherheitsmassnahmen bieten keinen 100-%-Schutz. Selbst Grossunternehmen mit Millionenbudgets werden gehackt. Eine Cyberversicherung ist das finanzielle Sicherheitsnetz für den Fall, dass alle technischen Massnahmen versagen.
«Das ist zu teuer für uns.»
Bei Prämien ab CHF 400 pro Jahr für ein Mikro-KMU ist eine Cyberversicherung günstiger als die meisten anderen Betriebsversicherungen. Zum Vergleich: Die durchschnittliche Betriebshaftpflichtprämie für ein Mikro-KMU liegt bei CHF 800–1’500 pro Jahr. Die Cyberversicherung kostet oft weniger als die Hälfte — bei einem potenziell höheren Schadenrisiko.
«Unsere IT-Firma kümmert sich darum.»
Ein IT-Dienstleister sorgt für Prävention, kann aber das Restrisiko nicht eliminieren. Ausserdem deckt die Haftpflicht des IT-Dienstleisters in der Regel nur Fehler des Dienstleisters selbst ab — nicht Schäden durch externe Angriffe auf Ihre Systeme. Die Cyberversicherung schliesst diese Lücke.
«Wir haben ja Backups.»
Backups sind essenziell, aber sie allein reichen nicht. Moderne Ransomware sucht gezielt nach Backups und verschlüsselt oder löscht diese mit. Ausserdem decken Backups weder die Kosten der Betriebsunterbrechung noch die Rechtskosten bei einem Datenleck ab.
Die Akira-Ransomware-Welle — ein Weckruf für Schweizer KMU
Im Jahr 2023/2024 traf die Akira-Ransomware eine Reihe von Schweizer KMU. Die Angriffe zeigten exemplarisch, wie verwundbar mittelständische Unternehmen sind. Die Angreifer nutzten bekannte Schwachstellen in VPN-Gateways — Sicherheitslücken, für die längst Patches verfügbar waren, die aber nicht eingespielt worden waren.
Die Folgen waren gravierend: Verschlüsselte Systeme, wochenlange Betriebsausfälle und Lösegeldforderungen im sechsstelligen Bereich. Unternehmen mit Cyberversicherung konnten auf sofortige Incident-Response-Teams zugreifen und den Schaden begrenzen. Unversicherte Betriebe standen allein da.
Mehr zu diesem Fall erfahren Sie in unserer Fallstudie zum Akira-Angriff.
Fazit: Cyberversicherung ist für KMU keine Kür — sondern Pflicht
Die Zahlen sprechen eine klare Sprache:
- 36 % der Schweizer KMU wurden bereits angegriffen
- 60 % der schwer betroffenen KMU gehen innerhalb von 24 Monaten in Konkurs
- 90 % der KMU sind nicht gegen Cyberrisiken versichert
- Eine Police kostet ab CHF 400 pro Jahr — ein Bruchteil des potenziellen Schadens
Die Cyberversicherung für KMU ist vergleichbar mit der Feuerversicherung: Man hofft, sie nie zu brauchen — aber wenn es brennt, rettet sie die Existenz.
Ihr nächster Schritt: Lassen Sie Ihre aktuelle Situation kostenlos von BTAG Versicherungsbroker AG analysieren. Als unabhängiger Versicherungsbroker in Bern vergleicht BTAG alle Schweizer Cyberversicherer und findet die Police, die zu Ihrem KMU passt — bedarfsgerecht und zum besten Preis. Jetzt kostenlose Beratung anfragen