Kurzantwort
Eine Cyberversicherung kann sinnvoll sein, wenn ein IT-Ausfall, ein Datenvorfall oder ein digitaler Haftpflichtanspruch die eigenen finanziellen und organisatorischen Reserven überfordern könnte. Sie ist weniger sinnvoll, wenn ein Unternehmen vor allem eine Versicherung sucht, um grundlegende Sicherheitsarbeit zu ersetzen. Eine Police verhindert keinen Angriff und deckt nur die im Vertrag definierten Ereignisse und Kosten.
Die Entscheidung sollte deshalb nicht mit einer allgemeinen Schadenwahrscheinlichkeit beginnen, sondern mit vier Fragen:
- Was muss nach einem Vorfall sofort verfügbar sein? Dazu gehören Forensik, Rechtsberatung, Krisenkommunikation und Wiederherstellung.
- Welchen Ausfall kann das Unternehmen selbst tragen? Relevant sind Liquidität, tolerierbare Stillstandszeit und interne Fachressourcen.
- Welche Risiken sind bereits versichert? Haftpflicht-, Sach-, Vertrauensschaden- oder Elektronikpolicen können Teilbereiche enthalten oder ausschliessen.
- Was würde die konkrete Cyberpolice tatsächlich leisten? Wortlaut, Auslöser, Limiten, Sublimiten, Selbstbehalt, Wartefrist und Ausschlüsse sind entscheidend.
Hinweise aus Schweizer Daten
Die Schweizer KMU-Cyberstudie 2024 befragte 515 Unternehmen. 25 Prozent verfügten über ein Sicherheitskonzept, 32 Prozent führten regelmässige Schulungen durch und 33 Prozent hatten einen Notfallplan. Der Schweizerische Versicherungsverband meldete für 2024 rund 67’000 Firmenpolicen, entsprechend 10,8 Prozent der in der Schweiz domizilierten Unternehmen.
Diese Werte beschreiben Stichprobe und Markt. Sie beweisen weder, dass jedes KMU eine Police benötigt, noch liefern sie eine Eintrittswahrscheinlichkeit für einen einzelnen Betrieb.
Wann eine Police besonders prüfenswert ist
- zentrale Geschäftsprozesse stehen ohne IT, Cloud oder einen einzelnen Dienstleister still;
- das Unternehmen bearbeitet sensible Personen-, Gesundheits-, Finanz- oder Berufsgeheimnisdaten;
- ein Vorfall könnte Ansprüche von Kunden oder anderen Dritten auslösen;
- interne Forensik-, Rechts- oder Krisenressourcen fehlen;
- ein längerer Wiederanlauf würde die Liquidität erheblich belasten;
- Kunden oder Aufsichtsregeln verlangen bestimmte Absicherungen oder Reaktionsfähigkeiten.
Das sind Prüfindikatoren, keine automatische Kaufempfehlung.
Wann zuerst andere Arbeit nötig ist
Vor einem Versicherungsvergleich sollten Unternehmen bekannte, wesentliche Schwachstellen angehen. Dazu zählen insbesondere fehlende Multi-Faktor-Authentifizierung bei kritischen Zugängen, ungetestete Backups, unklare Administratorrechte und ein nicht geübter Notfallplan. Solche Lücken erhöhen nicht nur das Risiko; sie können auch Annahme, Bedingungen oder Leistung im Schadenfall beeinflussen.
Eigenvorsorge und Versicherung richtig trennen
Eigenvorsorge reduziert Eintritt und Auswirkung eines Vorfalls. Versicherung überträgt einen vertraglich begrenzten Teil der finanziellen Folgen und organisiert je nach Produkt externe Hilfe. Eine sinnvolle Lösung kombiniert beides:
| Eigenvorsorge | Mögliche Versicherungsleistung, falls vereinbart |
|---|---|
| MFA, Updates und begrenzte Rechte | Koordination externer Incident Response |
| getrennte und getestete Backups | versicherte Wiederherstellungskosten |
| Notfallplan und Übungen | Krisenberatung und Kommunikation |
| sichere Zahlungsfreigaben | Schutz bei Cyberbetrug nur bei ausdrücklichem Einschluss |
| Lieferantenkontrollen | Deckung externer Dienstleister nur nach Vertragsdefinition |
So treffen Sie eine belastbare Entscheidung
- Beziffern Sie tolerierbaren Ausfall und verfügbare Eigenmittel.
- Prüfen Sie bestehende Policen auf Überschneidungen und Lücken.
- Legen Sie gewünschte Leistungen vor der Offertanfrage fest.
- Geben Sie allen angefragten Versicherern dieselben Risikoinformationen.
- Vergleichen Sie nicht nur Prämien, sondern auch Definitionen, Sublimiten, Selbstbehalt, Wartefristen und Sicherheitsobliegenheiten.
- Dokumentieren Sie, welche Restrisiken bewusst selbst getragen werden.
Eine individuelle Offerte ist erst dann aussagekräftig, wenn diese Grundlagen geklärt sind.