Gibt es feste Voraussetzungen für jede Cyberversicherung?
Nein. Versicherer und Produkte haben unterschiedliche Annahmeregeln. Unternehmensgrösse, Branche, Daten, IT-Abhängigkeit, gewünschte Deckung und aktuelle Marktlage beeinflussen, welche Fragen gestellt und welche Nachweise verlangt werden. Einzelne Sicherheitsmassnahmen garantieren weder Annahme noch Rabatt oder Deckung.
Vollständige und aktuelle Antworten sind trotzdem zentral: Falsche oder unvollständige Angaben können Angebot, Vertrag und spätere Leistungsprüfung beeinflussen.
Diese Angaben sollten Sie vorbereiten
Unternehmen und gewünschter Schutz
- Tätigkeit, Standorte, Umsatz und Zahl der Mitarbeitenden
- wichtige Kundengruppen und regulierte Tätigkeiten
- gewünschte Deckungsbausteine, Limiten und Selbstbehalte
- frühere Cybervorfälle, Schäden und bekannte aktuelle Umstände
Daten und digitale Abhängigkeiten
- Arten und ungefähre Mengen bearbeiteter Personen- und Geschäftsdaten
- kritische Systeme, Cloud-Dienste und externe IT-Dienstleister
- maximale tolerierbare Ausfallzeit wichtiger Prozesse
- Abhängigkeiten von einzelnen Lieferanten oder Plattformen
Identitäten und Zugänge
- Multi-Faktor-Authentifizierung für E-Mail, Fernzugänge und Administrationskonten
- Verwaltung privilegierter Rechte und Austritte
- Schutz öffentlich erreichbarer Dienste und Fernwartung
- Verfahren bei verdächtigen Konten oder kompromittierten Zugangsdaten
Updates, Schutz und Überwachung
- Verantwortlichkeiten und Fristen für sicherheitsrelevante Updates
- Schwachstellenmanagement für internet-exponierte Systeme
- Endgeräteschutz, Protokollierung und Alarmbearbeitung
- Umgang mit nicht mehr unterstützter Software
Backups und Wiederanlauf
- Trennung oder Unveränderbarkeit von Sicherungen
- Schutz der Backup-Administrationskonten
- Datum und Ergebnis der letzten Wiederherstellungsübung
- dokumentierte Reihenfolge für den Wiederanlauf kritischer Systeme
Notfall und Recht
- interner Notfallplan mit Rollen und Kontaktwegen
- erreichbare IT-Forensik, Rechtsberatung und Kommunikation
- Prozess zur Beurteilung von Meldungen an EDÖB, BACS, Aufsicht oder Betroffene
- Übungen und Erkenntnisse aus vergangenen Vorfällen
Welche Nachweise sind hilfreich?
Nicht jeder Versicherer verlangt dieselben Dokumente. Praktisch hilfreich können sein:
- aktuelles System- und Dienstleisterverzeichnis;
- Screenshot oder Konfigurationsnachweis für MFA bei kritischen Zugängen;
- Protokoll einer Backup-Wiederherstellung;
- Patch- oder Schwachstellenbericht mit Bearbeitungsstatus;
- Notfallplan und Protokoll der letzten Übung;
- relevante Zertifikate oder Prüfberichte – mit dokumentierten offenen Punkten.
Ein Zertifikat ersetzt keine vollständige Risikodarstellung. Umgekehrt sollte ein Unternehmen sensible technische Details nur über einen dafür vorgesehenen, geschützten Kanal übermitteln.
Häufige Fehler im Cyber-Fragebogen
- Antworten werden geschätzt: IT, Geschäftsleitung, Datenschutz und externe Dienstleister sollten strittige Punkte gemeinsam klären.
- „Ja“ wird zu weit ausgelegt: MFA für einzelne Benutzer ist nicht dasselbe wie MFA für alle kritischen und privilegierten Zugänge.
- Backups werden mit Wiederherstellung verwechselt: Entscheidend ist, ob die Rücksicherung tatsächlich getestet wurde.
- Bekannte Vorfälle fehlen: Auch noch nicht bezifferte oder untersuchte Umstände können relevant sein.
- Antworten veralten vor Vertragsbeginn: Wesentliche Änderungen zwischen Fragebogen und Abschluss sollten gemeldet werden.
- Offerten basieren auf verschiedenen Angaben: Ein Vergleich ist nur belastbar, wenn Risikodaten und gewünschte Deckung identisch sind.
Vor dem Absenden: kurze Kontrolle
- Sind alle Antworten datiert und intern verantwortet?
- Sind unklare Begriffe mit dem Versicherer oder Vermittler geklärt?
- Stimmen Antworten mit technischen Nachweisen überein?
- Sind Ausnahmen, Alt-Systeme und laufende Verbesserungen offen beschrieben?
- Wurden Deckung, Sublimiten, Selbstbehalt und Ausschlüsse separat geprüft?
Der ausgefüllte Fragebogen gehört zur Entscheidungsgrundlage. Bewahren Sie die eingereichte Fassung und zugehörige Nachweise nachvollziehbar auf.