cyberversicherung.ch Notfall

cyberversicherung.ch

Ransomware und Cyberversicherung: die ersten 24 Stunden

Schweizer Leitfaden für Ransomware: Sofortmassnahmen, Forensik, Versicherer-Zustimmung, BACS und EDÖB, Lösegeld und Sanktionen sowie Betriebsunterbruch.

Veröffentlicht: Lesezeit: 6 Min. Quellen: 6 Geprüft von:

Kurzantwort

Bei Ransomware müssen Unternehmen zuerst die Ausbreitung stoppen, Backups schützen, Beweise sichern und Fachhilfe aktivieren. Betroffene Systeme sind vom Netz zu trennen; unkoordinierte Neustarts, Löschungen und Wiederherstellungen können Beweise vernichten oder eine erneute Infektion begünstigen. Das BACS rät von Lösegeldzahlungen ab und empfiehlt, das weitere Vorgehen mit der Kantonspolizei zu koordinieren.

Eine Cyberversicherung kann je nach Police Incident Response, Forensik, Wiederherstellung, Betriebsunterbruch oder Erpressungsberatung erfassen. Sie ist aber weder eine pauschale Zahlungszusage noch eine Erlaubnis, ohne Freigabe Dienstleister oder Lösegeld zu bezahlen.

Die ersten 24 Stunden bei Ransomware

ZeitraumPrioritätKonkrete Schritte
0–15 MinutenEindämmeninfizierte Geräte und betroffene Netzbereiche isolieren; Internet-, Fernzugriffs- und Standortverbindungen nach Notfallplan begrenzen; Backups schützen; Krisenteam und Protokoll aktivieren
15 Minuten–4 StundenVerstehen und sichernForensik/Incident Response beiziehen; Logs, Erpressernachricht, verschlüsselte Dateien und Zeitstempel erhalten; Identitäten und Cloud-Zugänge prüfen; Versicherer und Polizei über bekannte Kanäle kontaktieren
4–24 StundenEntscheiden und stabilisierenAusmass und möglicher Datenabfluss beurteilen; BACS-/EDÖB- und weitere Meldepflichten entscheiden; sicheren Wiederanlauf planen; Kommunikation und Betriebsnotverfahren freigeben; Schaden und Kosten belegen

Diese Zeitachse ist eine Einsatzhilfe. Sie ersetzt weder die gesetzliche Beurteilung noch die in der Police vereinbarten Melde- und Zustimmungspflichten.

Forensik vor Bereinigung

Das BACS empfiehlt, Logs zu sichern und früh zu entscheiden, ob eine forensische Untersuchung nötig ist. Besonders bei einer Strafanzeige sollten Polizei und Forensik die nächsten Schritte abstimmen, bevor Systeme neu aufgesetzt werden.

Praktisch bedeutet das:

  • keine verdächtigen Geräte zurücksetzen, löschen oder unkoordiniert neu starten;
  • Erpressernachrichten, E-Mail-Header, Dateiendungen, Wallet-Adressen und technische Indikatoren unverändert sichern;
  • relevante Logs aus Identitäts-, E-Mail-, Endpoint-, Firewall-, VPN-, Cloud- und Backup-Systemen exportieren;
  • Beweiskopien, Zeitpunkt, verantwortliche Person und Speicherort dokumentieren;
  • infizierte Systeme erst nach Beweissicherung aus vertrauenswürdigen Medien neu aufbauen;
  • Backups vor dem Rückspielen auf Integrität, Schadsoftware und den geschlossenen Angriffsweg prüfen.

Das Ziel ist nicht nur Entschlüsselung. Der Infektionsweg muss gefunden und beseitigt werden, damit die Angreifer nicht über unveränderte Konten, Fernzugänge oder Schwachstellen zurückkehren.

Versicherer sofort melden – Zustimmung sauber dokumentieren

Viele Cyberpolicen organisieren eine Notfallhotline oder ein Netzwerk aus Forensik-, Rechts- und Kommunikationsdienstleistern. Ob deren Kosten gedeckt sind, entscheidet der Vertrag. Prüfen Sie insbesondere:

  1. Wer darf den Schaden melden und welche Nummer gilt ausserhalb der Bürozeiten?
  2. Muss ein bestimmter Dienstleister eingesetzt werden?
  3. Welche Kosten benötigen vorherige schriftliche Zustimmung?
  4. Gibt es eine Obliegenheit, Schadenminderung sofort vorzunehmen?
  5. Welche Nachweise verlangt der Versicherer für Ausfall, Mehrkosten und Wiederherstellung?

Wenn eine unverzügliche Eindämmung nötig ist, sollte die Organisation nicht untätig bleiben, nur weil eine Kontaktperson noch nicht antwortet. Dokumentieren Sie Notwendigkeit, Zeitpunkt, Alternativen und Kosten jeder Sofortmassnahme und holen Sie die vertraglich verlangte Freigabe so früh wie möglich ein. Ob Kosten erstattet werden, bleibt eine Einzelfallentscheidung nach der Police.

BACS, EDÖB und Polizei: drei verschiedene Wege

BACS

Das BACS nimmt freiwillige Meldungen zu Cybervorfällen entgegen. Für gesetzlich erfasste Betreiber kritischer Infrastrukturen gilt zusätzlich seit 1. April 2025 eine 24-Stunden-Meldepflicht für meldepflichtige Cyberangriffe. Diese Pflicht gilt nicht pauschal für jedes Unternehmen.

EDÖB

Wenn Personendaten betroffen sind, ist Art. 24 DSG zu prüfen. Eine Verletzung der Datensicherheit ist dem EDÖB so rasch als möglich zu melden, wenn sie voraussichtlich zu einem hohen Risiko für Persönlichkeit oder Grundrechte der Betroffenen führt. Ransomware kann neben Verschlüsselung auch Datenabfluss umfassen; eine fehlende Veröffentlichung durch die Täter beweist nicht, dass keine Daten abgeflossen sind.

Kantonspolizei

Das BACS empfiehlt bei Ransomware in jedem Fall eine Strafanzeige und eine frühe Abstimmung mit der Kantonspolizei, besonders vor Forensik, Wiederaufsetzen oder einer Kommunikation mit den Erpressern. Das BACS selbst ist keine Strafverfolgungsbehörde.

Mehr zu den unterschiedlichen Schwellen und Fristen steht im Ratgeber zur Cyber-Meldepflicht.

Lösegeld, Sanktionen und Zustimmung

Das BACS rät von einer Lösegeldzahlung ab: Eine Zahlung garantiert weder Entschlüsselung noch Löschung gestohlener Daten und finanziert das kriminelle Geschäftsmodell. Wer dennoch eine Zahlung erwägt, soll dies laut BACS dringend mit der Kantonspolizei besprechen.

Der Bericht des Bundesrates zu Massnahmen gegen Ransomware hielt 2024 fest, dass in der Schweiz kein generelles Verbot und keine eigene allgemeine Meldepflicht für Lösegeldzahlungen eingeführt werden. Daraus folgt keine pauschale Zulässigkeit einer konkreten Zahlung. Die aktuelle Rechtslage und der konkrete Empfänger müssen jedes Mal geprüft werden.

Besonders wichtig:

  • Schweizer Unternehmen müssen die geltenden Sanktionen einhalten. Eine Zahlung oder Bereitstellung wirtschaftlicher Ressourcen kann verboten sein, wenn sanktionierte Personen oder Organisationen beteiligt sind.
  • Identität und Verbindungen der Täterschaft sind oft unklar. Eine professionelle Sanktions- und Rechtsprüfung ist deshalb vor jedem Zahlungsentscheid nötig.
  • Polizei, Rechtsberatung, Versicherer und allenfalls ein zugelassener Erpressungsberater müssen koordiniert werden.
  • Weder Erpressungsverhandlung noch Zahlung dürfen allein aufgrund der technischen Möglichkeit oder einer vermeintlichen Versicherungsdeckung freigegeben werden.
  • Lösegeld und damit verbundene Kosten können ausgeschlossen, nur teilweise erfasst oder an ein eigenes Sublimit und vorherige Zustimmung gebunden sein.

Die SECO-Seite zu Sanktionen führt die aktuellen Verordnungen und die Suche nach sanktionierten Personen und Organisationen. Bei einem realen Zahlungsentscheid ist eine aktuelle Einzelfallprüfung unerlässlich.

Betriebsunterbruch: Wartezeit, Haftzeit und Sublimits

«Betriebsunterbruch versichert» sagt noch nicht, wie viel eine Police leistet. Für Ransomware sollten mindestens diese Vertragsstellen geprüft werden:

BegriffWas zu klären ist
Versicherter AuslöserMuss ein eigenes System betroffen sein oder genügt der Ausfall eines Cloud-/IT-Dienstleisters?
WartezeitAb welchem Zeitpunkt beginnt die versicherte Unterbrechung? Ist die Wartezeit eine Zeitspanne, ein finanzieller Eigenanteil oder beides?
HaftzeitWie lange werden versicherte Ausfälle und Mehrkosten berücksichtigt?
BerechnungWelche Umsätze, variablen Kosten, fortlaufenden Kosten und Schadenminderungsaufwendungen fliessen ein?
SublimitGilt für Betriebsunterbruch, Erpressung, Wiederherstellung oder Dienstleisterausfall eine niedrigere Grenze als die Gesamtversicherungssumme?
WiederanlaufEndet die Leistung bei technischer Verfügbarkeit oder berücksichtigt sie den kontrollierten Wiederhochlauf?
NachweiseWelche Finanzdaten, Systemprotokolle, Arbeitszeiten, Rechnungen und Entscheidungen müssen belegt werden?

Ein Sublimit ist eine Leistungsobergrenze innerhalb der Gesamtlimite. Eine Wartezeit ist nicht automatisch dasselbe wie ein Geldselbstbehalt. Nur der konkrete Wortlaut zeigt, wie beide zusammenspielen.

Checkliste für die Police vor dem Vorfall

  • Notfallnummer und Policennummer offline verfügbar
  • Meldeberechtigte und Stellvertretung benannt
  • zugelassene Forensik-, Rechts- und Kommunikationspartner bekannt
  • Zustimmung für Sofortkosten und Dienstleister geklärt
  • Erpressungsberatung und Lösegeld getrennt geprüft
  • Betriebsunterbruch, Wartezeit, Haftzeit und Berechnung verstanden
  • Sublimits je Leistungsbaustein dokumentiert
  • Ausfall bei Cloud-, IT- und Lieferdienstleistern geprüft
  • Sicherheitsvoraussetzungen und Ausschlüsse aktuell erfüllt
  • Nachweise für Umsatz, Mehrkosten und Wiederanlauf vorbereitet

Der allgemeine Deckungsleitfaden und die Fragen für den Versicherungsantrag helfen bei der Vorbereitung.

Offizielle und primäre Quellen

Inhaltlich geprüft am 18. Juli 2026. Versicherungsleistung, Meldepflicht und rechtliche Zulässigkeit hängen vom Einzelfall, der aktuellen Rechtslage und dem konkreten Vertrag ab.

BTAG Versicherungsbroker AG · Bern

Offertenberatung durch BTAG Versicherungsbroker AG, Bern — FINMA-registrierter Versicherungsvermittler.

Haben Sie Fragen zu Cyberversicherungen?

BTAG klärt Ihr Risikoprofil und legt eine allfällige Courtage vor dem Abschluss transparent offen. Die Anfrage verpflichtet zu keinem Abschluss.

Geprüfte Primärquellen
Courtage wird offengelegt