Sicherheit & Datenschutz
Cyberversicherung für KMU: Brauchen Sie das?

Cyberversicherungen sind für KMU attraktiv, weil sie ein schwer kalkulierbares Risiko greifbarer machen. Sie sind aber kein Ersatz für Sicherheit. Viele Versicherer prüfen inzwischen sehr genau, ob grundlegende Massnahmen vorhanden waren. Wer erst nach einem Vorfall merkt, dass MFA, Backup oder EDR nur teilweise umgesetzt waren, riskiert Kürzungen oder Ablehnung.
Praktische Checkliste
Nutzen Sie diesen Artikel als kurze Arbeitsgrundlage: Prüfen Sie zuerst die Punkte unten, halten Sie offene Fragen fest und entscheiden Sie danach, ob ein IT-Check, ein konkretes Projekt oder laufende Betreuung sinnvoller ist.
- Eine Cyberversicherung deckt typischerweise Wiederherstellung, Forensik, Betriebsunterbruch, Haftung und Krisenkommunikation ab.
- Versicherer verlangen zunehmend Mindeststandards wie MFA, getestete Backups, EDR, Patch-Management und klare Zuständigkeiten.
- Ohne belegbare Schutzmassnahmen kann die Police weniger helfen als erwartet.
- Die beste Reihenfolge ist: Sicherheitsbasis herstellen, Risiken dokumentieren, dann Versicherung passend wählen.
Beispiel aus einem Schweizer KMU
Ein typisches KMU merkt das Thema oft nicht an einem einzelnen Grossproblem, sondern an vielen kleinen Reibungen: unklare Zuständigkeiten, wiederkehrende Rückfragen, alte Berechtigungen, fehlende Dokumentation oder Unsicherheit bei Kosten und Sicherheit. Genau deshalb ist die erste gute Massnahme selten ein Toolkauf, sondern eine nüchterne Bestandsaufnahme.
Fehler, die Sie vermeiden sollten
- Nur nach dem günstigsten Einzelangebot entscheiden, ohne Verantwortung und Folgekosten zu klären.
- Sicherheit, Backup und Benutzerverwaltung getrennt betrachten, obwohl sie im Alltag zusammenhängen.
- Ein Projekt abschliessen, ohne Betrieb, Support, Dokumentation und nächste Kontrolle zu regeln.
Was eine Cyberversicherung leisten kann
Je nach Police übernimmt die Versicherung Kosten für Forensik, Wiederherstellung, externe Spezialisten, Betriebsunterbruch, Haftungsfragen und Kommunikation. Das kann im Ernstfall sehr wertvoll sein, weil ein KMU selten alle Spezialisten sofort selbst verfügbar hat.
Die Police löst aber nicht das operative Problem: Systeme müssen wiederhergestellt, Zugänge gesperrt, Daten geprüft und Mitarbeitende koordiniert werden. Dafür braucht es vorbereitete IT-Prozesse.
Was Versicherer heute oft voraussetzen
- Multifaktor-Anmeldung für E-Mail, Cloud und Admin-Konten
- Regelmässige, getestete Backups mit Schutz vor Ransomware
- Aktueller Endpunktschutz oder EDR auf Arbeitsplätzen und Servern
- Patch-Management und Inventar der eingesetzten Systeme
- Notfallkontakte, Rollen und ein einfacher Incident-Prozess
Die grösste Lücke: Nachweisbarkeit
Viele KMU haben einzelne Schutzmassnahmen, aber keinen klaren Nachweis. Im Schadenfall zählt nicht nur, was theoretisch vorhanden war, sondern ob Massnahmen aktiv, dokumentiert und gepflegt waren.
Sinnvoll sind Protokolle für Backup-Tests, eine aktuelle Geräteliste, dokumentierte MFA-Abdeckung und ein kurzer Sicherheitsstatus, der periodisch aktualisiert wird.
Police und IT-Betrieb gehören zusammen
Eine Cyberversicherung sollte nicht isoliert abgeschlossen werden. Der IT-Partner sollte die technischen Voraussetzungen kennen und Lücken vorab schliessen. Sonst kaufen Sie eine Police, deren Bedingungen Ihre Umgebung nicht erfüllt.
Umgekehrt kann die Versicherung helfen, Prioritäten zu setzen: Was der Versicherer verlangt, ist oft auch aus Betriebssicht sinnvoll.
Unsere Empfehlung
- Erst MFA, Backup, EDR und Patch-Management sauber umsetzen.
- Dann Risiken und Abhängigkeiten dokumentieren.
- Police-Bedingungen mit dem realen IT-Zustand abgleichen.
- Jährlich prüfen, ob neue Systeme, Standorte oder Cloud-Dienste die Deckung verändern.
Kurz zusammengefasst
Eine Cyberversicherung deckt typischerweise Wiederherstellung, Forensik, Betriebsunterbruch, Haftung und Krisenkommunikation ab. Wenn Sie daraus eine konkrete Entscheidung ableiten möchten, ist der nächste sinnvolle Schritt ein kurzer IT-Check: Bestand aufnehmen, Risiken einordnen und Massnahmen priorisieren, bevor Zeit oder Budget in die falsche Richtung laufen.
