Cyberattacken: Sind KMU unterversichert?

Trotz starker Zunahme der erfolgreichen Cyberangriffe auf Unternehmen haben aktuell weniger als 10 Prozent der KMU schweizweit eine Cyberversicherung abgeschlossen. Eine Übersicht über die Cyber-Versicherungslandschaft.

Bild stock.adobe.com/2rogan (KI-generiert)

11 Prozent der Unternehmen in der Schweiz sind gemäss einer Untersuchung bereits erfolgreich angegriffen worden.

Rund ein Drittel der Schweizer Unternehmen war bereits Opfer von Cyberkriminalität. Angreifer haben es auf Geld, Daten oder Betriebsgeheimnisse abgesehen – und können zur existenziellen Bedrohung werden. Gemäss den Statistiken des Nationalen Zentrums für Cybersicherheit (NCSC) wurden im Jahr 2023 in der Schweiz knapp 50 000 Meldungen zu Cyberattacken gemacht. Dies entspricht einer Zunahme von 30 Prozent gegenüber 2022. Je grösser und internationaler ein Unternehmen ist, desto höher sind auch die Anforderungen einer Versicherung an die sogenannte «Cybermaturität». Da grössere Unternehmen heute in der Regel aber gut gegen Cyberattacken geschützt sind, sind kleinere verstärkt in den Fokus von Kriminellen gerückt, was zu mehr Schadenfällen geführt hat.

Gerade kleine und mittlere Unternehmen unterschätzen gemäss einer aktuellen Schweizer KMU-Studie (Juni 2023, siehe Info) das Risiko. Denn Backups, Antiviren-Software und Firewalls sind nur drei von vielen Massnahmen, die es braucht, um ein Unternehmen wirksam zu schützen.

Eine erfolgreiche Cyberattacke auf die IT-Umgebung eines Unternehmens kann ein KMU schnell Zehntausende von Franken kosten. Dann kann eine Versicherungslösung helfen, das Restrisiko abzudecken. Wie viel jeweils gezahlt wird, hängt von vielen Faktoren ab.

Gemäss dem Schweizerischen Versicherungsverband SVV sind nur 7 Prozent der Unternehmen in der Schweiz gegen Cyberangriffe versichert. Gleichzeitig stellt der Verband ein rasantes Wachstum des Marktes für Cyberversicherungsangebote in der Schweiz fest. «Im Schnitt wird alle zwei Jahre mit einer Verdoppelung des Prämienvolumens gerechnet», berichtete der Verband Ende 2023.

Das bestätigt auf Nachfrage auch Zurich Schweiz: Der Versicherer verzeichnet im Bereich Cyberversicherungen in den letzten Jahren eine konstante Nachfrage. «Wir versichern insbesondere die Wiederherstellung von Daten, die Folgen von Betriebsunterbrüchen sowie die Schäden, die durch Cyberangriffe an Dritten entstehen, beispielsweise wenn dadurch ein Verstoss gegen das revidierte DSG (Bundesgesetz über den Datenschutz) resultiert», erklärt Mediensprecher David Schaffner.

Kriterien der Versicherer

Der Versicherungsschutz kommt in der Regel nur zum Tragen, wenn das Unternehmen selber bestimmte Empfehlungen und Massnahmen wie regelmässige Backups, Updates und Schulungen für Mitarbeiter berücksichtigt, um das Risiko von Cyberangriffen zu minimieren.

Der Versicherungsverband SVV schliesst daraus: «Gerade kleine Unternehmen könnten daher Schwierigkeiten haben, eine Cyberversicherung abzuschliessen.»

Helvetia verweist explizit darauf, dass sie nichts zahlt, «wenn der Schaden durch das vorsätzliche oder grobfahrlässige Handeln eines Repräsentanten des Unternehmens entsteht». Dafür bietet Helvetia einen Community Bugtest als Ausgangspunkt an, der durch Ethical Hacking dem KMU zu einer Sicherheits-Standortbestimmung und zur Einordnung des aktuellen Stands der IT-Sicherheitsmassnahmen verhilft. Zurich Schweiz bietet allen KMU zusätzlich zur Cyberversicherung ein kostenloses Präventionstraining für ihre Mitarbeitenden mit eingebauten Phishing-Simulationen für KMU-Mitarbeitende an.

Sind Cyberrisiken bezifferbar?

Die Versicherungssumme sieht standardmässig maximal einen fixen Betrag pro Police vor. «Benötigen Firmen höhere Summen, können sie in der Regel bei weiteren Versicherungsunternehmen, die ebenfalls Kapazitäten anbieten, zusätzliche Deckungen einkaufen», heisst es bei Zurich Schweiz.

Der SVV hat im Dezember 2023 einen Versuch, das Risiko zu quantifizieren und Cyberrisiken zu versichern, vorgestellt. Berechnet wurde in Zusammenarbeit mit Moody’s RMS, einem der führenden Anbieter von Risikomodellen und -analysen, das Ausmass und die Wahrscheinlichkeit von übergrossen Cyberereignisschäden. Gemäss dem Modell bestehe zum Beispiel pro Jahr eine einprozentige Chance für ein Cyberereignis, das mit einem volkswirtschaftlichen Gesamtschaden von über 2,5 Milliarden Franken einherginge. Mit einem solchen Ereignis ist also einmal in hundert Jahren zu rechnen. Tatsächlich versichert wären nach der Schätzung unter heutigen Bedingungen aber nur Schäden von 155 Millionen Franken. Das vorgestellte Risikomodell weist damit auf eine Versicherungslücke hin, die in der Schweiz auf über 90 Prozent geschätzt wird.

Zwar seien auf dem Schweizer Markt der Cyberversicherungen die Prämien in den letzten Jahren stabil geblieben – trotz der Zunahme an Schadenfällen sowie an Regulierungen und damit höheren Anforderungen an die Sicherheitsvorkehrungen für Unternehmen. Wenn die Zahl der Angriffe und Schadenhöhe tatsächlich stark ansteigen sollten, wird die Branche dann neue, teurere Lösungen finden müssen? Zurich beobachte die nationale und internationale Entwicklung genau. «Im Schnitt werden die Prämien für das laufende Jahr insgesamt wiederum als stabil bleibend erwartet, sofern die Sicherheitslevels der Unternehmen angesichts der gestiegenen Anforderungen über die letzten Jahre mitgehalten haben und die globale Zunahme an Ransomware-Fällen im 2024 nicht ebenfalls weiter zunimmt», erklärt David Schaffner. Das Gebiet ist relativ neu: Im Versicherungsverband SVV diskutierten die Gesellschaften über mögliche Weiterentwicklungen im Bereich Cyber, lässt Schaffner durchblicken.

Mark Gasser

Chefredaktor
Zürcher Wirtschaft

Ihre Meinung ist uns wichtig

Das Thema ist wichtig.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist informativ.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist ausgewogen.

icon_thumbs_up
icon_thumbs_down