Wenn in den Medien von Cyberangriffen die Rede ist, denken die meisten an Grossbanken, Tech-Konzerne oder Behörden. Die Realität sieht anders aus: Ein erheblicher Teil der Angriffe in der Schweiz trifft kleine und mittlere Unternehmen – oft mit weitreichenden Folgen.
Warum gerade KMU?
Angreifer suchen nicht unbedingt die wertvollsten Ziele, sondern die verwundbarsten. Viele KMU arbeiten mit veralteter Software, haben keine systematische IT-Sicherheitsstrategie und verfügen weder über ein internes Security-Team noch über einen Notfallplan. Gleichzeitig haben sie etwas, das Angreifer brauchen: Kundendaten, Zahlungsinformationen, Geschäftsgeheimnisse – und eine Geschäftsleitung, die im Ernstfall unter Druck steht.
Die Kosten eines Vorfalls
Ein Cyberangriff ist kein reines IT-Problem. Er ist ein Geschäftsunterbruch. Die direkten Kosten – forensische Untersuchung, Datenwiederherstellung, allenfalls Lösegeldforderungen – sind nur ein Teil der Rechnung. Hinzu kommen:
- Betriebsunterbruch: Tage oder Wochen, in denen nicht oder nur eingeschränkt gearbeitet werden kann.
- Reputationsschaden: Kunden und Partner verlieren Vertrauen, wenn ihre Daten betroffen sind.
- Rechtliche Konsequenzen: Mit dem revidierten Datenschutzgesetz (revDSG) bestehen Meldepflichten und mögliche Sanktionen.
- Haftung der Geschäftsleitung: Verwaltungsräte und Geschäftsführer können persönlich haftbar werden, wenn nachweislich keine angemessenen Schutzmassnahmen getroffen wurden.
Wo die klassische IT-Sicherheit aufhört
Firewalls, Virenscanner und regelmässige Backups sind notwendig – aber sie sind kein vollständiger Schutz. Phishing-Mails, Social Engineering und Ransomware umgehen technische Barrieren gezielt über den Faktor Mensch. Selbst gut geschützte Unternehmen können betroffen sein. Die Frage ist nicht ob, sondern wann – und was dann passiert.
Was eine Cyberversicherung leistet – und was nicht
Eine Cyberversicherung ersetzt keine IT-Sicherheit. Sie greift dort, wo Prävention nicht ausreicht. Eine gute Police deckt typischerweise die Kosten für Krisenmanagement und forensische Analyse, die Wiederherstellung von Daten und Systemen, den Ertragsausfall während des Betriebsunterbruchs, die Haftpflicht gegenüber Dritten bei Datenverlust sowie Rechtsberatung und Kommunikation im Krisenfall.
Entscheidend ist, dass die Police zur tatsächlichen Risikolage des Unternehmens passt. Standardlösungen greifen oft zu kurz, weil sie branchenspezifische Risiken, die tatsächliche IT-Infrastruktur oder die Abhängigkeit von einzelnen Systemen nicht abbilden.
IT-Sicherheit und Versicherung zusammen denken
Der sinnvolle Weg beginnt mit einer ehrlichen Bestandesaufnahme: Wo stehen wir in Sachen IT-Sicherheit? Welche Risiken können wir technisch minimieren, welche bleiben als Restrisiko bestehen? Und für dieses Restrisiko: Wie lässt es sich wirtschaftlich tragbar absichern?
Für die Geschäftsleitung hat das noch einen weiteren Aspekt: Wer dokumentieren kann, dass Risiken identifiziert, bewertet und – wo sinnvoll – versichert wurden, erfüllt die Sorgfaltspflicht gegenüber dem Unternehmen, den Aktionären und den Mitarbeitenden. Das ist nicht nur gute Praxis, sondern im Schadenfall auch der beste Schutz vor persönlicher Haftung.