Darum Geht's
  • Nur wenige Unternehmen in der Schweiz sind gegen Cyberangriffe versichert
  • Ransomware-Vorfälle stellen die häufigste Betrugsmasche dar
  • Die Diskussion um die Versicherbarkeit von Kumulereignissen rückt erneut ins Zentrum

Aktuell sind erst 7 Prozent der Unternehmen in der Schweiz gegen Cyberangriffe versichert. Oder andersrum betrachtet: Noch fast 93 Prozent der hiesigen Firmen sind potenzielle Kunden für Versicherer, die für die Folgen einer Cyberattacke aufkommen. Diese Zahlen hat der Schweizerische Versicherungsverband (SVV) Ende 2023 erhoben. Der Markt hat demnach «enormes Potenzial», wie der SVV ganz im Sinne seiner Mitglieder schreibt. Der Verband geht denn auch von einer Verdoppelung des Prämienvolumens alle zwei Jahre aus. Aktuell liegt das Volumen laut SVV bei rund 108 Millionen Franken.

Partner-Inhalte
 
 
 
 
 
 

Grosse Prämienunterschiede

Das Angebot für Cyberversicherungen ist in den letzten Jahren grösser geworden, heute bieten alle namhaften Versicherer eine solche Police an. Dabei fallen die zu zahlenden Prämien für den Versicherungsschutz gegen Angriffe aus dem Cyberspace sehr unterschiedlich aus. Das VZ Vermögenszentrum hat einen Vergleich gestartet und von vier Anbietern eine Offerte für ein KMU erstellen lassen. Bei einer Versicherungssumme von 3 Millionen Franken kostete die schützende Police beim günstigsten Versicherer 12000 Franken jährlich und beim teuersten 29000 Franken – eine Differenz von 17000 Franken. Auch wenn diese Zahlen von 2021 stammen, dürften sich die Unterschiede nicht sonderlich stark verringert haben.

Versicherer bieten fachkundige Unterstützung an

Es lohnt sich also, Angebotsvergleiche für Cyberversicherungen einzuholen – nicht nur was die Prämienhöhe, sondern auch was die Auflagen seitens der Versicherer angeht. Diese Auflagen sind nicht unerheblich. So müssen Unternehmen technische Mindeststandards pflegen, beispielsweise die Durchführung regelmässiger Backups und tauglicher Updates. Aber vor allem geht es darum, die Mitarbeitenden regelmässig zu sensibilisieren. «Der Mensch ist und bleibt die grösste Schwachstelle eines jeden IT-Systems, daher testet das eigens von der Mobiliar entwickelte Sensibilisierungstraining das Wissen der Mitarbeitenden mit simulierten Attacken und verbessert es mit Online-Schulungen», schreibt Leilah Ruppen, Mediensprecherin der Mobiliar. Nahezu alle Versicherer bieten ihren Kunden fachkundige Unterstützung an, wenn es darum geht, die IT auf einen hohen Sicherheitsstandard zu bringen und die Mitarbeiterinnen und Mitarbeiter zu schulen.

In Gefahr sind mittlerweile Firmen aus allen Branchen und zunehmend auch die kleineren und mittelgrossen Betriebe. «Da grössere Unternehmen heute gut gegen Cyberattacken geschützt sind, rücken kleinere Unternehmen verstärkt in den Fokus von Kriminellen, was unmittelbar zu mehr Schadenfällen geführt hat», berichtet Cornelia Birch, Mediensprecherin der Zurich Schweiz. Wer es den Kriminellen leicht macht, wird also schneller zum Opfer.

Die nach wie vor häufigste Betrugsmasche ist die Verschlüsselung der Daten nach einem sogenannten Ransomware-Vorfall, bei dem ahnungslose Mitarbeitende auf den Link in einem Phishing-E-Mail klicken und damit den Hackern einen Weg ins Betriebssystem des Unternehmens ebnen. Die dadurch entstandenen Schäden zu beheben, dauert meist einige Tage und kann richtig teuer werden. «Bei den allermeisten Schäden im Zusammenhang mit Cyberangriffen, die Unternehmen der Axa gemeldet haben, handelt es sich um Wiederherstellungskosten nach Ransomware-Vorfällen», schreibt Simona Altwegg von Axa. Zur Schadenhöhe und Entwicklung in ihrem Bestand machen die Versicherer keine Angaben. 2,5 Milliarden Franken wirtschaftlichen Schaden könnte ein Cyberereignis verursachen.

Unbezahlbare Schäden nach Grossangriff

Allerdings hat der SVV versucht, eine Schätzung der Schäden nach einem übergrossen Cyberangriff zu berechnen. Demnach besteht pro Jahr eine 1-prozentige Chance für ein Cyberereignis, welches einen wirtschaftlichen Schaden von über 2,5 Milliarden Franken verursachen könnte. Davon wären unter heutigen Bedingungen aber nur Schäden von knapp 155 Millionen Franken versichert.

Weiterhin Lösungen für Cyberrisiken

Angesichts eines solchen potenziellen Schadens bei einem flächendeckenden oder die öffentliche Infrastruktur betreffenden Grossangriff aus dem Cyberspace poppt immer wieder die Diskussion darüber auf, ob für solche «Kumulereignisse» eine alternative Lösung gefunden werden muss. Ein Vorstoss seitens der Helvetia Versicherungen, für gross angelegte Cyberangriffe analog zum gemeinsamen Elementarschadenpool eine Poollösung aufzubauen, ist bislang im Sand verlaufen. Ebenso wie Gerüchte, dass der eine oder andere Versicherer ganz aussteigen wolle. «Wir sind überzeugt, dass es mit einem angemessenen Risikomanagement – sowohl vonseiten der Versicherung als auch vonseiten der Versicherten – weiterhin Lösungen für Cyberrisiken gibt, auch für solche, die zu grossen Schäden führen können», sagt Simona Altwegg von der Axa. «Die Versicherbarkeit von Cyberrisiken steht bei einem Kumulereignis zur Disposition», sagt hingegen die Mobiliar. Und bei der Zurich heisst es: «Zurich Schweiz versichert Cyberrisiken weiterhin. Wir beobachten jedoch die nationale und internationale Entwicklung genau.»

Dieser Beitrag erschien erstmals am 29. Februar 2024 in der Handelszeitung im Spezial Cyber Risk.

HZ Insurance-Newsletter DAILY
Das werktägliche Newsupdate für Insurance-Professionals. Zur Tagesmitte erfahren Sie im «DAILY», was die nationale und internationale Versicherungswelt bewegt und worüber gerade gesprochen wird.
HZ Insurance-Newsletter DAILY