„Wir sind doch zu klein für Hacker." Diesen Satz hören wir mehrmals pro Woche — und er war vor 10 Jahren vielleicht noch richtig. Heute ist er gefährlich. Denn die grosse Mehrheit moderner Angriffe ist nicht gezielt, sondern automatisiert: Ransomware-Bots scannen das ganze Internet ab und schlagen dort zu, wo eine Schwachstelle gefunden wird — bei Grosskonzernen genauso wie beim 8-Personen-Treuhandbüro.
Fall 1: Der Phishing-Überweiser
Ein Treuhandbüro mit 12 Mitarbeitenden. Die Buchhalterin erhält eine perfekt gefälschte E-Mail vom „Geschäftsführer", der von einer Geschäftsreise aus bittet, einen „vertraulichen" Akontozahlung von 47'800 CHF an einen Lieferanten freizugeben. Sie tut es. Das Geld ist binnen 45 Minuten in Hongkong — und nicht mehr wiederzuholen.
Übernahme der Cyber-Police: Vermögensschaden 47'800 CHF, Forensik 6'200 CHF, psychologische Betreuung der Mitarbeiterin, PR-Unterstützung. Gesamtleistung rund 58'000 CHF.
Fall 2: Die verschlüsselte Schreinerei
Ein Familienbetrieb, 22 Mitarbeitende. An einem Montagmorgen laufen die Maschinen nicht an — der gesamte Server ist verschlüsselt, inklusive CAD-Pläne, CNC-Programme und Lohnbuchhaltung. Lösegeldforderung: 180'000 CHF in Bitcoin.
Die Cyber-Police übernimmt die Krisenberatung durch Spezialisten, die Kommunikation mit den Tätern, Datenwiederherstellung aus Backups (die zum Glück noch intakt waren), und den Betriebsunterbruch von 11 Arbeitstagen. Summenschaden: ca. 240'000 CHF.
Eine Woche Maschinen-Stillstand kostet ein produzierendes KMU schnell mehr als die Cyber-Prämie für 20 Jahre.
Fall 3: Der Datenabfluss im Webshop
Ein Online-Händler im Raum St. Gallen, 6 Mitarbeitende. Über eine veraltete Plugin-Version im Shop werden 8'400 Kundendatensätze mit Namen, Adressen und — brisant — Bestellhistorie gestohlen. Die Datenschutzbehörde wird informiert, die Kunden müssen benachrichtigt werden.
Kosten, die kamen: Anwalt (Datenschutzrecht), externe forensische Untersuchung, Kundenbriefe, ein freies Jahr Identitätsschutz für die Betroffenen, Image-Beratung. Alles durch die Police gedeckt — ohne Police wären es rund 95'000 CHF gewesen.
Fall 4: Der Lieferkette-Angriff
Ein Ingenieurbüro. Nicht das Büro selbst wurde angegriffen, sondern der IT-Dienstleister, der deren Server managt. Über dessen Fernwartungszugang gelangen die Täter in 40+ KMU-Netzwerke gleichzeitig. Unser Kunde hat Glück: Nur die E-Mail-Postfächer sind kompromittiert.
Trotzdem: 3 Tage eingeschränkter Betrieb, Passwortrotation für alle Systeme, externe Überprüfung, Meldung ans NCSC. Die Police übernimmt auch „indirekte" Schäden via Dienstleister — ein wichtiger Punkt, der in vielen Standardpolicen nicht enthalten ist.
Fall 5: Der CEO-Betrug per Deepfake
Die modernste Variante: Eine Zürcher Marketing-Agentur erhält einen Video-Call, in dem scheinbar der Inhaber persönlich — samt Stimme und Bewegungen — den Finanzleiter anweist, eine Zahlung in Höhe von 29'000 CHF freizugeben. Es ist ein KI-generierter Deepfake, trainiert auf öffentlich verfügbaren Interview-Clips. Auch dieser Fall ist über die „Social Engineering"-Deckung unserer empfohlenen Cyber-Polices gedeckt.
Was eine gute Cyber-Police abdeckt
- Eigenschäden: Datenwiederherstellung, Forensik, Krisenkommunikation, Betriebsunterbruch
- Drittschäden: Ansprüche betroffener Kunden, Lieferanten, Partner
- Erpressungskosten: Verhandlung, ggf. Lösegeldzahlung (begrenzt)
- Cyber-Betrug & Social Engineering: CEO-Fraud, Phishing-Überweisungen, Deepfakes
- Rechts- & Meldekosten: Datenschutzmeldungen, Anwaltskosten, Behördenkommunikation
- 24/7-Notfallhotline: Sofortige Ansprache bei Verdacht — oft das wichtigste
Was Sie aktiv prüfen sollten
Viele günstige Cyber-Policen sind „Placebo-Versicherungen" — sie decken zwar Datenverlust, aber weder Social Engineering noch Betriebsunterbruch, und die Summen sind zu niedrig (oft CHF 50'000). Bei seriösen Policen beginnt der Versicherungsschutz bei mindestens CHF 250'000 — auch für 5-Personen-Betriebe.
Was kostet das?
Das Problem ist nicht die Technik — es ist der Mensch
90 % aller erfolgreichen Cyber-Angriffe auf KMU nutzen keine exotische Sicherheitslücke. Sie nutzen Menschen: Eine Mitarbeiterin, die auf einen Link klickt. Einen Geschäftsführer, der ein PDF öffnet. Einen Auszubildenden, der ein USB-Stick einsteckt. Deshalb bringt auch die beste Firewall allein nichts — was Sie brauchen, ist ein Plan für den Fall, dass es doch passiert. Und genau das ist Cyber-Versicherung: kein technischer Schutz, sondern ein geordneter Krisenplan plus Finanzierung.