Was Versicherungen, Behörden und die Armee in der Cybersicherheit umtreibt

Wie können wir lebenswichtige Strukturen wirksam schützen? Welche Strategien, Technologien und Kooperationen sind nötig, um die Widerstandsfähigkeit unserer Infrastrukturen zu stärken? Diese Fragen standen im Zentrum des Cyber-Symposiums, welches Versicherer Helvetia am 10. September 2025 im Berner Kursaal durchführte. Vertreterinnen und Vertreter aus Privatwirtschaft, Forschung und Staat präsentierten in einem dicht gedrängten Programm ihre Gedanken.

Regulieren lohnt sich

Wie wichtig gute Cybersicherheit ist, führte Martin Jara zu Beginn der Veranstaltung aus. "Wir sind heute - als Gesellschaft, als Staat und als Wirtschaft - komplett abhängig von kritischen Infrastrukturen", sagte der CEO von Helvetia Schweiz. Verletzbar sei die Schweiz an "neuralgischen Stellen, wo Geld, Energie und Verkehrsströme gelenkt werden"; und die Bedrohungslage habe sich in den vergangenen Jahren verschärft.

"Der Schutz kritischer Infrastrukturen ist am Schluss immer eine gesamtgesellschaftliche Aufgabe von uns allen", rief Jara in Erinnerung. Das dynamische Umfeld der Cyberrisiken erfordere proaktives Handeln, damit die Schweiz die Chancen der digitalen Welt weiter bewahren und nutzen könne. Den Handlungsbedarf untermauerte er mit Zahlen aus der polizeilichen Kriminalstatistik, die allein für 2024 eine Zunahme an digitalen Straftaten um 35 Prozent auswies. Jara nutzte aber auch die Gelegenheit, die Fortschritte der vergangenen Jahre zu würdigen, darunter die Einführung der Meldepflicht von Cyberangriffen auf kritische Infrastrukturen und die Etablierung von Minimalstandards für die Stromversorger.

Adrian Märklin (2.v.l.), Head Cybersecurity bei Swisspower. (Source: zVg)

Was diese Minimalstandards bewirken, wusste Adrian Märklin, Head Cybersecurity bei Swisspower, zu berichten. "Es kann ein Vorteil sein, wenn man muss", so der Referent. Seit der Einführung der Minimalstandards sei bei Strom- und Energiewerken viel passiert. So führt Swisspower, das von mehreren Stadtwerken und Gemeinden gemeinschaftlich getragen wird, etwa Audits durch. Dabei erfahren die untersuchten Betriebe nicht nur, wo sie in puncto Cybersecurity stehen, sondern erhalten auch Empfehlungen zur Verbesserung ihrer digitalen Maturität. Viele hätten hier einen langen Weg vor sich, räumte Märklin ein. Als Herausforderungen nannte er etwa die fehlende Expertise, aber auch die vielmals nötigen hohen Investitionen.

Die Basics umsetzen – aber wirklich

Welche Schwerpunkte die Schweizer Armee bei der Cybersecurity setzt, erläuterte Diego Schmidlin, Chef Cyber und elektromagnetische Sicherheit und Abwehr. "Die westlich geprägte, regelbasierte Sicherheitsordnung kommt zunehmend unter Druck", so der Redner. Zunehmend würden "die Instrumente der Machtpolitik" eingesetzt und weltweit werde aufgerüstet, auch im Bereich Cyber. Gegen die dadurch entstehenden Potenziale müsse sich die Schweizer Armee wehren können.

Zu den konkreten Trends stellte Schmidlin fest: "Wir sind dem gleichen Spektrum ausgesetzt wie die Privatwirtschaft und Privatpersonen." Dazu gehören Cyberspionage und Ransomware. Die Armee nutze künstliche Intelligenz, um Gefahren zu erkennen und abzuwehren, aber auch Angreifer nutzten die Technologie. Für Mitarbeitende werde es zunehmend "schwieriger, ein gut gemachtes Phishing-E-Mail zu erkennen".

Diego Schmidlin, Chef Cyber und elektromagnetische Sicherheit und Abwehr der Schweizer Armee. (Source: zVg)

Eine weitere Herausforderung stellt die Lieferkette dar: Bei Off-the-Shelf-Einkäufen sei es schwer, die Lieferketten zu verfolgen oder eine Kompromittierung festzustellen. Und schliesslich wies der Referent auf künftige Bedrohungen durch Quantentechnologie hin: "Wir gehen davon aus, dass Daten von uns gestohlen wurden, wenn auch in verschlüsselter Form", so Schmidlin. In ein paar Jahren dürften diese Daten mit wenig Aufwand entschlüsselt und bekannt werden. Es sei wichtig, dagegen gewappnet zu sein.

Schmidlins Botschaft ans Publikum: "Bereiten Sie sich darauf vor, dass ein Angreifer bei Ihnen erfolgreich sein könnte." So solle man sich bewusst sein, welche "Kronjuwelen" es besonders zu schützen gelte und entsprechend in deren Sicherheit investieren. Ferner riet er dazu, sich innerhalb der jeweiligen Branchen im Cyberbereich zu vernetzen und für genügend Cyberfähigkeiten in der eigenen Organisation zu sorgen. Letzteres könne durch den Aufbau einer entsprechenden Abteilung innerhalb der Organisation oder durch Nutzung externer Angebote von Managed Service Providern geschehen.

Nicht nur Schmidlin rief den Anwesenden weitere Grundprinzipien in Erinnerung: "Halten Sie Krisennotfallpläne bereit und üben Sie diese regelmässig", sagte er. Und schliesslich sei eine Cyberversicherung "nicht das Dümmste; denn wenn ich gebreached werde, werde ich auf jeden Fall einen Schaden haben."

Mehr Cyberversicherungen für alle

Für Prävention und Schadenshilfe will sich auch der Schweizerische Versicherungsverband (SVV) einsetzen. Dessen Direktor Urs Arbter präsentierte Zahlen zur aktuellen Versicherungsabdeckung: 37'000 Unternehmen und 400'000 Personen haben laut einer Verbandsumfrage eine Cyberschutz-Versicherung abgeschlossen – ein Plus von 22 Prozent im Vergleich zum Vorjahr. "Andere Versicherungsbranchen empfänden das als toll – wir sagen Nein", so Arbter. Denn noch immer seien 90 Prozent der volkswirtschaftlichen Risiken nicht gedeckt.

Urs Arbter, Direktor des Schweizerischen Versicherungsverbandes SVV. (Source: zVg)

Insbesondere in kleinen und kleinsten Unternehmen bestehe Handlungsbedarf, konkretisierten Gabor Jaimes vom SVV und René Buff von der Helvetia in einem weiteren Referat. An der Awareness mangle es eigentlich nicht: "Die Firmen wissen, dass Cyber eine Gefahr ist", so Buff. Allerdings fehle oft noch die passende Beratung, wie sie sich schützen könnten. Um diese zu verbessern, bemühen sich die SVV-Mitglieder um mehr Präsenz und Zusammenarbeit mit Partnerfirmen. Man verbessere aber auch die Datengrundlage, erklärte Buff weiter. So untersucht der Verband etwa die Korrelation zwischen den beim Bund gemeldeten und den von den Versicherungen verzeichneten Schadenfällen. Das Problem fehlender Daten beschrieb SVV-Chef Arbter so: "Wo Daten nicht vorhanden sind, macht der Versicherungsmathematiker zu Recht einen Unsicherheitszuschlag oder macht Ausschlüsse." Damit würden Versicherungsprodukte weniger griffig und von Kunden weniger akzeptiert.

Gabor Jaimes, Cyberexperte des SVV. (Source: zVg)

Die Durchdringung der Cyberversicherungen zu steigern, ist nur einer von mehreren Schwerpunkten auf der Cybersecurity-Roadmap des SVV. Der Verband engagiert sich auch für eine Stärkung der Resilienz innerhalb der Versicherungsbranche, wie Gabor Jaimes ausführte. Das geschieht unter anderem in Zusammenschlüssen wie dem Swiss Financial Sector Cyber Security Centre (FS-CSC). Dessen Mitglieder tauschen Informationen zur Cyberlage aus, entwickeln Notfallpläne und üben regelmässig den Cyber-Ernstfall. Auch mit dem Gewerbeverband, Economiesuisse und weiteren Organisationen arbeite man eng zusammen. "Diese Zusammenarbeit ist wichtig, um wirklich schlagkräftig dem Ziel einer cyberresilienten Schweiz entgegenzusteuern", schlossen die Referenten.

Melanie Knieps, Postdoc-Forscherin an der Digital Society Initiative der Universität Zürich. (Source: zVg) 

Mit dieser Feststellung blieben sie nicht alleine. Auch Melanie Knieps, Forscherin an der Universität Zürich (UZH) und für die Digital Society Initiative, stellte dazu das "Cyren ZH" vor, das vom Kanton Zürich geförderte "Cyber Resilience Network". Es "möchte durch Forschung und Lehre sowie den Aufbau einer 'Cyber-Miliz' digitalen Bedrohungen entgegenwirken", wie auf der Website zu lesen ist. Dazu bringt es Akteure aus Forschung und Wirtschaft zusammen, betreibt Studien und diverse Awareness-Initiativen. Als Beispiel beschrieb Knieps ein von UZH-Studierenden durchgeführtes Schulungsprogramm für KMUs. Die Aktivitäten zahlen sich auch für Versicherungen aus, die dank der gewonnenen Daten passende Policen erstellen und durch Awareness-Programme die tatsächlichen Schadenfälle minimieren können.

Auch das Cyber-Symposium selbst fördert diesen oft erwähnten Austausch. Die dritte Ausgabe war die letzte unter dem Patronat der Helvetia-Versicherung. Künftig wird der SVV die Veranstaltung ausrichten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.