Der Fragebogen deiner Cyberversicherung liegt auf dem Tisch, und bei der Zeile zu Security Monitoring und Incident Response stockst du. Dort will die Versicherung wissen, ob jemand deine Systeme überwacht und im Ernstfall reagiert. Ehrlich beantwortet lautet die Antwort in vielen KMU heute: niemand schaut systematisch hin. Genau an dieser Stelle entscheidet sich, ob die Prämie steigt, die Deckung im Schadenfall greift und der Antrag überhaupt sauber durchgeht. Die Cyberversicherung stellt Anforderungen an dein Monitoring, aber sie verlangt selten das, was die meisten befürchten.
Cyberversicherer wollen belegt sehen, dass sicherheitsrelevante Warnungen jemand liest, bewertet und im Vorfall übernimmt, mit definierten Reaktionszeiten und nachvollziehbar dokumentiert. Das heisst nicht, dass du eine 24/7-Nachtschicht kaufen musst. Ein sauber betriebenes Microsoft 365 mit dokumentiertem Monitoring zu Bürozeiten erfüllt die meisten KMU-Fragebögen. Entscheidend ist der Nachweis, nicht die Uhrzeit.
Was verlangt die Cyberversicherung beim Monitoring wirklich?
Cyberversicherer wollen zwei Dinge belegt sehen: dass sicherheitsrelevante Ereignisse in deiner Umgebung überhaupt erkannt werden und dass jemand darauf reagiert. Der Fragebogen fragt das in wechselnden Worten ab, mal als Security Monitoring, mal als Endpoint Detection, Alarmierung oder Incident-Response-Prozess. Gemeint ist jedes Mal dieselbe Kette: erkennen, bewerten, reagieren, dokumentieren.
Die übrigen Felder eines typischen Fragebogens kennst du schon: Mehrfaktor-Authentifizierung, Backups, ein aktuelles Patch-Niveau, Endpoint-Schutz. Diese Punkte haken die meisten KMU sauber ab. Die Zeile, an der es klemmt, ist fast immer die zur laufenden Überwachung und zur Reaktion im Vorfall. Denn dafür braucht es keinen Kauf, sondern einen Betrieb: einen Menschen oder ein Team, das die Warnungen anschaut und im Schadenfall die Verantwortung übernimmt.
Die Versicherung prüft im Schadenfall, ob deine Angaben gestimmt haben. Wer Monitoring ankreuzt, aber im Ernstfall nicht belegen kann, dass Warnungen gelesen und bearbeitet wurden, riskiert Diskussionen über die Deckung. Der Fragebogen ist also weniger eine Formalität als eine Zusage, die halten muss. Deshalb lohnt es sich, jede Zeile so zu beantworten, wie du sie zwölf Monate später auch belegen kannst.
Warum du dafür kein 24/7-SOC brauchst
Hier liegt das häufigste Missverständnis. Viele lesen die Monitoring-Zeile so, als müssten sie nun eine Überwachung rund um die Uhr mit Nachtschicht einkaufen. Das verlangt kaum ein KMU-Fragebogen. Gefragt ist, ob Warnungen erkannt und bearbeitet werden und ob du das nachweisen kannst, nicht, ob um drei Uhr nachts ein Mensch vor dem Bildschirm sitzt.
Ein Büro-KMU, dessen Geschäft zu Bürozeiten läuft, braucht keine menschliche Nachtschicht, um den Fragebogen mit gutem Gewissen auszufüllen. Es braucht automatisierte Abwehr, die rund um die Uhr greift, und Analysten, die zu Bürozeiten bewerten und reagieren, mit Reaktionszeiten, die im Vertrag stehen. Wer wirklich einen Schichtbetrieb rund um die Uhr führt oder regulatorisch echte Reaktion in der Nacht braucht, ist die Ausnahme. Dann sagen wir das offen und nennen passende Alternativen.
Ein volles 24/7-SOC senkt deine Prämie in aller Regel nicht stärker als ein sauber dimensioniertes Monitoring, kostet aber ein Mehrfaches. Du bezahlst dann für eine Nachtschicht, die dein Betrieb kaum je braucht, statt für den Nachweis, den die Versicherung sehen will. Für ein Büro-KMU beantwortet die dimensionierte Variante die gestellte Frage am genauesten.
Reicht Microsoft 365 mit Defender als Nachweis aus?
Teilweise. Deine Microsoft-365-Lizenz, besonders Business Premium, liefert die Werkzeuge, aber der Fragebogen fragt nach einem Ergebnis, nicht nach einer Lizenz. Defender XDR erkennt und stoppt Angriffe auch nachts, das ist bereits eingebaut. Was fehlt, ist der Mensch, der die Erkennungen liest und den Vorfall übernimmt.
Auf der automatisierten Seite ist Microsoft stark. Die automatische Angriffsunterbrechung in Microsoft Defender XDR kann ein kompromittiertes Konto sperren oder ein auffälliges Gerät isolieren, während ein Angriff läuft, unabhängig von der Uhrzeit. Für die Frage nach der Erkennung ist das ein starkes Argument, und es deckt genau den Teil ab, der auch nachts wirkt.
Das ist bei Business Premium besonders auffällig. Die Lizenz enthält Defender-Funktionen, für die viele KMU bereits bezahlen, ohne sie zu nutzen. Für den Fragebogen bedeutet das: Ein Teil der geforderten Technik ist längst da und muss nur noch sauber eingerichtet und betrieben werden. Der Weg zum Ja führt seltener über einen Neukauf als über das Aktivieren und Betreuen dessen, was schon lizenziert ist.
Die Lücke sitzt bei der Reaktion. Werkzeuge, die niemand liest, sind wie Rauchmelder ohne Batterie: Sie melden, aber es hört keiner. Wie schnell aus einer ignorierten Warnung ein Schaden wird, haben wir im Beitrag zu Defender-Warnungen, die niemand liest, beschrieben. Für den Versicherungsnachweis zählt genau dieser zweite Teil: Wer bewertet die Warnung, und wer handelt darauf?
So sieht die Frage in einem 60-Personen-Betrieb aus
Ein Beispiel aus der Praxis, anonymisiert. Ein Schweizer Handelsbetrieb mit rund 60 Mitarbeitenden, vollständig auf Microsoft 365 mit Business Premium. Die IT betreut ein interner Allrounder in Teilzeit, den laufenden Support macht ein externer Partner. Beim Erneuern der Cyberpolice kommt der Fragebogen. Mehrfaktor-Authentifizierung: erledigt. Backups: erledigt. Dann die Zeile zu Monitoring und Incident Response.
Der IT-Verantwortliche weiss, dass niemand die Defender-Warnungen systematisch liest. Er könnte die Zeile grosszügig ankreuzen, doch im Schadenfall würde diese Angabe nicht halten. Er könnte sie ehrlich verneinen, dann steht die Deckung in Frage. Beides ist unangenehm, und beides entsteht aus derselben Lücke: Die Werkzeuge sind da, aber niemand betreibt sie.
Der Ausweg ist keine Grundsatzentscheidung für ein Grossprojekt, sondern die passende Grösse. Die automatisierte Abwehr in Defender läuft ohnehin rund um die Uhr. Ergänzt um Analysten, die die Warnungen zu Bürozeiten bewerten und im Vorfall übernehmen, wird aus der ehrlichen Antwort ein belastbares Ja, samt dokumentierten Reaktionszeiten und monatlichem Bericht. Das Bundesamt für Cybersicherheit (BACS) empfiehlt Unternehmen einen dokumentierten Notfallplan. Der Versicherungsnachweis und die eigene Vorbereitung fallen an dieser Stelle zusammen.
Konkret verändert das die Antwort im Fragebogen an genau einer Stelle. Vorher: Monitoring formal vorhanden, aber ohne belegbare Reaktion. Nachher: laufende Erkennung rund um die Uhr, dokumentierte Bewertung zu Bürozeiten, ein benannter Ablauf für den Vorfall und ein monatlicher Bericht als Beleg. Der Aufwand für den internen Allrounder bleibt gering, weil die Bewertung ausgelagert ist. Aus einer heiklen Zeile wird eine, die die Geschäftsleitung ruhigen Gewissens unterschreibt.
Was kostet ein Monitoring-Nachweis, der die Versicherung überzeugt?
Weniger, als der Vergleich mit einem Enterprise-SOC vermuten lässt. Ein richtig dimensioniertes SOC für Microsoft 365 beginnt bei CHF 1'850 pro Monat, risikolevelbasiert und mit 12 Monaten Mindestlaufzeit. Der Startpunkt ist ein M365 Tenant Review für CHF 990, der den Ist-Zustand und das Risikolevel bestimmt.
Die Vergleichsgrösse ist nicht null. Ein eigener Security-Spezialist kostet einen vollen Jahreslohn und arbeitet trotzdem nur zu Bürozeiten. Ein klassisches 24/7-MDR bringt ein Enterprise-Preismodell für ein Bedürfnis mit, das ein Büro-KMU nicht hat. Dazwischen sitzt das, was der Fragebogen tatsächlich verlangt, und dorthin gehört auch dein Budget.
Für den Nachweis zählt vor allem die vertragliche Zusage. Zu Bürozeiten gelten definierte Reaktionszeiten: 30 Minuten bei kritischen Vorfällen, 2 Stunden bei hohen, 4 Stunden bei mittleren. Diese Zahlen kannst du im Fragebogen nennen und im Ernstfall belegen. Genau das will ein Versicherer sehen: keine Absichtserklärung, sondern eine messbare Zusage. Was diese Reaktionszeiten in deinem Risikolevel und Preis bedeuten, hängt vom Tenant Review ab.
So beantwortest du den Fragebogen Zeile für Zeile
Die Begriffe im Fragebogen wechseln je nach Versicherer, die Absicht dahinter ist dieselbe. Diese Übersicht ordnet die häufigsten Formulierungen ein und zeigt, was ein richtig dimensioniertes Setup ehrlich beantworten kann.
| Formulierung im Fragebogen | Was gemeint ist | Ehrliche Antwort mit dimensioniertem SOC |
|---|---|---|
| Security Monitoring / SIEM | Werden sicherheitsrelevante Ereignisse laufend erfasst? | Ja. Defender XDR und Sentinel erfassen rund um die Uhr, Analysten werten zu Bürozeiten aus. |
| Endpoint Detection & Response (EDR) | Erkennen und stoppen die Geräte Angriffe automatisch? | Ja. Defender for Endpoint mit automatischer Angriffsunterbrechung. |
| Incident Response / Reaktionsprozess | Wer übernimmt im Vorfall, und wie schnell? | Analysten zu Bürozeiten mit vertraglichen Reaktionszeiten von 30 Minuten bis 4 Stunden. |
| 24/7-Überwachung | Läuft die Abwehr auch ausserhalb der Bürozeiten? | Automatisiert ja, die menschliche Bewertung folgt am nächsten Arbeitsmorgen. |
| Reporting / Nachweis | Kannst du das Ganze belegen? | Monatlicher Bericht, den auch die Geschäftsleitung versteht. |
Wenn du bei einer Zeile ehrlich kein Ja setzen kannst, ist das kein Grund zur Sorge, sondern der Punkt, an dem sich die passende Grösse klären lässt. Ob dein Betrieb überhaupt ein SOC braucht und in welcher Dimension, zeigt schon ein kurzer Blick auf die Passt-oder-passt-nicht-Kriterien.
Häufige Fragen
Verlangt jede Cyberversicherung ein SOC?
Nein. Kleinere Policen mit tieferen Deckungssummen fragen oft nur nach Mehrfaktor-Authentifizierung, Backups und Endpoint-Schutz. Je höher die Deckungssumme und je sensibler die Daten, desto eher taucht die Zeile zu Monitoring und Incident Response auf. Lies deinen konkreten Fragebogen genau, statt vom Schlimmsten auszugehen.
Zahlen wir mit Monitoring eine tiefere Prämie?
Manchmal. Ein belegbares Monitoring kann die Versicherbarkeit verbessern und in Verhandlungen helfen. Einen festen Rabatt versprechen wir nicht, denn das hängt vom Versicherer und deinem Risikoprofil ab. In unserer Erfahrung zählt vor allem, dass der Antrag ohne Rückfragen durchgeht und die Deckung im Schadenfall nicht in Frage steht.
Wir haben den Fragebogen schon optimistisch ausgefüllt. Was nun?
Das lässt sich korrigieren. Zu grosszügige Angaben können im Schadenfall die Deckung gefährden, deshalb ist es besser, das Monitoring nachzuziehen und die Angaben bei nächster Gelegenheit geradezurücken. Ein dokumentiertes Setup zu Bürozeiten bringt deine Antwort und die Realität wieder zur Deckung.
Wenn du unsicher bist, welche Antworten dein Betrieb heute ehrlich geben kann, klären wir das am schnellsten gemeinsam. Ein kurzer Blick auf deinen Tenant zeigt, wo du beim Monitoring-Nachweis stehst und welche Grösse wirklich zu dir passt.