Scroll to top
© 2021 Assekurata

Cyber-Versicherung: Noch ein weiter Weg

Gerade hierzulande wird der Cyber-Versicherungsschutz noch vielfach unterschätzt. Dabei wird er umso wichtiger, je stärker die Digitalisierung in die Geschäftsmodelle von Finanzdienstleistern vordringt.

Schlankere Prozesse, neue Kommunikationsformen und vernetzte Geräte revolutionieren Arbeits- und Privatsphären – die Digitalisierung wandelt die Arbeitswelt. Dies ruft auch Kriminelle auf den Plan. Sei es, um unternehmerisches Know-how abzuschöpfen oder um Unternehmen durch Erpressungstrojaner zur Zahlung hoher Geldsummen zu bewegen. Gehackte Geräte lassen sich auch dazu missbrauchen, Angriffe gegen die Internetinfrastruktur durchzuführen. In der Statistik des Bundeskriminalamts vom Januar 2019 erscheint Cyber-Kriminalität als Straftat mit fast 90.000 erfassten Fällen. Während die Schadenzahl über die Jahre zugenommen hat, verharrt die Aufklärungsquote bei knapp 40 Prozent. Allerdings dürfte die Dunkelziffer der Vorfälle deutlich höher liegen. Viele Schäden gelangen gar nicht zur Anzeige, da Unternehmen häufig einen Vertrauensverlust bei Kunden und Geschäftspartnern vermeiden wollen, mitunter gar durch Zahlung von Erpressungsgeldern.

Sicher vorsorgen vor Cyber-Kriminalität

Angesicht dieser Entwicklungen scheint technische und finanzielle Vorsorge angebracht. Seit Ausbruch der Corona-Pandemie gilt dies umso mehr. Denn im Zuge einer Interpol-Umfrage vom Juli 2020 berichten bereits rund zwei Drittel aller Mitgliedsstaaten, Covid-19-Themen würden in erheblichem Maße für Phishing und Onlinebetrug genutzt. Auch durch neue Kommunikationsformen im beruflichen Umfeld steigen die Cyber-Schadenfälle weiter an, etwa durch den schlagartigen Ausbau von Telearbeitsplätzen aufgrund der Kontaktbeschränkungen. So gab in einer von Deloitte Österreich und dem Forschungsinstitut Sora im Mai 2020 durchgeführten Umfrage zum Thema Cyber-Security ein Viertel der befragten Unternehmen an, dass seit dem Ausbruch von Covid-19 die Angriffe auf ihre Daten- und IT-Systeme zugenommen hätten. Dabei sind Unternehmen vor allem dann anfällig für Cyber-Angriffe, wenn durch den Umzug ins Homeoffice die Netzwerkanbindung – womöglich unter Nutzung privater Endgeräte – deutlich komplexer geworden ist, Infrastruktur und Sicherheit aber nicht ebenso verstärkt wurden.

Die mit der Digitalisierung angestrebten Produktivitäts- und Nutzenfortschritte können nur dann ausgeschöpft werden, wenn die damit verbundenen Cyber-Gefahren im Rahmen des unternehmerischen Risikomanagements beherrschbar werden. Hierzu gehört ein hochwertiger Versicherungsschutz. Doch die Cyber-Versicherung ist in Deutschland noch wenig verbreitet. 2011 wurde hierzulande die erste Police abgeschlossen – ganze elf Jahre nach dem „I love you“-Virus. Anders ist es in den USA, wo Firmen jährlich rund drei Milliarden US-Dollar für Cyber-Policen ausgeben.

Angetrieben von Prognosen zu einem milliardenschweren Marktpotenzial wagen nun auch in Deutschland immer mehr Versicherer den Markteintritt oder -ausbau. Waren Anfang 2017 gut 20 Gesellschaften aktiv, so sind es mittlerweile bereits doppelt so viele – Tendenz steigend. Gerade in der Corona-Krise nimmt das Bewusstsein für Cyber-Risiken weiter zu.

Cyber-Policen: Unübersichtlicher Markt ohne Standards

Um die Stimmungslage der Versicherer auszuloten, haben wir gemeinsam mit der Instinctif AG im Frühjahr 2019 die Anbieter und Großvermittler von Cyber-Policen in Deutschland um eine Markteinschätzung gebeten. Ein Ergebnis: Die Produktmanager fokussieren besonders auf kleine und mittelständische Unternehmen. Während sich global agierende Konzerne mit individuellen Deckungskonzepten über Spezialversicherer oder Industriemakler abgesichert haben, hat gerade der Mittelstand deutlichen Nachholbedarf.

Dass sich die Wachstumserwartungen der Versicherer bislang nicht erfüllt haben, mag nicht zuletzt den fehlenden Produktstandards geschuldet sein. Die erhältlichen Deckungen sind nur schwer vergleichbar, was den Informationsbedarf erhöht und den Absatz erschwert. Umfang und Aufbau der Bedingungswerke sowie Tarifstrukturen unterscheiden sich teilweise deutlich: Vom Rundumschutz über flexible Bausteine bis hin zu fokussierten Ausschnittsdeckungen ist alles vertreten.

Um hier eine Hilfestellung zu bieten, haben wir ein Bewertungsverfahren  für Cyber-Versicherungen entwickelt, die auf kleinere und mittlere Unternehmen (KMU) abzielen. Ende Oktober haben wir die ersten elf Ergebnisse veröffentlicht, denen in Kürze weitere folgen werden.

Lernen von den USA

Trotz des gestiegenen Tarifangebotes am Mart befinden sich die Versicherer vielfach noch in einem Lernprozess, etwa bei der für die Kalkulation verfügbaren Datenbasis. Den Umfrageteilnehmern zufolge reichen die bisherigen Schadenerfahrungen für eine risikogerechte Tarifierung nicht aus. Insbesondere sind hier die Rückversicherer gefragt, geeignete Datenpools aufzubauen und zu verfeinern.

Aufgrund der unsicheren Datenlage und des schadenimmanenten Kumulrisikos decken aktuelle Cyber-Policen häufig nur Summen bis maximal zwei Millionen Euro ab. Neben einem Selbstbehalt von mehreren Tausend Euro sehen einige Angebote auch Zuschläge von bis zu 20 Prozent vor, etwa für Rechtsanwälte und Ärzte. Da die Cyber-Attacken weiter steigen und die Aufklärungsquote niedrig bleiben wird, dürften auch die versicherungstechnischen Ausgleichsmechanismen kaum für Beitragsentlastungen sorgen. Eine Risikoteilung durch Konsortiallösungen von Cyber-Versicherungen wäre ein möglicher Ausweg, um die Konkurrenzfähigkeit von Erstversicherern zu erhöhen. Ein Zusammenschluss könnte das Kumulrisiko streuen und die Risikotragfähigkeit verbessern, wodurch sich höhere Versicherungssummen zu günstigen Beiträgen abbilden ließen. Hilfreich wäre zudem ein Erfahrungsaustausch mit Versicherern aus dem US-Cyber-Markt.

Versicherung als Teil des Risiko- und Schadenmanagements

Tritt ein Cyber-Fall ein, so ist ein reaktionsschnelles Schadenhandling über ein leistungsfähiges Dienstleistungsnetzwerk von besonderer Bedeutung. Dabei ist die Bereitstellung eines Expertenteams aus unterschiedlichen Fachrichtungen eine der Kernleistungen der Cyber-Versicherung. Doch nicht nur im Schadenfall, sondern auch in der Prävention und in der Risikobeurteilung sind Risikomanagement- und IT-Kompetenzen gefragt. Die Qualität und die Verfügbarkeit der Assistance-Leistungen wird sich damit zu einem Schlüsselfaktor im Wettbewerb entwickeln.

Insgesamt bietet das Thema Cyber den Versicherern und spezialisierten Vermittlern die Chance, sich als Lotse zu positionieren, der als Experte verschiedene Leistungen koordiniert. Das Spektrum reicht von der Risikobewertung über die Prävention bis zur Schadenbewältigung. Die Anbieter können hier eine zentrale Rolle als Akteur und Risikomanager in der IT-Sicherheitslandschaft einnehmen. Im digitalen Ernstfall muss dann der Versicherungsschutz seine Leistungsfähigkeit unter Beweis stellen.

 

Autor: Lars Heermann (Bereichsleiter Analyse und Bewertung Assekurata Assekuranz Rating-Agentur GmbH)