7 minute read
Cyber-Versicherung – Markt in Bewegung
Markt in Bewegung
Cyber-Kriminelle schlafen nie, ihre Angriffsinstrumente werden immer raffinierter. Das führt im Versicherungsmarkt zu einem erheblichen Kosten- und Schadenpotenzial – und besitzt durchaus Sprengkraft für die Zukunft der Policen. Mehr denn je ist eine ganz enge Kooperation mit den Versicherungskunden und den sie betreuenden Maklern erforderlich.
Als 2011 die erste reine Cyber-Versicherung in Deutschland auf den Markt kam, erschloss sich ein völlig neues Geschäftsfeld; Cyber wurde in vielen Versicherungsunternehmen schnell als eigene Sparte verankert. Der Umfang der Versicherungsbedingungen wurde stetig ausgebaut, verbessert und den sich ändernden Risiken angepasst. Was zunächst fehlte waren die Kunden. Doch dann stieg die Zahl der Abschlüsse, in manchen Jahren verdoppelte sie sich sogar. Für die Anbieter wurden CyberPolicen zu einer absoluten Erfolgsgeschichte. Doch jetzt – nur ein Jahrzehnt nach dem Start – schlägt der Versicherungsmakler Marsh Alarm: Ende 2020 habe es so viele Deckungsablehnungen wie noch nie zuvor gegeben. Es stelle sich für das Cyber-Geschäft die Überlebensfrage. Schließlich übersteige die Summe der ausgezahlten Leistungen bei einigen Versicherern die eingenommenen Prämien. Ende 2020 sah Marsh so viele Deckungsablehnungen wie noch nie zuvor. Man habe außerdem einige Fälle erlebt, in denen der Versicherer kurz vor Ablauf der Kündigungsfrist dem Kunden mitteilte, dass er die Prämie um 200 % anheben und die Kapazität um die Hälfte reduzieren müsse. Für Versicherungsnehmer gelte wiederum: Gelinge es ihnen nicht, den Versicherern ihr Risiko transparent zu präsentieren und ein adäquates Informationssicherheitsmanagement nachzuweisen, würden sie künftig keinen Versicherungsschutz mehr erhalten oder unnötig hohe Prämien zahlen. Makler seien ebenfalls gefordert: mehr denn je als Berater statt als bloße Vermittler. Sie hätten den notwendigen Marktüberblick, um ihre Kunden bestmöglich auf die Ausschreibung vorzubereiten und zu begleiten. Was ist da los? finanzwelt hat bei drei Anbietern nachgefragt, zum Beispiel wie lukrativ das Geschäft für sie überhaupt noch ist.
Angriffsszenarien ändern sich ständig
Uwe Schluchter, Leiter Technische Versicherungen der Helvetia Versicherungen, stützt die Marsh-Einschätzung: „Von lukrativ kann man aktuell noch
nicht sprechen. Die Cyber-Versicherung ist ein junges Produkt mit großen Anfangsinvestitionen und laufenden Servicekosten, die deutlich über die Kosten anderer Gewerbeversicherungsprodukte hinausgehen.“ Zudem änderten sich die Angriffsszenarien ständig. Das erfordere ein Nachjustieren der Bedingungen und des Serviceaufwandes. Die Folge der variierenden Bedrohungen sei ein nicht zu vernachlässigendes Schadenpotenzial, das sich bei den meisten Versicherern an den Schadenquoten ablesen lasse. Die ersten Versicherer verhielten sich schon deutlich restriktiver in der Zeichnung.
Auch Ole Sieverding, Underwriting Manager Cyber, Hiscox Deutschland, weist auf die Kostenentwicklung hin, wenngleich er im Hinblick auf die Zukunft sagt: „Cyber-Versicherung ist und bleibt für uns ein strategisches Wachstumsfeld.“ Allerdings hätten sich die Kosten auf der Schadenseite in den letzten Jahren rasant erhöht. Sieverding: „Im letzten Hiscox ‚Cyber Readiness Report‘ stellten wir fest, dass sich die Schadensumme im Vergleich zum Vorjahr versechsfacht hat!“ Der Grund: Die Angreifer gingen immer professioneller vor, um einen größtmöglichen Schaden zu verursachen und damit einen maximalen Druck zu erzeugen, dass Unternehmen auf ihre Forderungen eingingen. Das zeige auf der einen Seite den großen Bedarf und Mehrwert des Produktes. Auf der anderen Seite zeige es aber auch die Notwendigkeit zur fortlaufenden Anpassung.
Es braucht einen offenen Austausch
Die Cyber-Gefahren und damit auch die Cyber-Versicherung unterlägen einer extrem hohen Änderungsgeschwindigkeit, die in dieser Form in der Versicherungsbranche bisher einzigartig sei. Das stelle Versicherer, Versicherungsmakler und auch Versicherungsnehmer gleichermaßen vor Herausforderungen – die man in einem offenen Austausch über Trends und Gefahren sowie einem Dialog auf Augenhöhe löse. So könnten diese Herausforderungen konstruktiv gelöst werden und die Cyber-Versicherung auch in Zukunft für alle Seiten funktionell und auch profitabel – also nicht verlustbringend – bleiben. Wichtig sei immer – nicht nur bei Cyber, sondern in sämtlichen Bereichen – ein gesundes Versichertenkollektiv. Nachhaltige Beitragsanpassungen führten zu einem langfristig auskömmlichen Prämienniveau und damit zu einem stabileren Bestand. Als versichertes Unternehmen profitiere man dann auch mittelbar, wenn der Bestand nicht laufend saniert werden müsse und vor allem auch die weiteren Risiken im Bestand risikoadäquat bepreist würden, also aus Kundensicht nicht laufend die Verträge geändert und die Konditionen verschärft werden müssten. Sören Brokamp hingegen, Leiter Produktmanagement Cyber der HDI Versicherung, will vor allem keine schnellen Schlüsse ziehen: „Aufgrund der sehr dynamischen Risikolage und Entwicklung ist diese Frage noch nicht zu beantworten. Das Versicherungsgeschäft basiert immer auch auf einer langfristigen Sichtweise.“ Insbesondere sei neben dem Ausgleich im Kollektiv auch der Ausgleich von Schäden über die Zeit sehr wichtig. Aufgrund der noch geringen Datenbasis sollte man in der Bewertung also vorsichtig sein. Richtig sei aber, dass der Cyber-Versicherungsmarkt ein sehr stark wachsender Markt sei, und man gehe auch davon aus, bei dem notwendig kritischen Blick auf das Risiko auch analog der anderen Sparten ein für beide Seiten lukratives Angebot zu machen.
Ganz klar sind die Versicherer durch die Bank bestrebt, die Verträge im CyberGeschäft vor allem im Hinblick auf die Sicherheit in den Unternehmen selbst auf eine absolut feste Basis zu stellen. Damit sie das können, müssen Kunden und Makler – wie auch von Marsh gefordert – Hand in Hand arbeiten. Was dies im Einzelfall bedeutet, erklärt Sieverding: „Die Anforderungen der Informationssicherheit steigen vor allem mit der Unternehmensgröße.“ Bei kleinen Unternehmen müssten zum Beispiel Mindestanforderungen an den Virenschutz, Firewalls, das Rechtekonzept und die Datensicherung erfüllt werden. Bei mittelgroßen Unternehmen erfolge eine individuelle Bewertung über einen Fragbogen. Bei Großunternehmen und komplexeren Risiken finde zusätzlich ein Gespräch beziehungsweise Workshop für ein gemeinsames Verständnis statt. Auf dieser Grundlage werde dann Versicherungsschutz gewährt oder es würden gegebenenfalls konkrete Anforderungen zur Nachbesserung formuliert.
IT-Sicherheit ist Chefsache
Immer aber sei IT-Sicherheit Chef-Sache. Jedes Unternehmen, egal welcher Branche und Größe, sollte sich mit den aktuellen Cyber-Gefahren beschäftigen und proaktiv mit dem Szenario eines erfolgreichen Ransomware-Angriffes auseinandersetzen. Dazu gehörten neben technischen Anforderungen, wie einem zeitnahen Patchmanagement-Verfahren, sicheren Fernzugriffen, einer
Uwe Schluchter
Leiter Technische Versicherungen Helvetia Versicherung Deutschland
Ole Sieverding
Underwriting Manager Cyber Hiscox Deutschland
Sören Brokamp
Leiter Produktmanagement Cyber HDI Versicherung AG
Netzwerksegmentierung und einer Angriffserkennung, auch organisatorische Themen wie ein Notfallmanagementkonzept inklusive Wiederanlaufplan für das gesamte IT-System. Sieverding: „Wir waren als Cyber-Pioniere die ersten auf dem deutschsprachigen Markt und sehen uns auch deshalb in der Verantwortung, unsere umfangreichen Erkenntnisse mit unseren Kunden zu teilen und deshalb gegebenenfalls geänderte Anforderungen an die IT-Sicherheit zu stellen. Wir sehen seit zehn Jahren viele Schäden und können dadurch besser als unsere Versicherungsnehmer ableiten, was diese Schäden verhindert oder das Ausmaß reduziert.“ Schluchter lässt erst gar keinen Zweifel aufkommen: „Die Datenschutzgrundverordnung (DSGVO) stellt in Artikel 32 klar darauf ab, dass sich die Verantwortlichen, das sind in Firmen immer die Geschäftsführer persönlich, kontinuierlich mit den notwendigen technischen und organisatorischen Maßnahmen auseinandersetzen müssen. Dies ist auch unsere Grundlage.“
Keine sofortige Ablehnung
Die Kunden müssten auf Basis dieser Maßnahmen ein funktionierendes Patchmanagement einsetzen, also alle erforderlichen Sicherheitssysteme (zum Beispiel Firewall und Antivirenprogramme) nach Bereitstellung durch den Hersteller unverzüglich installieren und fortlaufend aktualisieren. Des Weiteren sei erforderlich, dass mindestens eine wöchentliche Datensicherung (Backup) auf separierten Systemen oder Datenträgern stattfinde. Brokamp warnt jedoch vor künstlich geschürter Furcht: „Im Rahmen unseres Standardprodukts für Firmen mit bis zu 10 Mio. Euro Jahresumsatz stellen wir einige Risikofragen, die als Voraussetzung gelten können. Hierbei ist aber auch zu sagen, dass wir unseren Prozess so gestaltet haben, dass bei der Verneinung verschiedener Risikofragen keine sofortige Ablehnung über unsere digitale Abschlussstrecke erfolgt.“ Man prüfe jeden dieser Vorgänge im individuellen Underwriting. In Abhängigkeit vom Risiko, also der Tätigkeit und dem gewünschten Deckungsumfang, könne man solchen Betrieben dennoch Versicherungsschutz anbieten. Die Lösungen seien je nach Situation dann unterschiedlich. Manchmal räume man eine zeitliche Frist ein, bis zu der die Umstände behoben würden, die HDI wichtig seien. In anderen Situationen könne der Selbstbehalt oder die Prämie angepasst werden.
Höhere Prämie oder Risikoausschluss
Es stellt sich allerdings noch die Frage, ob und inwieweit die Versicherer bestehende Versicherungsverträge während der Laufzeit inhaltlich oder preislich abändern müssen oder es zumindest wollen. Sieverding legt sich für HISCOX fest: „Nein, das kommt nur in Ausnahmefällen vor, etwa bei starker individueller Gefahrerhöhung.“ Und er nennt auch gleich Beispiele: „Wenn ein Kunde uns mitteilt, dass er seinen BackupServer dauerhaft ausschaltet; wenn ein Unternehmen seine Mitarbeiter ins Homeoffice schickt, das aber über keine Basis-Sicherheit wie etwa die 2-FaktorAuthentifizierung verfügt; oder wenn das Kundenunternehmen mit Windows 7 als Betriebssystem arbeitet, aber nicht die mittlerweile kostenpflichtigen Updates erwirbt.“ In solchen Fällen sei man gezwungen, die Konditionen während der Laufzeit anzupassen, also etwa über eine höhere Prämie oder einen konkreten Risikoausschluss.
Schluchter hingegen geht noch einen Schritt weiter: „Inhaltlich werden die Versicherungsverträge verändert, in der Regel ausgebaut, weil sich die technischen Anforderungen und die Marktgegebenheiten zu Gunsten der Kunden verändert haben. Inhaltliche Veränderungen können eine preisliche Komponente nach sich ziehen.“ Insbesondere, wenn zusätzliche optionale Deckungsbausteine angeboten würden. Er sagt aber auch: „Sollte sich jedoch das Risikopotenzial zu sehr Richtung Risikoträger bewegen, kommen wir nicht umhin, auch Prämienanpassungen bei einzelnen Betriebsarten umzusetzen.“ Brokamp schließlich hält sich mit Aussagen sehr zurück: „Bisher nicht nur oder nur sehr selten, wenn es darum geht, dass wir eine Anpassung vornehmen wollen. Was jedoch häufiger vorkommt, dass Kunden ihren bestehenden Versicherungsschutz anpassen wollen.“ Insbesondere werde sehr häufig die Deckungssumme angehoben. Viele Kunden hätten zu Beginn eine niedrige Deckungssumme gewählt, um die ersten Erfahrungen mit der Cyber-Versicherung zu machen. Aufgrund zunehmender Schadenerfahrung erhöhten die Kunden dann sukzessive den Versicherungsschutz. Der Kunde also als Idealfall. (hdm)
