Cyber-Policen von bösen Überraschungen befreien

Quelle: Bild von Pete Linforth auf Pixabay

Aus dem Debakel um die Betriebsschließungsversicherung sollte die Branche nach Meinung von Christian Gründl für Cyberdeckungen eine Lehre ziehen. „Es muss einiges bei den Versicherungssummen und der Klarheit in den Bedingungen getan werden, damit alle vor Überraschungen gefeit sind“, sagte der Vorstand der Ergo Versicherung AG bei einer Fachkonferenz des Gesamtverbandes der versicherungsnehmenden Wirtschaft e.V. (GVNW) am Montag.

Hinsichtlich Risikobewusstsein, Schadensausmaß und Verbreitungsgeschwindigkeit sieht er Parallelen zwischen Pandemie und möglichen IT-Kumulen – beispielsweise des Computerwurms „Loveletter“ 2000. „Die Gefahr ist real, dass wir nach massiven Attacken streiten werden wie bei der BSV“, so Gründl. Man brauche eine „glasklare“ Sicht auf die Deckungsinhalte – beispielsweise bei der Frage, welche physikalischen Schäden durch Schadsoftware versichert seien. Risiken aus Silent Cyber müssten ausgeschlossen sein. Seiner Auffassung nach hat der Markt mit den jüngsten Ausschlüssen aber überreagiert. Der beste Schutz für die Unternehmen und die Branche sei Berechenbarkeit.

Kritisch zeigte er sich auch gegenüber den eigenen Schadensprozessen. Da gebe es noch Luft nach oben: „Viele Anbieter versprechen einen 24/7-Service im Schadenfall. Aber sind diese wirklich so weit skaliert, wenn 1.000 Deckungen getriggert werden und wir dann regulieren müssen?“ Man müsse gemeinschaftlich mit den Versicherten die Notfallmaßnahmen bei den Unternehmen vorbereiten.

Vor allem kleine und mittelständische Firmen (KMU) besäßen hier nicht genügend Professionalität. Die Grenzen der Versicherbarkeit dieses Risikos sieht Gründl erst mit einer höheren Marktdurchdringung des Schutzes erreicht. „Must have“ für den Schutz sei ohnehin die Prävention. Auch Ransomware sei trotz der starken Zunahme „Stand heute“ noch versicherbar. „Es ist noch nicht toxisch. Das kann es aber sein, wenn die Angreifer staatlich gesteuert sind. Dann muss es analog einen Ausschluss wie bei Krieg und Terror geben.“

Mit der Munich Re arbeitet ergo an einer „Sales support platform“ für Cyber, die unter anderem das Bewusstsein für Risiken bei allen Beteiligten schärfen soll. Man habe zudem begonnen, die Bedingungen zu überarbeiten: Risiken aus dem Homeoffice habe man inkludiert, Silent Cyber ausgeschlossen.

Volker Ahrens, der seit 2011 das weltweite Versicherungs-Risikomanagement der SAP SE leitet, sprach von einer Verteuerung und Verknappung der Kapazitäten in der Cyberversicherung seit Mitte 2020. 70 Prozent der Firmen berichteten von Prämiensteigerungen, 20 bis 30 Prozent von Deckungsverschlechterungen, so Ahrens über das Ergebnis einer Umfrage des Verbandes unter seinen Mitgliedern. Dabei hätten 90 Prozent der Unternehmen eigenen Angaben zufolge eine Schadenquote von unter 50 Prozent. Er kritisierte, dass die Versicherer dieses Segment vor Jahren „blauäugig“ begonnen hätten. Nun sei die Goldgräberstimmung gewichen.

Für Bengt von Toll, Leiter Cyber Europa und Lateinamerika bei Munich Re, gibt es am Markt keine strategischen Verknappungen, sondern nur solche aus Ertragsgründen. Der deutsche Markt sei relativ spät und mit anfangs guten Ergebnissen gestartet, daher sei das Preisniveau vergleichsweise niedrig gewesen. Die gute Schadenentwicklung gelte nicht mehr für alle Teilnehmer, Segmente und Regionen – darauf reagiert der Markt. Er gehe aber weiterhin von einem Wachstum aus. Da die Versicherungskapazitäten an Grenzen stoßen werden, sei es gut, dass die Kapitalmärkte Interesse zeigten. Der Rückversicherer geht davon aus, mit guten Modellen die wesentliche Kumule und systemischen Risiken erkannt zu haben. „Wir haben unseren Risikoappetit klar definiert“, so von Toll. 

Kritisch sieht er, dass Schutzmaßnahmen bei den Anwendern immer noch unterschätzt werden. „Wir sollten die Hürden finanziell und technisch für die Hacker hochziehen, damit Attacken an Attraktivität verlieren. Für das Restrisiko, das bleibt, kann man dann Versicherungsschutz kaufen.“

Autorin: Monika Lier

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

drei × 1 =