Cyberversicherung: Boom wird auf Eis gelegt

Die Cyberversicherung wird in den nächsten Jahren nicht mehr so stark wachsen, wie in der Vergangenheit. Das ist einhelliger Tenor der Experten der Euroforum-Jahrestagung „Digital Edition Cyber-Insurance 2021“. So haben die Versicherer die Kapazitäten deutlich zurückgefahren. Gleichzeitig werden höhere Prämien verlangt und die Bedingungen verschärft. Zudem gilt eine deutlich strengere Risikoprüfung.

Unternehmen werden streng geprüft

So orientiert sich beispielsweise die Zurich Versicherung an der „NIST Cybersecurity“, die vor dem Abschluss einer Police Unternehmen in fünf Bereichen in vollem Umfang unter die Lupe nimmt. Untersucht werden die Bereiche „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“. Die Kunden müssen für ihre Versicherbarkeit beispielsweise nachweisen, dass es ein umfangreiches IT-Management gibt, die Systeme mit aktueller Software geschützt werden, es eine regelmäßige Prüfung des Schutzes gibt, Mitarbeiter geschult werden und eine umfangreiche Datensicherung existiert.

Dilemma im Mittelstand

Während solche Vorleistungen von Industrieunternehmen in der Regel erbracht werden, sieht es bei mittelständischen Unternehmen düster aus. „Kleine Firmen fühlen sich sicher und sind immer wieder vollkommen überrascht, wenn sie angegriffen werden“, sagte Prof. Sabine Radomski von der Hochschule für Telekommunikation in Leipzig. Manchmal sei der Angreifer dann schon längere Zeit im Netzwerk des Unternehmens unterwegs. Die Mitarbeiter seien meist ohnmächtig, wenn es um die Erhöhung der Cybersicherheit geht. „Es wird dann immer hart diskutiert, ob eine neue Investition überhaupt notwendig sei“, so Radomski. Zudem müssten mehrere Mitarbeiter für die IT-Sicherheit verantwortlich sein, die jährlich mindestens vier Wochen eine Weiterbildung besuchen sollten. All das würde von Mittelständlern vielfach nicht geleistet.

Netzwerker für kleine Firmen

Radomski plädierte dafür, dass die Unternehmen nur noch sicherheitszertifizierte Software verwenden sollen. „Dann kann der Versicherer einen Rabatt bei der Prämie geben, denn das Risiko sinkt deutlich“, so die Wissenschaftlerin. Cyber-Sicherheits-Standards gibt es nach Einschätzung der Experten in ausreichendem Maße. „Sie werden aber von mittelständischen Unternehmen nicht gelebt“, beklagte Markus Edel Abteilungsleiter Cyber-Security und Managementsysteme bei der VdS Schadenverhütung. Auch Wolfgang Finkler, Referatsleiter KRITIS-Sektoren Finanz- und Versicherungswesen beim Bundesamt für Sicherheit in der Informationstechnik (BSI), beklagte, dass Cyber-Sicherheit in mittelständischen Unternehmen nicht hergestellt werde, weil vielfach die Geschäftsführung kein umfassendes Mindset vorgebe. Er empfiehlt kleineren Unternehmen sich in Netzwerken, wie der „Allianz für Cyber-Sicherheit“ zu organisieren. „Dann können auch einsame IT-Experten sich durch einen regen Austausch mit anderen Unternehmen mächtig machen“, so Finkler.

Cyber-Versicherern geht es noch gut

Noch geht es den Assekuranzen, die in Deutschland Cyber-Policen verkaufen, gar nicht so schlecht. Das geht aus einer Marktanalyse der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) hervor. Laut Ramon Platt, Bafin Referatsleiter für Grundsatzfragen der Schaden/Unfallversicherung haben die Cyberversicherer 2020 insgesamt 240 Mio. Euro an Beiträgen für das selbst abgeschlossene Geschäft eingenommen. 2016 waren es erst 30 Mio. Euro gewesen. Rund 40 Prozent des Geschäfts wird rückversichert. „Das ist für die Aufsicht beruhigend“, sagte Platt. Gleichzeitig mit dem boomenden Geschäft stiegen die Schäden. So ist die Brutto-Schaden-Kosten-Quote von rund 35 im Jahre 2016 auf 70 Prozent in 2019 gestiegen. Doch schon im vergangenen Jahr sank die Combined Ratio wieder auf rund 65 Prozent. „Grund sind aller Wahrscheinlichkeit Beitragserhöhungen“, erläuterte Platt. Die Schadenquote lag 2020 sogar nur bei rund 40 Prozent.

Höhere Prämien für die Zukunft

Daher geht es beim harten Markt in der Cyberversicherung vor allem darum, höhere Prämien für künftige Schäden durchzusetzen. Je besser Unternehmen in Sachen Cybersicherheit aufgestellt sind, desto besser können sie versichert werden. Sogar Bußgelder, deren Versicherung umstritten ist, können geringer ausfallen, wenn ein Unternehmen nachweislich eine umfassende Cyber-Compliance installiert hat und es dann trotzdem zu einem Verstoß gegen die Datenschutzvorschrift kommt. Das bestätigte in einer Diskussionsrunde Stefan Brink, Landesbeauftragter für den Datenschutz und Informationsfreiheit Baden-Württemberg.

Autor: Uwe Schmidt-Kasparek