Gefahr erkannt: Cyberversicherungen etablieren sich als eigene Produktkategorie

Die Nachfrage nach Cyber-Policen steigt kontinuierlich. Versicherer wie die Allianz verzeichnen deutlich geringere Reaktionszeiten der Kunden. Welche Herausforderungen das an Transparenz und Vertragssicherheit für alle Beteiligten stellt, erklärt Stephan Geis vom Industrieversicherer AGCS in einem exklusiven Gastbeitrag für VWheute.

Vor einigen Wochen schlugen die Hacker dann auch in Österreich zu: Nicht in einer Bank oder bei einem Online-Händler. Der zweitgrößte Baukonzern des Landes wurde Opfer einer Cyber-Attacke. Einige Tage zuvor hatte bereits eine Hacker-Gruppe in Deutschland auf sich aufmerksam gemacht, die in großem Umfang deutsche Unternehmen, darunter sechs DAX-Konzerne, ausgespäht haben soll. Die Cyber-Attacke auf Hotels des Marriott-Konzerns, die hunderte Millionen Kundendaten offenlegte, oder der Not-Petya-Angriff auf das dänische Industriekonglomerat Maersk, das zehn Tage komplett analog arbeiten musste, sind weitere Beispiele, die Unternehmenslenkern schlaflose Nächte bereiten können. Schon heute belastet Cyber-Kriminalität die Weltwirtschaft laut Studien mit fast 500 Mrd. US-Dollar jährlich. Im Allianz Risk Barometer, dem Ranking der größten Unternehmensrisiken weltweit, rangiert die Gefahr aus dem Cyber-Raum seit Jahren auf einem der drei Spitzenplätze.

„Es gibt zwei Arten von Unternehmen“, hat FBI-Chef Robert Mueller einmal gesagt: „Die, die gehackt wurden – und die, die es noch werden.“ Kein Wunder, dass Cyberversicherungen angesichts dieser Ausgangslage auf dem besten Weg sind, sich auch hierzulande als eigenständige Produktkategorie zu etablieren. Schließlich decken klassische Betriebsversicherungen Risiken aus Verletzungen der Informationssicherheit nur unzulänglich ab. Ein Beispiel: Legt ein Schadprogramm die Maschinensteuerungssoftware und in Folge die Produktionsbänder lahm, greift die Betriebsunterbrechungsdeckung nicht, weil kein Sachschaden vorliegt. Auch Kosten für IT-forensische Dienstleistungen oder die Information betroffener Kunden werden nicht gedeckt. Und dennoch: Während in den USA, wo es Cyberversicherungen schon seit vielen Jahren gibt, die Abdeckung bei 30 bis 35 Prozent liegt, ist sie in Deutschland noch denkbar gering. Vorsichtige Schätzungen gehen davon aus, dass nur rund 7000 von rund 3,6 Millionen deutschen Firmenkunden gegen einen Hacker-Angriff geschützt sind.

Cyberversicherungsmarkt wächst bis 2020 auf ein Volumen von acht bis neun Mrd. US-Dollar

Zum Glück ändert sich diese Einstellung gerade: Dauerte es zuletzt noch gut und gerne über drei Jahre bis sich ein Unternehmen zum Abschluss eines Cyberschutzes durchringen konnte, stellen wir jetzt deutlich geringere Reaktionszeiten fest. Budgets, die früher nicht für Cyber-Absicherung vorhanden waren, werden plötzlich freigesetzt oder umgeschichtet. Folglich steigt die Nachfrage kontinuierlich:  Munich Re schätzt, dass der weltweite Cyberversicherungsmarkt, dessen Volumen derzeit auf vier bis fünf Mrd. US-Dollar taxiert wird, sich bis 2020 auf acht bis neun Mrd. US-Dollar verdoppeln könnte. Bei der AGCS beziehen sich in Deutschland mittlerweile über 50 Prozent der Anfragen über alle unsere Financial Lines-Produkte hinweg auf Cyber. Die Gefahr scheint erkannt.

Um als Versicherer an diesem Wachstum teilzuhaben, gilt es mehrere Herausforderungen zu bewältigen: erstens, ein sich ständig wandelndes und schwierig zu modellierendes Risiko fassbar zu machen; zweitens, die Kumulgefahr der potenziell systemischen Cyberrisiken einzudämmen. Und drittens, die die sogenannten stillen Cyberexponierungen in traditionellen Sach- und Haftpflichtdeckungen zu regeln.

Insbesondere die letzte Herausforderung beschäftigt die Versicherungsbranche derzeit intensiv. Da die meisten heutigen Versicherungsverträge in einer Zeit entwickelt wurden, in der Hackerangriffe noch keine Rolle spielten, ist die Deckung von Cyberrisiken in den wenigsten der herkömmlichen Sach- und Haftpflichtdeckungen bewusst vorgesehen. Die Allianz Gruppe hat diese stillen Cyberexponierungen bereits im vergangenen Jahr ins Visier genommen. Ziel unseres neuen Underwriting-Ansatzes ist es klarzustellen, in welchem Umfang Cyberrisiken in herkömmlichen Policen gedeckt werden und für welche Szenarien eine spezielle Cyberversicherungslösung notwendig ist. Viele Wordings wurden bereits in den zurückliegenden Jahren aktualisiert; wo noch nicht erfolgt und notwendig, geschieht dies nun. Das schafft Klarheit für Kunden und beseitigt eventuelle Deckungslücken.Ist dieser Aufwand gerechtfertigt? Unbedingt! Durch die Umwandlung von stillen Cyberrisiken in explizite und bewusst eingegangene Deckungszusagen können wir das Gesamtexposure in unseren Portfolien deutlich akkurater abbilden als bisher und die volle Vertragssicherheit des Versicherungsschutzes für die Kunden garantieren. Schließlich spricht vieles dafür, dass die Bedeutung der Cyberversicherung noch deutlich zunehmen wird. Für viele ist sie ohnehin schon jetzt die Feuerversicherung des 21. Jahrhunderts.