Cybersparte unter Druck: „Ende 2020 so viele Deckungsablehnungen wie noch nie zuvor“

Jahrelang galt die Cyber-Versicherung als Heilsbringer für die als innovationsarm gescholtene Versicherungsbranche. Als 2011 das erste reine Cyber-Produkt in Deutschland auf den Markt kam, erschloss sich ein völlig neues Geschäftsfeld. Nun, zehn Jahre später, steht die Cyber-Police vor ihrer größten Herausforderung: Wird sie sich behaupten oder doch schneller als gedacht verschwinden? Ein Gastbeitrag.

Als die Cyber-Versicherung auf den deutschen Markt kam, waren die Erwartungen groß: Endlich konnte die Branche wieder zeigen, dass sie innovative Lösungen für neue Risiken entwickeln kann, die den Kunden sinnvollen Schutz bietet. Auch wenn die Cyber-Versicherung zu Beginn noch an Kinderkrankheiten litt, wollten Versicherer wie Makler auf der Welle mitreiten.

Es wurden Practice Groups und Sonderabteilungen gegründet; Cyber wurde in vielen Häusern schnell als eigene Sparte deklariert. Der Umfang der Versicherungsbedingungen wurde stetig ausgebaut, verbessert und den sich ändernden Risiken angepasst. Keine andere Sparte erlebte solch einen rasanten Wandel. Was zunächst fehlte, waren die Kunden. In vielen Unternehmen war das Bewusstsein für Cyber-Risiken überschaubar. Geschäftsführer und Vorstände konnten sich kaum vorstellen, dass sich Kriminelle Zugang zu ihrer IT verschaffen könnten. Ein häufiges Argument seinerzeit: „Bevor wir das Geld für eine Versicherung ausgeben, investieren wir es lieber gleich in die Technik“.

„Was wie Namen von Independent-Bands klingt, ist in Wirklichkeit eine der größten Bedrohungen unserer Zeit: Ransomware.“

Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI)  2014 über einen Angriff auf einen deutschen Stahlhersteller berichtete, änderte sich allmählich die Einstellung der Entscheider. Die Zahl der Abschlüsse stieg, in manchen Jahren sogar um 100%. Die junge Sparte entwickelte sich zum Shootingstar. Es folgten Locky, WannaCry, NotPetya und andere. Was wie Namen von Independent-Bands klingt, ist in Wirklichkeit eine der größten Bedrohungen unserer Zeit: Ransomware. In den ersten Jahren ging man noch von einer vorübergehenden Erscheinung aus. Nur vereinzelt sah man schon damals die weitreichenden Auswirkungen kommen und nur einige wenige sprachen sogar davon, dass Cyber-Risiken aufgrund des unvorstellbaren Schadenpotenzials nicht versicherbar seien und der Staat einspringen müsse.

„Summe der ausgezahlten Leistungen übersteigt bei einigen Versicherern die eingenommenen Prämien“

Nun, ein paar Jahre später, scheint es, als sollten sie recht behalten. Inzwischen steigen parallel zu den Abschlusszahlen auch die gemeldeten Schäden rasant, insbesondere aufgrund von Ransomware-Angriffen. Die Summe der ausgezahlten Leistungen übersteigt bei einigen Versicherern mittlerweile die eingenommenen Prämien. In der Folge reduzieren die Versicherer ihre Kapazitäten, erhöhen die Prämien oder ziehen sich ganz aus dem Cyber-Markt zurück. Gleichzeitig knüpfen die Versicherer hohe Voraussetzungen an die Informationssicherheit zur Erlangung des Versicherungsschutzes. Ende 2020 sah Marsh so viele Deckungsablehnungen wie noch nie zuvor.

Im Renewal 2020 erlebten wir außerdem einige Fälle, in denen der Versicherer kurz vor Ablauf der Kündigungsfrist dem Kunden mitteilte, dass er die Prämie um 200% anheben und die Kapazität um die Hälfte reduzieren müsse. Wir befinden uns also in einem Dilemma: Bei einem ungehinderten Fortgang der Geschehnisse wird Cyber für Versicherer auf Dauer nicht mehr lukrativ sein. Einige werden sich aus dem Markt zurückziehen, oder der Versicherungsschutz wird für viele Unternehmen quasi unbezahlbar werden. Die Cyber-Versicherung droht zu kentern, noch bevor sie so richtig in Fahrt gekommen ist. Um das zu verhindern, ist eine partnerschaftliche Zusammenarbeit aller Marktteilnehmer und das Verständnis für die andere Seite notwendig.

Verhandlungsspielraum tendiert gegen Null

Das Renewal 2020 zeigte eines ganz deutlich: Wird der Erneuerungsprozess in dieser besonderen Marktsituation mit der bislang üblichen Vorlaufzeit gestartet, steht bis zum Ende der Vertragslaufzeit nur sehr wenig Zeit zur Verfügung, um auf Prämienerhöhungen, Kapazitätsreduzierungen oder die Vorgaben der Versicherer an die Organisation und IT zu reagieren. Der Verhandlungsspielraum tendiert ebenfalls gegen Null, da die Versicherer strikte Vorgaben umzusetzen haben. Die Aufrechterhaltung des Deckungsschutzes gerät somit in Gefahr. Dasselbe gilt auch für Neuverträge, nur dass hier der Zeitdruck in der Regel geringer ist. Ganz grundsätzlich sollte man sich im Klaren sein: Die Zeiten, in denen
Deckungen in ein oder zwei Monaten platziert wurden, gehören zumindest bei großen Unternehmen der Vergangenheit an.

Schwerwiegende Folgen, wenn es nicht mehr weitergeht

Die Cyber-Versicherung ist ein notwendiges und sinnvolles Werkzeug im Rahmen des Cyber-Risikomanagements. Ihr Verschwinden hätte schwerwiegende Folgen. Versicherer, Versicherungsnehmer und Makler müssen partnerschaftlich zusammenarbeiten, wenn diese Sparte auch weiterhin Bestand haben soll.

Versicherer sollten individueller prüfen, ob Prämienerhöhungen gerechtfertigt sind, welche Anforderungen an die Kunden angemessen sind und welche technisch/organisatorischen Vorgaben innerhalb der Frist umgesetzt werden können. Ansonsten treiben sie die Kunden genau in die Einstellung zurück, die wir eigentlich schon hinter uns gelassen hatten: „Wir investieren lieber in Technik als in Versicherung.“

Für Versicherungsnehmer gilt wiederum: Wenn es ihnen nicht gelingt, den Versicherern ihr Risiko transparent zu präsentieren und ein adäquates Informationssicherheitsmanagement nachzuweisen, werden sie zukünftig keinen Versicherungsschutz mehr erhalten oder unnötig hohe Prämien zahlen.

Makler sind ebenfalls gefordert. Sie sind mehr denn je als Berater gefragt statt als bloße Vermittler. Sie haben den notwendigen Marktüberblick, um ihre Kunden bestmöglich auf die Ausschreibung vorzubereiten und zu begleiten. Im Idealfall unterstützen sie auch bei der Analyse der Risiken, der Beseitigung von Schwachstellen sowie der Berechnung und Darlegung des Schadens im Schadenfall und liefern so alles aus einer Hand. Sie bilden gewissermaßen den Leuchtturm in unruhiger See.

Autoren: Johannes Behrends, Head of CYRIS, Marsh GmbH; Thomas Droberg, Head of Cyber Insurance, CYRIS, Marsh GmbH, Dr. Roy Krischer, Head of Cyber Risk Consulting, CYRIS, Marsh GmbH

Den vollständigen Beitrag lesen Sie in der Februarausgabe des Magazins Versicherungswirtschaft.