Hier schreiben regelmäßig Aon Expertinnen und Experten zu aktuellen Entwicklungen in den Themenfeldern Risiko, Kapital und Human Resources. Mit diesen Informationen und Erkenntnissen können Führungskräfte bessere Entscheidungen für ihr Unternehmen treffen.
Interview: Ist Cyber heute noch versicherbar?
Der Gesamtverband der Versicherer (GDV) hat im September 2022 eine Statistik veröffentlicht, die zeigt, dass die Schadenkostenquote bei Cyberversicherungen 2021 bei ca. 124 Prozent lag. Dass Cyberrisiken in den letzten Jahren deutlich zugenommen haben, ist bekannt. Doch zunehmend stellt sich für viele Unternehmen die Frage, ob Cybergefahren überhaupt noch versicherbar sind. Luca Rodermund, Cyberexperte bei Aon, beantwortet im Interview die wichtigsten Fragen.
Wie bewerten Sie die GDV-Statistik und was führte aus Ihrer Sicht zu dieser hohen Quote?
Die Statistik des GDV umfasst ausschließlich die Meldungen der GDV-Mitglieder, die sich dazu verpflichtet haben und enthält daher mehrheitlich KMU-Cybervertragszahlen. Insbesondere die Tatsache, dass sich die Portfolien der Versicherer, die in diese noch sehr junge Statistik melden, teilweise selbst noch im Aufbau befinden, führt zu erheblichen Schwankungen. Für das Jahr 2020 wies die Statistik noch eine Schadenkostenquote von 65 Prozent auf. Hinzu kommt, dass wahrscheinlich nicht unerhebliche Rückstellungen in diese Quote einfließen, die über die Zeit noch deutlich zusammenschmelzen werden. Nichtsdestotrotz können wir hieraus erkennen, dass sich die seit 2019 auf eher größere Unternehmen ausgerichteten Ransomware-Attacken zunehmend auch in den KMU-Bereich erstrecken. Daher wird es mittelfristig notwendig werden, auch für KMU-Portfolios mehr Underwritingexpertise aufzubauen, um eine positive Risikoselektion vornehmen zu können.
Ist es denn für Unternehmen heute noch möglich, angemessenen Cyberversicherungsschutz gegen Cyberrisiken zu bekommen?
Tatsächlich nehmen die Abschlüsse von Cyberversicherungen weiter zu. Immer mehr Unternehmen haben das Risiko erkannt und suchen neben der Verbesserung ihrer IT-Security nach wirksamen Bilanzschutzinstrumenten. Allerdings ist die Nachfrage nach Cyberversicherungen deutlich größer als die Zahl der Abschlüsse. Hintergrund sind die Anforderungen der Cyberversicherer an das IT-Sicherheitsniveau der Unternehmen. Basierend auf der gesammelten Schadenerfahrung haben sich Sicherheitsvorkehrungen herauskristallisiert, die von nahezu jedem Versicherer eingefordert werden (bspw. MFA, ein gutes Backup- und Patchmanagement). Sofern ein Mindestmaß an IT-Sicherheit vorliegt, bietet der Cyberversicherungsmarkt weiterhin attraktive Lösungen. Wir unterstützen unsere Kunden dabei den aktuellen Status Quo qualitativ und quantitativ zu evaluieren und auch vor dem Hintergrund der Versicherbarkeit weiterzuentwickeln.
Was sind derzeit die größten Herausforderungen am Cyberversicherungsmarkt?
Begrenzte Kapazitäten bei Grundverträgen für größere Unternehmen sind derzeit häufig das Nadelöhr, um ein Versicherungsprogramm aufbauen zu können. Daher benötigen wir mehr Versicherer, die Grundverträge zeichnen und dafür auch das notwendige Know-how aufbauen. Es gibt eine Reihe von Versicherern, die aktuell von guten Konditionen in den kaum schadenbelasteten Exzedentenverträgen profitieren, aber keine Kapazitäten für die Grundverträge zur Verfügung stellen möchten. Das muss sich ändern, um einen langfristig tragfähigen Markt aufzubauen.
Gleichzeitig beobachten wir, dass der Wettbewerb im Exzedenten Bereich zunimmt. Durch die steigende Anzahl an Alternativen konnten wir insbesondere im Bereich nach 50 Mio. Euro Versicherungssumme bereits erste Prämienreduzierungen erzielen.
Warum haben sich in der Vergangenheit so viele Versicherer aus dem Markt zurückgezogen?
So dynamisch wie sich Cyberrisiken in den letzten Jahren verändert haben, so hat sich auch der Versicherungsmarkt verändert. Zwischen 2019 und 2021 haben Ransomware-Angriffe erheblich zugenommen und vordringlich bei größeren Unternehmen signifikante Schäden verursacht. Bei Eintritt dieser Entwicklungen hatten viele Versicherer noch kein tragfähiges Portfolio aufgebaut, um die enorme Schadenlast verkraften zu können. Gleichzeitig fehlte die Schadenerfahrung, um die Risiken richtig einzuschätzen. Dies ist auch dem Umstand geschuldet, dass der Fokus vieler Versicherer zum Zeitpunkt des Markteintritts auf der Gewinnung von Marktanteilen und nicht dem Aufbau von Know-how und einem belastbaren Versicherungsprodukt lag. In Folge der Entwicklung haben sich ein paar Versicherer gegen eine Sanierung des Bestands und für einen Marktaustritt entschieden.
„Im Großen und Ganzen ist es die Kombination aus fehlender Erfahrung und einer dynamischen Risikolandschaft, die zu den Entwicklungen am Versicherungsmarkt beigetragen hat.“
Inzwischen tun sich einige Konzerne zusammen und bilden eigene Versicherungen zur Deckung von Cyberrisiken. Wie beurteilen Sie diesen Trend?
Je mehr Kapazitäten am Cyberversicherungsmarkt zur Verfügung gestellt werden, desto besser. Hieraus ergeben sich auch Möglichkeiten für die in den Grundverträgen benötigten Kapazitäten. Eine Mutual – ein Versicherungsverein auf Gegenseitigkeit – kann auch dazu beitragen, große Versicherungsprogramme aufzubauen und Kapazitätslücken zu schließen. Gleichzeitig haben diese Lösungen Grenzen. Beispielsweise ist nicht davon auszugehen, dass die Konditionen attraktiver sind als am Versicherungsmarkt selbst. Es werden in der Regel marktübliche Versicherungsbedingungen und Anforderungen an die IT-Security zu Grunde gelegt und auch eine Einlage der beteiligten Unternehmen vorausgesetzt. Darüber hinaus gehen die Haftungsstrecken im Schadenfall über die zur Verfügung gestellte Kapazität hinaus. Denn bei einer Mutual tragen die Unternehmen selbst und nicht der Versicherer das Risiko. Sollte die Schadenlast größer sein als kalkuliert, werden sie Kapital nachschießen müssen. Daher werden diese Lösungen nicht in der Breite Anwendung finden.
Ist die Bildung von Eigenversicherungen auch für KMUs ein gangbarer Weg?
Aus den genannten Gründen gehen wir nicht davon aus, dass eine Eigenversicherung hier die Konditionen des Versicherungsmarkts schlagen kann. Insbesondere im KMU-Bereich sehen wir derzeit noch eine größere Auswahl an Risikoträgern mit kleineren Versicherungsprogrammen. Der Bedarf an hohen Kapazitäten ist viel geringer als im Konzernbereich. Hinzu kommt, dass für die Gründung einer Mutual neben dem Know-how auch erhebliche finanzielle und personelle Ressourcen benötigt werden.
Welche Gefahren lassen sich heute schwer versichern? Was können Unternehmen hier tun?
Derzeit sind Ransomware-Angriffe das häufigste und schadenträchtigste Risikoszenario. Unternehmen entstehen durch diese Angriffsform nicht selten Millionenschäden insbesondere getrieben durch Betriebsunterbrechungsschäden, hohe Kosten für die Wiederherstellung, IT-Forensik und Lösegelder.
Einige Versicherer versuchen, signifikante Eigenbeteiligungen der Versicherungsnehmer für das Schadenszenario Ransomware durchzusetzen. Häufig können wir diese gravierenden Einschränkungen im Interesse unserer Kunden vermeiden.
Für das kommende Jahr erwarten wir darüber hinaus Diskussionen zu systemischen Risiken und Lieferketten.
Besonders herausfordernd ist es für Unternehmen, deren Geschäftsprozesse stark von einer funktionierenden IT-Umgebung abhängen und für Unternehmen die aktuell im Fokus der Angreifer stehen, z. B. Energieversorger.
Die Versicherbarkeit dieser hoch exponierten Risiken lässt sich allerdings durch ein entsprechend hohes IT-Sicherheitsniveau deutlich verbessern. Hierzu gehören neben den technischen Vorkehrungen beispielsweise in den Bereichen Zugangskontrolle, Datensicherung und der Erkennung und Reaktion auch prozessuale und organisatorische Maßnahmen, die eine Cyberresilienz deutlich stärken. Beispielsweise die Entwicklung und Testung von Notfallplänen und die Etablierung eines funktionsfähigen Business Continuity Managements.
Sofern ein hohes IT-Sicherheitsniveau erreicht wird, lassen sich aktuell auch exponierte Risiken adäquat versichern.
Immer mehr Versicherer vereinbaren Obliegenheiten in ihren Cyberpolicen. Welche Folgen hat dies für den Versicherungsnehmer?
In nahezu jeder Versicherung gibt es Obliegenheiten, die erfüllt werden müssen, um einen vollumfänglichen Versicherungsschutz sicherzustellen. Hierzu gehört, dass die zur Verfügung gestellten Risikoinformationen korrekt sind. Daher unterstützen wir unsere Kunden bei der Beantwortung der Risikofragen, gewährleisten, dass Kommentarfunktionen zur Verfügung stehen oder stellen unsere eigenen Risikoerfassungstools zur Verfügung. Denn viele Themen lassen sich nicht mit den Ja/Nein-Fragen der Versicherer beantworten.
Wie verändern sich die Cyberrisiken durch Krisen wie den Krieg?
Der Ukraine-Krieg befeuert die ohnehin angespannte Cybersicherheitssituation weiter. Für politisch motivierte Hackergruppierungen rückt neben der finanziellen Motivation nunmehr auch die reine Schädigung der Unternehmen in den Fokus. Daher sollten Organisationen Ihre Cyber Readiness weiter vorantreiben und sowohl in technische als auch organisatorische Maßnahmen investieren. Gerne unterstützen wir hier mit einem ganzheitlichen Konzept.
Wie unterstützt Aon Unternehmen bei dem Management von Cyberrisiken?
Aon Cyber Solutions bietet sowohl mittelständischen Unternehmen als auch Konzernen über den Cyber Loop ein umfangreiches Beratungsangebot. Cyberrisiken sind nicht linear und bieten daher unterschiedliche Ansatzpunkte, um eine wirksame Cyberresilienz aufzubauen. Durch unseren ganzheitlichen Ansatz bieten wir Lösungen für alle Ausgangssituationen.
Wir unterstützen unsere Kunden beispielsweise durch datengeschützte Analyseverfahren mit qualitativen und quantitativen Einschätzungen zur individuellen Cyberrisikosituation. Indem wir Transparenz über das Cyberrisiko schaffen, versetzen wir unsere Kunden in die Lage unternehmerische Entscheidungen zur Informations-/Cybersicherheitsmaßnahmen und etwaigen Risikotransferlösungen zu treffen.
Darüber hinaus begleiten wir unsere Kunden auf dem Weg in Richtung Cyberresilienz und unterstützen bei der Umsetzung von technischen und organisatorischen Lösungen, um Cybervorfälle möglichst zu vermeiden. Zu der Entwicklung einer Cyberresilienz Strategie gehören u.a. die Entwicklung und Testung von Notfallplänen, die Durchführung von Penetrationstests oder Ransomware Simulationen.
Auf diese Weise helfen wir unseren Kunden dabei die Voraussetzungen der Versicherbarkeit zu schaffen und einen passenden Versicherungsschutz am Markt einzukaufen. Im Zuge der Platzierung begleiten wir unsere Kunden mit eigenen Cyberrisikoingenieuren, die u.a. bei der Aufbereitung von Risikoinformationen und durch die Vorbereitung und Begleitung von Risikodialogen unterstützen.
Da eine schnelle und professionelle Reaktion die Folgen von Cyberangriffen reduzieren kann, stellen wir auch umfassende technische Kompetenzen für den Schadenfall zur Verfügung. Mit unseren weltweit über 13 IT-Forensiklaboren und -hubs bieten wir individuelle Lösungen an, um im Schadenfall international ad hoc regieren zu können.
Erfahren Sie hier mehr zum Thema Management von Cyber-Risiken
Unser Modell für nachhaltige Cyber-Resilienz: Der Cyber Loop
Bereiten Sie sich vor auf die EU-Richtlinie zur Cyber-Sicherheit, die NIS 2