Die fortschreitende Digitalisierung, vermehrte Schadenerfahrungen und wachsendes Know-how auf Versichererseite verhärten den Markt für Cyber-Deckungen. Angesichts sinkender Limits, steigender Preise und eines erhöhten Informationsbedarfs wird die Aufbereitung von Risikodaten für Unternehmen zum Gradmesser, um adäquaten Versicherungsschutz zu erhalten.

Marktsituation

Der Markt für Cyber-Versicherungen entwickelt sich für große und mittelständische Unternehmen unterschiedlich. Im unteren Mittelstand steigt die Anzahl der Anbieter von Cyber-Versicherungen in Deutschland weiter an. Das Marktsegment ist vielfach von Portfoliolösungen geprägt, in dem die Versicherer unverändert bereit sind, Risiken anhand knapper Risikoinformationen zu zeichnen. Allerdings zeigt die Geschäftsstatistik des Gesamtverband der Deutschen Versicherungswirtschaft (GDV), dass die Schadenzahlungen in diesen noch jungen Portfolios im ersten Quartal 2020 teilweise schneller steigen als die Prämieneinnahmen. Zudem rücken steigende Schadenzahlen und Sicherheitsdefizite gemäß einer Forsa-Umfrage des GDV in verschiedenen Branchen ins Blickfeld von Versicherern und Aufsichtsbehörden.

Bei den Großunternehmen, die nicht nur teils internationalen Versicherungsschutz einkaufen, sondern auch höhere Versicherungssummen benötigen, zeichnen die führenden Versicherer merklich zurückhaltender. Sie machen einen erhöhten Bedarf an Risikoinformationen geltend und reduzieren ihre bislang bereitgestellten Versicherungslimits zum Teil deutlich. Das schlägt sich nicht nur in den geforderten Prämien nieder. Gleichzeitig entsteht für alle Beteiligten bei Neuverträgen und Erneuerungsverhandlungen oft deutlicher Mehraufwand.

51 %
der deutschen Mittelständler haben kein IT-Notfallkonzept für den Ernstfall

Gerade für große Unternehmen wird es zunehmend wichtiger, dass sie ihre Cyberrisiken nicht nur identifizieren und quantifizieren können. Sie sind gefordert, ihre ergriffenen pro- und reaktiven Vorkehrungen in geeigneter Form darzulegen, um einen möglichst optimalen Risikotransfer zu erreichen.

Ausblick

Es gibt zunehmende Tendenzen, dass sich der Markt für Cyber-Versicherungen von einem Nachfrage- hin zu einem Anbietermarkt wandeln wird. Vor dem Hintergrund gemachter Schadenerfahrungen, der Umfrageergebnisse des GDV und verschiedenster Cyber-Risiko-Reports dürften die Versicherer ihr Underwriting anpassen. Ebenso werden die aufgrund der verstärkten „Homeoffice“-Tätigkeiten steigenden Gefahren ihre Wirkung nicht verfehlen.

Die von der versicherungsnehmenden Seite geforderte Vereinheitlichung der Versicherungsbedingungen ist nach wie vor nicht in Sicht. Einzig im Bereich der kleinen und mittleren Unternehmen nutzt die überwiegende Anzahl von Versicherern die unverbindlichen GDV-Musterbedingungen „Cyber“ als Basis. Für Unternehmen bleibt es damit weiterhin schwer, den tatsächlichen, hinter Schlagworten stehenden Versicherungsschutz der Anbieter zu vergleichen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht legt seit Beginn dieses Jahres einen Prüfungsschwerpunkt auf Cyberrisiken. Der Fokus richtet sich dabei insbesondere auf die „Non Affirmative Cyber“-Deckungen in traditionellen Sparten, umgangssprachlich „Silent Cyber“ genannt. Dies wird vermutlich zunächst einmal keine Auswirkungen auf die etablierten Sparten haben. Auf internationaler Ebene kann dies anders aussehen. Auf dem Londoner Markt müssen Lloyd’s Versicherer bereits seit Anfang 2020 entweder Cyber-Ausschlüsse oder aber Affirmative Cover in ihren Sachversicherungsbedingungen ausweisen. Ab 2021 wird diese Pflicht auf den Bereich der Haftpflichtversicherungen ausgedehnt. Open Market Versicherer folgen dieser Entwicklung jedoch nur teilweise.

Markttrends

Viele Versicherer erweitern ihr Know-how im Underwriting und werden dabei, wo es aus Kostengründen möglich ist, zunehmend technischer agieren. Das führt zu höherem Aufwand. Damit einhergehend steigen die Anforderungen an „Cyber-Wissen“ bei Unternehmen, Maklern und Versicherern. Unternehmen sollten daher neben der technischen Expertise besonders auf die Qualifikationen der Vermittler im Bereich der Risikoermittlung und -bewertung sowie die Schadenexpertise achten.

Aufgrund sinkender Limits einzelner Versicherer sind Großunternehmen zukünftig gefordert, hohe Versicherungssummen global mit einer größeren Anzahl von Anbietern abzusichern. Dabei wird der Fokus zunehmend auf wesentlichen Deckungsbestandteilen wie zum Beispiel Betriebsunterbrechungskosten liegen. Andere Deckungserweiterungen werden – zumindest vorübergehend – an Bedeutung verlieren. Last but not least sei das jüngste Urteil des EUGH in Sachen „Privacy Shield“ vom 16. Juli 2020 (Urteil in der Rechtssache AZ.: C-311/18 Data Protection Commissioner / Maximilian Schrems und Facebook Ireland) erwähnt, welches gravierende Auswirkungen auf die Risikobeurteilung im Bereich der Cyber-Versicherungen und der Datenschutzklauseln von Betriebshaftpflichtversicherungen entwickeln könnte. Durch das Urteil ergeben sich möglicherweise Konsequenzen für europäische Unternehmen, die personenbezogene Daten durch ein US-Unternehmen verarbeiten lassen. Ferner werden die Datenschutzaufsichtsbehörden künftig wohl zu prüfen haben, ob Standardvertragsklauseln für Datentransfers in bestimmte Drittländer eingesetzt werden dürfen. Die konkrete juristische Umsetzung des Urteils in der Praxis bleibt abzuwarten.