6

Cyber Versicherung

Cyberrisiken zunehmend im Fokus

6

Cyber Versicherung

Cyberrisiken zunehmend im Fokus

Der Markt für Cyberversicherungen hat sich im Verlauf des vergangenen Jahres weiter verhärtet. Hierbei gibt es allerdings teils deutliche Unterschiede je nach Unternehmensgröße und Geschäftsmodell. Aufgrund der jüngsten Entwicklungen (Krieg in der Ukraine und signifikante Inflation) ist eine Entspannung der Situation im laufenden Jahr höchst unwahrscheinlich. Dem Faktor „Risikoqualität“ kommt eine immer stärkere Bedeutung zu, da Versicherer sogenannte „Mindestanforderungen“ formulieren und ihr Underwriting zunehmend professionalisieren.
Es ist daher für Unternehmen sinnvoll, sich frühzeitig auf diese anspruchsvolle Renewalsituation in Abstimmung mit einem auf Cyberversicherung spezialisierten Makler vorzubereiten.

Marktsituation

Vorweg sei angemerkt, dass sich die Risikosituation insbesondere für große Unternehmen in den vergangenen drei Jahren deutlich verschärft hat. So hat sich die Anzahl von gegen Unternehmen gerichteten Ransomwareattacken in der Zeit vom ersten Quartal 2019 bis zum vierten Quartal 2021 mit 323 Prozent mehr als verdreifacht (vgl. Aon’s 2021 Global Risk Management Survey).

Eine erste Folge dieser Entwicklung stellen die Prämiensteigerungen im Jahr 2021 dar (siehe Grafik „2021 E&O- / Cyberprämien“).

Neben einer durchschnittlichen Prämienverdopplung im letzten Halbjahr 2021 haben sich bei zwei Dritteln der Cyberverträge auch deren Selbstbeteiligungen signifikant erhöht.

Zusätzlich zu Prämien- und Selbstbeteiligungserhöhungen haben die Versicherer ihre Limits je Einzelrisiko weiter reduziert, sodass Kunden in der Regel nur noch fünf bis maximal 15 Mio. Euro je Versicherer zur Verfügung stehen. Umfangreichere Versicherungsprogramme müssen daher nunmehr mit einer größeren Anzahl verschiedener Versicherer mit zum Teil sehr unterschiedlichen Bedingungen realisiert werden.

In der Folge hat im zweiten Halbjahr 2021 jedes fünfte Unternehmen – größtenteils aus Budgetgründen – die Versicherungssumme seiner Cyberdeckung reduziert. Häufig werden dabei jedoch mögliche finanzielle Auswirkungen durch „Schäden“ im Vorfeld nicht ausreichend quali- und quantifiziert.

Besonders relevant ist auch die Tatsache, dass einzelne Versicherer gezielt versuchen, Hauptschadenursachen aus ihren Versicherungen auszuschließen. Insbesondere die führende / häufigste (Groß-)Schadenursache „Schäden durch Ransomwareattacken“ wurde von diesen Versicherern entweder ausgeschlossen, sublimitiert und/oder durch sogenannte Co-Insurance-Regelungen, bei denen sich ein Kunde meist zusätzlich zum Selbstbehalt prozentual an einem Schaden beteiligt, ausgehöhlt.

Es wird daher zunehmend wichtiger, die eigenen Unternehmensrisiken nicht nur rational qualifizieren und quantifizieren zu können, sondern den Versicherern auch die ergriffenen Sicherheits- und Wiederherstellungsmaßnahmen und damit den „Cyber“-Reifegrad der eigenen Unternehmensorganisation korrekt, aber im besten Licht darzustellen. Nur wenn es gelingt, diese Informationen in die Gedankenwelt der Versicherer zu transferieren, kann ein Industrieunternehmen derzeit eine risikoadäquate Deckung zu einer tragbaren Prämie einkaufen. Die Unterstützung spezialisierter Makler mit einem breiten Überblick über die aktuelle Marktwahrnehmung aus Versicherersicht ist hierbei wesentlich.

Entwicklung der Ransomwareattacken auf Unternehmen

von 2019 bis 2021

Quelle: Risk Based Security, Analyse von Aon. Daten vom 31.01.2021; Datenexfiltration durch Ransomware und Ausfallzeiten gemäß dem vierteljährlichen Ransomware-Bericht von Coveware vom 21.10.2021.

Ausblick

Der derzeitige Markt der Cyberversicherungen härtet, ähnlich wie bei einem zufrierenden See, von oben herab.

Während unten „am Seegrund“ immer noch neue Versicherer bemüht sind, sich mittels einer Niedrigpreisstrategie ein ausreichend großes Cyberversicherungsportfolio aufzubauen, reagieren etabliertere Cyberversicherer auf die seit 2019 vermehrt beobachteten, teils signifikanten Frequenzschäden durch APT-Angriffe insbesondere auf größere Unternehmen.

Im Bereich der Industrieversicherung nimmt die Professionalisierung des Underwritings mittlerweile spürbar zu. Dies macht sich zum einen in dem immer weiter steigenden Informationsbedarf auf Versichererseite und zum anderen durch eine sich langsam abzeichnende, nach Risikoqualität differenzierte Bedingungs- und Prämiengestaltung bemerkbar.

Derzeit zeigen sich auch hier die Auswirkungen des Ukraine-Krieges in zwei Punkten:

Erstens wirkt sich die Sorge der Versicherer vor (Kollateral-)Schäden einer „hybriden Kriegsführung“ dahingehend aus, dass nicht nur territoriale Ausschlüsse oder modifizierte Kriegsausschlüsse eingeführt werden, sondern auch, dass Unternehmen mit entsprechendem regionalem Engagement von einigen Versicherern nicht mehr gezeichnet werden.

Zweitens dürfte die bereits deutlich sichtbare und sich weíter verschärfende Inflation zu einem zusätzlichen Prämienanstieg führen.

Während im Sektor der Cyber-Exzedentenversicherung bereits Licht am Ende des Tunnels zu sehen ist, bleibt die Situation bei den Grundversicherungen angespannt. Wir erwarten, dass sich das im Verlauf des Jahres 2022 auch nicht grundlegend ändern wird.

2021 E&O- / Cyberprämien für Grundvertrag und 1. Exzedenten

Durchschnittliche Veränderung gegenüber dem Vorjahr (dieselben Kunden)

Markttrends

Aufgrund des knappen Angebots bei Cyber-Grunddeckungen rücken alternative Risikofinanzierungen wie (virtuelle) Captives zunehmend ins Bewusstsein. Inwiefern derartige Lösungen zielführend sind, hängt in erster Linie von den Einsatzgründen und dem individuellen Unternehmensrisiko ab.

Inwiefern anstehende Entscheidungen des EuGH zu Datenschutzverstößen und die jüngst veröffentlichte EDSA-Leitlinie zur Bemessung von Bußgeldern bei Datenschutzverstößen das zukünftige Risikoumfeld der Cyberversicherung beeinflussen werden, lässt sich noch nicht seriös beurteilen. Es ist jedoch von einer risikoerhöhenden Wirkung auszugehen.

Die Fortschritte bei der Professionalisierung ihres Cyber-Underwritings werden es den Versicherern darüber hinaus erlauben, ihre Portfolien risikogerechter zu steuern. Damit wird sich mittelfristig die einst von der ENISA der Versicherungswirtschaft zugedachte Steuerungsfunktion realisieren und ein adäquater Versicherungsschutz für gut aufgestellte Unternehmen zu akzeptablen Prämien einkaufbar sein. So zum Beispiel dann auch für unabwendbare Cybervorfälle wie „Kaseya“, bei dem bekanntlich Hacker einen großen IT-Dienstleister in den USA angegriffen hatten mit betriebsunterbrechender Auswirkung unter anderem auch auf deutsche Unternehmen.

Ganzheitliche Ansätze werden wichtiger denn je

Die sich ständig weiterentwickelnde Informations- und Kommunikationstechnologie (IKT), deren Anwendungen in Geschäftsprozessen und die damit ebenfalls wachsenden Anreize für Cyberkriminelle erfordern einen zunehmend ganzheitlichen Ansatz, der die Welten der IKT, der Wertschöpfungsprozesse, des Risikomanagements und letztendlich des Risikotransfers zusammenführt. Die isolierte Optimierung einzelner Parameter wird scheitern.

Aus diesem Grund vertieft Aon seinen gesamtheitlichen Ansatz auf Basis des reformierten Cyber Loops durch den Ausbau seiner Cyber Securityx Services im D-A-CH-Raum.

Aon Cyber Securityx Services

Sustained Cyber Resilience

Assess Quantifiable insight for better decisions.

Mitigate Build resilience and minimize impact.

Transfer Safeguard your balance sheet.

Recover Drive operational and financial loss recovery.

Aon Marktreport 2022 Ukraine-Krise Sachversicherung Haftpflichtversicherung Warentransportversicherung Technische Versicherungen Spezialmarkt Construction Spezialmarkt Erneuerbare Energien (Renewable Energy) Cyber Versicherung Kfz-Versicherung D&O-Versicherung Kreditversicherung Schifffahrt Real Estate Life Sciences Health Solutions Spezialmarkt International People Mobility (IPM) Group Life Betriebliche Krankenversicherung (bKV) Gruppenunfallversicherung Terrorversicherung M&A-Versicherung Betriebliche Altersversorgung (bAv) HR-Assessments Das Experten-Team Über Aon