Die Ratingagentur Franke und Bornberg hat erstmals gewerbliche Cyberpolicen für den deutschen Markt getestet, die sich gezielt an kleinere und mittelständische Unternehmen wenden. Neue Risiken stellen die Versicherer vor große Probleme, manche reagieren mit Moselpackungen, so das Fazit. Besonders brisant: Fast niemand wolle Finanzdienstleister gegen Cyber-Risiken absichern.
Neues Gefährdungsniveau bedroht Existenzen
Großangelegte Cyber-Attacken mit Ransomware wie „WannaCry“, “NotPetyra“ oder „Bad Rabbit“ legten nicht nur private Rechner lahm und zerstörten viele Daten mit einer Verschlüsselungs-Software unwiderruflich. Die Angriffe störten auch die Technik großer Firmen, von denen man annehmen sollte, dass sie gegen Hacker-Angriffe gut geschützt seien: die Deutsche Bahn, Renault, die Metro in Kiew und mehrere Nachrichtenseiten waren von Störungen und Ausfällen betroffen, der Schaden wird weltweit auf eine Milliardensumme geschätzt.
Insbesondere für kleine und mittelständische Unternehmen (KMU) kann eine solche Schadensbilanz schnell existenzgefährdend werden. Hängen doch immer mehr Prozesse und Abläufe moderner Unternehmen von einer funktionierenden Informationstechnologie ab. Ein eigentlich dankbarer Markt für Versicherer: wenn diese nicht ebenso durch neue Risiken und fehlende Erfahrung auf einem unsicheren Feld agieren müssten.
Die Ratingagentur Franke und Bornberg hat nun erstmals gewerbliche Cyberpolicen für den deutschen Markt getestet, die sich gezielt an kleinere und mittelständische Unternehmen wenden. Untersucht wurden hierbei 35 Tarife und Bausteinlösungen von 28 Anbietern. Als ein wesentliches Problem stellte sich dabei die Uneinheitlichkeit der Lösungen und Bestandteile in den Policen dar. Auch gibt es, wie das Rating zeigt, für die Branche noch einiges zu tun.
Neue Risiken, keine Erfahrung ... Versicherer mit Kalkulationsproblemen
Cyber-Risiken, das stellt die Agentur heraus, entwickeln sich dynamisch. Das unterscheidet sie von anderen versicherbaren Risiken wie z.B. der Brandgefahr, bei denen in Reaktion auf statische und wiederkehrende Szenarien das Gefährdungspotenzial objektiv gesenkt werden kann. Stattdessen entzieht sich im Cyberbereich vieles einer vorausschauenden Kalkulation, denn ständig muss mit neuen Strategien der Angreifer gerechnet werden.
Eine „fast babylonische Sprachverwirrung“ bei den versicherten Gefahren
Die Neuheit der Gefahren bilde sich auch in vielen uneinheitlichen Lösungen der Versicherer ab. Das zeige sich schon an den Begriffen der Policen, die wenig einheitlich und unscharf scheinen. Genannt für die versicherten Gefahren würden laut Ratingagentur: „Netzwerksicherheitsverletzung“/ „IT-Sicherheitsverletzung“/ „Hacker-Angriff“/ „Cyber-Angriff“/ „Cyber-Einbruch“/ „Cyber-Attacke“/ „Cyber-Rechtsverletzung“/ „Cyber-Sicherheitsvorfall“.
Hier herrsche eine „fast babylonische Sprachverwirrung“, wie Michael Franke, geschäftsführender Gesellschafter der Franke und Bornberg Research GmbH, pointiert. Denn die Begriffe würden zwar „einen ähnlichen Zustand“ beschreiben. Im Detail aber könnten die Unterschiede für den Kunden im Schadensfall erheblich sein.
Die für den Schadensfall oft wesentlichen Definitionen der Policen würden ebenso diese Uneinheitlichkeit zeigen. Gleiche doch keine Definition der anderen...sofern es überhaupt eine Definition gibt.
Das Begriffs- Wirrwarr setzt sich auch bei den Lösungen fort. Was ein Versicherer über eine Rechtsschutzversicherung lösen würde, die an den Cyber-Hauptvertrag andockt, webe ein anderer Versicherer in die Cyber-Drittschadendeckung oder die Krisen-Dienstleistungen ein.
Auch solche Differenzen könnten gravierende Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen haben.
Erste Orientierungshilfe für den deutschen Versicherungsmarkt
Das Rating der Agentur Franke und Bornberg erhebt den Anspruch, eine erste Orientierung auf dem deutschen Markt zu schaffen und zugleich Versicherer auf handwerkliche Fehler ihrer Policen hinzuweisen. Zur Bewertung wurden nur selbst recherchierte Daten genutzt. Zudem hätte sich die Gewichtung der Policen nur auf rechtlich bindende Unterlagen gestützt und nicht auf zusätzliche Versprechen oder Lösungen auf Verhandlungsbasis. Will man doch das standardmäßige Angebot der Versicherer bewerten.
Die Bewertung der Policen stützt sich auf 115 Ratingkriterien in 21 Bereichen. Hierfür suchte man Merkmale, die für die Mehrheit der KMU relevant sind. Wichtiges Kriterium: Die Merkmale sollten durch bisherigen Haftpflicht- und Sachversicherungen nicht gedeckt sein und somit spezifische „Cyber-Risiken“ abbilden.
Besonders hoch bewertete die Agentur folgende Kriterien:
- Ertragsausfall & Mehrkosten
- Betriebsunterbrechung durch Cloud-Ausfall
- Durch Freistellungserklärung übernommene gesetzliche Haftpflicht Dritter
- Vertragliche Haftung
- Verletzung von Persönlichkeitsrechten
- Geografischer Wirkungsbereich
- Umgang mit Gefahrerhöhung
- Benachrichtigungspflichten bei Datenschutzverstößen
- Krisenmanagement
- Klarheit der Formulierung der Obliegenheiten
- Definition der versicherten Gefahren
- Definition der versicherten IT-Systeme
- Einschränkungen bei der Wiederherstellung der IT-Systeme
Welche Leistungen werden von einer Police erwartet?
Für eine gute Bewertung musste ein Tarif Folgendes abdecken können:
- Betriebsunterbrechung: Deckung von Ertragsausfällen
- Drittschäden: Deckung für auch immaterielle Schäden
- Mehrere Versicherungsverträge: keine Subsidiarität der Cyber-Deckung
- Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen und Schäden (nicht für solche, die hätten bekannt sein müssen)
- Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als 12 Monate nach Schadenfeststellung
Ergebnis des Rankings:
Dass noch einiges im Argen liegt bei den Cyber-Policen, zeigen die Ergebnisse des Rankings. Die „hervorragenden“ Ergebnisse FFF+ und FFF konnte keine der geprüften Policen erreichen. Immerhin: 11,85 Prozent der analysierten Tarife erreichten die Note FF+ (sehr gut). Die Mehrheit der Policen – 47,14 Prozent – kam mit einem FF (gut) davon.
Aber auch schlechte Bewertungen mussten vergeben werden: 23,61 Prozent der getesteten Tarife erhielten ein F+ (noch befriedigend), 3,03 Prozent erhielten ein F (ausreichend). Und für 14,37 Prozent der getesteten Policen musste sogar ein F- (schwach) vergeben werden.
Die besten Ergebnisse
Folgende Policen schnitten, gemäß dem Ranking, am besten ab mit der Note FF+:
- AIG CyberEdge 3.0, Stand 06.2018
- HDI Cyberversicherung für Firmen und Freie Berufe, Stand 10.2018
- Hiscox CyberClear, Stand 01.2018
- Markel Pro Cyber, Stand 01.2018
Gewarnt wird vor Mogelpackungen
Schlechte Bewertungen des Rankings gegen oft mit Mogelpackungen einher. So würden einige Angebote damit werben, den Cloud-Ausfall zu versichern (und damit die dynamisch an den Bedarf angepassten IT-Dienstleistungen eines Unternehmens abzusichern). Beim Blick ins Kleingedruckte zeige sich jedoch, dass beispielsweise SaaS-Dienste (Software as a Service) ausgeschlossen oder nur DoS-Angriffe (Denial of Service = Nichtverfügbarkeit) auf den Cloud-Anbieter versichert sind.
Auch hätten nicht wenige Anbieter Angriffe auf den Betreiber einer Cloud (und damit Betriebsunterbrechungsschäden beim Versicherungsnehmer) stark in der Deckungssumme begrenzt, einige gar ganz vom Versicherungsschutz ausgeschlossen.
Brisant: Vermittler sollen zwar Policen der Anbieter gegen Cyber-Risiken vermitteln, aber keine erhalten. Wären doch, wie das Ranking auch zeigte, die wenigsten Versicherer bereit, Finanzdienstleistern Schutz anzubieten. Die Branche gilt wohl als besonders gefahrenträchtig.