Das Rating der Agentur Franke und Bornberg erhebt den Anspruch, eine erste Orientierung auf dem deutschen Markt zu schaffen und zugleich Versicherer auf handwerkliche Fehler ihrer Policen hinzuweisen. Zur Bewertung wurden nur selbst recherchierte Daten genutzt. Zudem hätte sich die Gewichtung der Policen nur auf rechtlich bindende Unterlagen gestützt und nicht auf zusätzliche Versprechen oder Lösungen auf Verhandlungsbasis. Will man doch das standardmäßige Angebot der Versicherer bewerten.
Die Bewertung der Policen stützt sich auf 115 Ratingkriterien in 21 Bereichen. Hierfür suchte man Merkmale, die für die Mehrheit der KMU relevant sind. Wichtiges Kriterium: Die Merkmale sollten durch bisherigen Haftpflicht- und Sachversicherungen nicht gedeckt sein und somit spezifische „Cyber-Risiken“ abbilden.
Besonders hoch bewertete die Agentur folgende Kriterien:
- Ertragsausfall & Mehrkosten
- Betriebsunterbrechung durch Cloud-Ausfall
- Durch Freistellungserklärung übernommene gesetzliche Haftpflicht Dritter
- Vertragliche Haftung
- Verletzung von Persönlichkeitsrechten
- Geografischer Wirkungsbereich
- Umgang mit Gefahrerhöhung
- Benachrichtigungspflichten bei Datenschutzverstößen
- Krisenmanagement
- Klarheit der Formulierung der Obliegenheiten
- Definition der versicherten Gefahren
- Definition der versicherten IT-Systeme
- Einschränkungen bei der Wiederherstellung der IT-Systeme
Welche Leistungen werden von einer Police erwartet?
Für eine gute Bewertung musste ein Tarif Folgendes abdecken können:
- Betriebsunterbrechung: Deckung von Ertragsausfällen
- Drittschäden: Deckung für auch immaterielle Schäden
- Mehrere Versicherungsverträge: keine Subsidiarität der Cyber-Deckung
- Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen und Schäden (nicht für solche, die hätten bekannt sein müssen)
- Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als 12 Monate nach Schadenfeststellung
Ergebnis des Rankings:
Dass noch einiges im Argen liegt bei den Cyber-Policen, zeigen die Ergebnisse des Rankings. Die „hervorragenden“ Ergebnisse FFF+ und FFF konnte keine der geprüften Policen erreichen. Immerhin: 11,85 Prozent der analysierten Tarife erreichten die Note FF+ (sehr gut). Die Mehrheit der Policen – 47,14 Prozent – kam mit einem FF (gut) davon.
Aber auch schlechte Bewertungen mussten vergeben werden: 23,61 Prozent der getesteten Tarife erhielten ein F+ (noch befriedigend), 3,03 Prozent erhielten ein F (ausreichend). Und für 14,37 Prozent der getesteten Policen musste sogar ein F- (schwach) vergeben werden.
Die besten Ergebnisse
Folgende Policen schnitten, gemäß dem Ranking, am besten ab mit der Note FF+:
- AIG CyberEdge 3.0, Stand 06.2018
- HDI Cyberversicherung für Firmen und Freie Berufe, Stand 10.2018
- Hiscox CyberClear, Stand 01.2018
- Markel Pro Cyber, Stand 01.2018
Gewarnt wird vor Mogelpackungen
Schlechte Bewertungen des Rankings gegen oft mit Mogelpackungen einher. So würden einige Angebote damit werben, den Cloud-Ausfall zu versichern (und damit die dynamisch an den Bedarf angepassten IT-Dienstleistungen eines Unternehmens abzusichern). Beim Blick ins Kleingedruckte zeige sich jedoch, dass beispielsweise SaaS-Dienste (Software as a Service) ausgeschlossen oder nur DoS-Angriffe (Denial of Service = Nichtverfügbarkeit) auf den Cloud-Anbieter versichert sind.
Auch hätten nicht wenige Anbieter Angriffe auf den Betreiber einer Cloud (und damit Betriebsunterbrechungsschäden beim Versicherungsnehmer) stark in der Deckungssumme begrenzt, einige gar ganz vom Versicherungsschutz ausgeschlossen.
Brisant: Vermittler sollen zwar Policen der Anbieter gegen Cyber-Risiken vermitteln, aber keine erhalten. Wären doch, wie das Ranking auch zeigte, die wenigsten Versicherer bereit, Finanzdienstleistern Schutz anzubieten. Die Branche gilt wohl als besonders gefahrenträchtig.