Cyberschäden sind mitunter auch durch konventionelle Sach- oder Haftpflichtpolicen gedeckt. Das lässt die Versicherungswirtschaft unruhig schlafen. Der Versicherungsbote stellt das Problem vor.
Neues Problem für alte Policen
Mitunter sind Cyberschäden auch durch konventionelle Sach- oder Haftpflichtpolicen gedeckt. Denn viele Bedingungswerke wurden entworfen, als mit derartigen Schäden noch nicht zu rechnen war. Bei Kalkulation der konventionellen Produkte war es folglich noch gar nicht möglich, Cybergefahren zu bedenken – die Prämien spiegeln die drohenden hohen Kosten nicht wieder.
Das Problem ist keineswegs klein, wie unter anderem eine Studie des Ratinghauses Assekurata (zusammen mit dem Kommunikationsberater Instinctif) zeigt. So ergab eine Umfrage unter allen Anbietern von Cyberpolicen in 2019: 74 Prozent der Unternehmen stimmen der Aussage zu, dass konventionelle Sach- und Haftpflichtdeckungen erhebliche Silent-Cyber-Risiken beinhalten.
Auch meinen 44 Prozent der Befragten, diese Risiken müssten neu kalkuliert werden. Und 78 Prozent sagen, dass eine Bedingungsklarstellung nötig sei – die Versicherer wünschen sich also demnach, das Problem durch nachträgliches Konkretisieren des Deckungsumfangs auszubessern (was freilich die unklare Rechtslage bei alten Policen nicht aus der Welt schafft).
BaFin kennt die Gefahr
Auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Gefahr von Silent-Cyber-Risiken für die Versicherer erkannt. Als Beispiel nennt die BaFin den Ausfall einer Kühlanlage in der Industrie. Wird dieser durch einen Hackerangriff ausgelöst und verursacht ein Feuer, muss der Sachversicherer aufgrund der versicherten Gefahr „Brand“ zahlen – und das, obwohl er bei Vertragsschluss an eine solche Brandursache gar nicht gedacht hat.
Um sich einen Überblick über die Bedrohungslage zu verschaffen, erstellte die BaFin einen eigenen Fragebogen, den sie an die Versicherer schickte. Auch forderte sie die Unternehmen auf, non-affirmative Cyberrisiken im eigenen Versicherungsbestand zu identifizieren und zu bewerten. Demnach können alle Schaden-Versicherungen von non-affirmativen Cyber-Risiken betroffen sein (zum Beispiel Hausrat, private Haftpflicht, Feuer, Kfz, Transport, Luftfahrt).
Es fehlt an Daten
Auch gaben alle Versicherer an, diese Risiken im Risikomanagement zu berücksichtigen. Die Anzahl der identifizierten Schadenfälle, die bisher auftraten, ist noch sehr gering. Chefaufseher Frank Grund beruhigte sogar, dass die Versicherungsbranche die Gefahr derartiger Risiken eventuell etwas überschätzt habe. Allerdings gäbe es Schwierigkeiten bei der Identifizierung eines Cyber-Vorfalls als schadenauslösendes Ereignis.
Zudem musste Grund einräumen: Es fehlt an Daten, um Entwarnung für alle Gesellschaften und Bestände zu geben. Er appelliert aufgrund non-affirmativer Cyberrisiken: Versicherer müssen ihr Portfolio kennen bzw. schnellstmöglich kennenlernen!
Assekurata empfiehlt „Richter-Skala“ für Cyberschäden
Fehlende Erfahrungen mit den neuen Schadenszenarien verschärfen die Situation. So äußerte auch Reiner Will, Geschäftsführer der Assekurata Rating-Agentur: Trotz einer Vielzahl von Studien bestehe Unklarheit über die tatsächliche Bedrohungslage durch Cyberattacken. Der Experte empfiehlt daher eine „Richter-Skala" für Cyber-Schäden, um eine strukturierte Bewertung der Schadenentwicklung im Cyberumfeld zu ermöglichen.
Silent-Cyber-Risiken sind aber nicht nur ein Problem für die Schadenbilanzen der Versicherer, sondern auch für Makler und Kunden. Besteht doch ebenfalls große Unsicherheit darüber, welche Schäden durch konventionelle Schadenversicherungen gedeckt sind und welche nicht. Für die Zukunft bleibt nur zu hoffen, dass Versicherer ihre Bedingungswerke mit Blick auf die neuen Risiken überarbeiten und dadurch Eindeutigkeit herstellen.