Cyberversicherung: Instabile Schadenverläufe und teilweise hohe Schadenquoten prägen den Markt. Die Anbieter verschärfen deshalb ihre Annahmepolitik. Wie dabei vorgegangen wird, zeigt ein Praxisbeispiel.
Die Bundesanstalt für Finanzdienstleistung (BaFin) untersuchte erstmals den vergleichsweise jungen Geschäftszweig Cyberversicherung. Die Ergebnisse wurden kürzlich vorgelegt und zeigen: Die Branche wächst, das Prämienvolumen steigt. Aber auch die Zahl der Schadenfälle nimmt zu und teilweise werden hohe Schadenquoten verzeichnet.
Diese Entwicklung hat sich längst in der Annahmepolitik der Versicherer niedergeschlagen. So beobachtete Björn Blender, Leiter des Maklervertriebs bei CyberDirekt, eine Marktverhärtung im Cyberbereich: „Wir können […] feststellen, dass die Voraussetzungen für den Abschluss einer Cyber-Versicherung stark ansteigen. Das geht vom technischen Aspekt der IT-Sicherheit bis hin zur Mitarbeitersensibilisierung und dem Vorhalten eines verschriftlichen Notfallprotokolls.“
Cyber-Anbieter: Drei Wege, um die Schadenquote in den Griff zu bekommen
Nun legte Hanno Pingsmann, Gründer von CyberDirekt und Blenders Chef, im Interview mit der Wirtschaftswoche nach: Wer jetzt sich jetzt gegen Cybergefahren versichern will, müsse in dreierlei Hinsicht mit härteren Konditionen rechnen:
- Cyberpolicen haben immer eine Laufzeit von 12 Monaten. Bei Verlängerung ist mit steigenden Prämien zu rechnen.
- Sinkende Leistungen: Manche Versicherer führten inzwischen eine Eigenbeteiligung der versicherten bei Schäden durch Erpressungen ein. Die kann laut Pingsmann bei bis zu 50 Prozent liegen.
- Verschärfte Annahmerichtlinien: Um überhaupt Versicherungsschutz zu bekommen, müssen Unternehmen beispielsweise den Zugriff auf Server oder Mail-Systeme über eine Zwei-Faktor-Authentifizierung sicherstellen, Sicherheitsschulungen für Personal durchführen oder nachweisen, dass ein Zugriff von außen auf die IT nur über verschlüsselte Verbindungen möglich ist.
Wie nervös die Versicherer teilweise sind, zeigt sich auch an einem Beispiel, von dem Versicherungsmakler Frank Haase auf Linkedin berichtet. Demnach schließt ein Cyberversicherer bei Neuverträgen Schäden durch die Sicherheitslücke ‚Log4Shell‘ aus. Konkret wird formuliert: „Von der Deckung ausgeschlossen sind alle Schäden und Kosten, die direkt oder indirekt durch die, als ‚Log4J‘ oder ‚Log4Shell‘ (CVE-2021-44228) bekannte Sicherheitslücke ausgelöst wurden oder kausal mit dieser in Zusammenhang stehen. Dies schließt auch künftig aus der genannten Sicherheitslücke resultierende Schäden und Kosten mit ein.“
Für Makler Frank Haase stellt sich dabei die Frage, was eine Cyberdeckung mit derartigen Risiko-Ausschlüssen wert ist.