Die Bekanntheit und das Abschlussinteresse bei Cyber-Policen haben in den vergangenen Jahren deutlich zugenommen. Noch vor fünf Jahren waren Cyberversicherungen in weiten Teilen der mittelständischen Wirtschaft unbekannt. Das sich die Rolle des Cyber-Schutzes deutlich verändert hat, zeigte zuletzt auch der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) auf. Warum Cyber für Versicherer gleichermaßen Herausforderung und Chance ist – und wie Versicherer das Thema am besten angehen, erklärt Markus Zimmermann. Er leitet den Bereich Versicherungen bei dem Strategieberatungsunternehmen Accenture. In seiner neuen Kolumne 'Zimmermanns Versicherungstrends' analysiert er Trends und zeigt auf, wie die Branche damit umgeht.
Die Gefahr durch Cyberangriffe steigt aktuell in allen Bereichen des Wirtschafts- und Privatlebens. Nicht nur internationale Konzerne, die mit sensiblen globalen Datenströmen arbeiten und offensichtlichen Cyberrisiken ausgesetzt sind, müssen damit rechnen, dass Bedrohungen zunehmen und sich absichern. Wir alle, vom Global Player über Gewerbetreibende bis zur Privatperson, leben und arbeiten inzwischen digitaler denn je und benötigen Schutzkonzepte, um auf die wachsenden Bedrohungs- und Risikolagen vorbereitet zu sein. Versicherer müssen diese Entwicklungen auf dem Schirm haben, entsprechend reagieren und für diese neue Gefahrenquellen passende Antworten entwickeln.
Cyberrisiken überall
Cyberkriminalität ist mittlerweile nicht nur betrügerisch, sondern zunehmend auch politisch motiviert. Traurigerweise gibt das dem Cyber-Bedrohungsszenario einen erheblichen Schub. Durch die zunehmende Digitalisierung und der damit einhergehenden Datenhaltung und -verfügbarkeit steigt das Risiko, dass sensible Informationen wie Daten von Firmen, Kund:innen oder Privatpersonen in die falschen Hände gelangen und missbraucht werden.
Zu den häufigsten Bedrohungen zählen derzeit Malware- und Ransomware-Angriffe mit Lösegeldforderungen in empfindlichen Höhen, E-Mail-Attacken, um Passwörter oder Kreditkartendaten auszuspionieren, bis hin zu Angriffen auf die heute vollständig durchdigitalisierten Lieferketten und Infrastrukturen, wie zum Beispiel in Energieversorgung, Telekommunikation oder Logistik. Das Ziel ist es, einzelnen Branchen oder der Wirtschaft ganzer Staaten zu schaden. Die potenziellen Schäden für Wirtschaft und Gesellschaft können hier nicht nur enorm weitreichend sein, sondern auch sehr kostspielig werden.
Nicht zuletzt hat auch die zunehmende Freiheit, seinen Arbeitsort und die genutzten Geräte selbst wählen zu dürfen, die Risikosituation verschärft. Bei einer durch den Verband Bitkom durchgeführten Studie im vergangenen Jahr gaben mit 59 Prozent mehr als die Hälfte der befragten Unternehmen an, dass es seit dem Beginn der Pandemie Sicherheitsvorfälle in Unternehmen gegeben hat, die auf die Arbeit im Homeoffice zurückzuführen sind.
Durch Cyber-Risiken drohen horrende Summen
Der finanzielle Schaden von Cyberangriffen ist im Jahr 2021 auf 223 Mrd. Euro gestiegen. Treibende Faktoren sind insbesondere Erpressung und Systemausfälle mit einem Plus von 358 Prozent gegenüber dem Jahr 2019. Dem Digitalverband Bitkom zufolge waren 88 Prozent der Unternehmen im vergangenen Jahr Cyber-Angriffen ausgesetzt. Die Mehrheit davon – knapp 90 Prozent – waren kleine und mittlere Unternehmen mit weniger als 500 Mitarbeitenden.
Dennoch ist das Bewusstsein für die neuen Risiken noch nicht überall angekommen: Laut einer Forsa-Umfrage des GDV vom Mai 2022 sehen zwei Drittel des deutschen Mittelstandes kein hohes Cyber-Risiko für ihr eigenes Unternehmen. Dieselbe Umfrage kommt aber auch zu dem Ergebnis, dass 80 Prozent der mittelständischen Unternehmen die Basisanforderungen an IT-Sicherheit gemäß GDV-Musterbedingungen zu Cyber-Versicherungen derzeit nicht erfüllen. Selbsteinschätzung und Fremdeinschätzung scheinen bei nicht wenigen Unternehmen also noch auseinanderzuliegen.
Die Absicherung von Cyber-Risiken ist anspruchsvoller als je zuvor
Die Schäden durch Datendiebstahl oder -zerstörung, Produktivitätsverluste sowie Kosten für die Schadenbeseitigung können schnell horrende Summen erreichen. Damit einhergehende Schadenhöhen stellen für Unternehmen direkt und indirekt ein erhebliches Geschäfts- und Kostenrisiko dar. Hier spielt zum Beispiel ein Vertrauensverlust von Geschäftspartnern oder Kund:innen eine große Rolle. Für Versicherer bedeutet dies: Aufgrund der Gefahrenzunahme wachsen sowohl der Bedarf als auch die Nachfrage nach adäquatem Versicherungsschutz für Eigen- und Drittschäden sowie nach entsprechenden Services zur Prävention und Unterstützung im Schadenfall.
Die versicherungtechnische Herausforderung liegt darin, geeignete Deckungskonzepte im Spannungsfeld von Wachstum, Ertrag und Risikoabwägung zu entwickeln. Die Vielschichtigkeit der abzusichernden Schäden und die schlechte Datenbasis (etliche Cyber-Schäden werden nicht gemeldet) machen eine auskömmliche Kalkulation bei umfangreicher Indeckungnahme oft sehr schwierig. Hierzu werden nicht nur die Eintrittswahrscheinlichkeiten und Schadenauswirkungen gesamtheitlich betrachtet. Im Underwriting wird zudem beleuchtet, welche Präventiv-Aktivitäten und Risikokontrollen etabliert sind oder auch welche Prozesse zur systematischen Eindämmung etwaiger eingetretener Schäden bestehen.
In der Folge werden die zeichnenden Versicherer zunehmend selektiver und der Markt verhärtet sich. Bestehende Produkte bilden die Risikolage häufig nicht ausreichend ab, und auch das Risiko ist oft noch zu gering bepreist. Die Folge sind zunehmende Beschränkungen der Deckung. Ein ausgefeiltes Kapazitätsmanagement ist notwendig, um die Risiken adäquat und nachhaltig abzusichern.
Die aktuarielle Bewertung weiterer Produkte wie zum Beispiel der Haftpflichtversicherung ist zusätzlich durch sogenannte „Silent Cyber“ belastet. Das bedeutet, dass Cyber-Risiken, die unbewusst in bestehenden Produkten enthalten sind, nicht richtig in der Risikobepreisung einkalkuliert wurden. Durch das neue Risikobewusstsein werden die Deckungen entsprechend restriktiver ausgestaltet oder das Risiko explizit in der Prämie berücksichtigt.
Wie können Versicherer reagieren?
Mit steigenden Risiken und steigendem Risikobewusstsein wird der Markt für Cyberversicherungen die nächsten Jahre deutlich mehr an Fahrt aufnehmen. Das komplexe Umfeld mit hohem Spezialisierungsbedarf schafft Möglichkeiten für eine grundsätzliche Neupositionierung der Versicherer mit differenzierten Werthebeln. Dabei kommen drei grundsätzliche Rollen in Frage:
- Rolle als reiner Risikoträger: Konzentration auf den Versicherungskern durch (Weiter-) Entwicklung der Fähigkeiten insbesondere in Underwriting, Deckungskonzepten und Schaden-Mitigation.
- Rolle als Risikomanager: Über die reine Risikoträgerrolle hinausgehende Unterstützung bei Prävention, Mitigation und Schadenbewältigung, beispielweise bei Einschätzung der individuellen Risikosituation und Definition von Maßnahmen.
- Rolle als Produkt- und Service Provider: Über die ersten beiden Kategorien hinausgehende Unterstützung bei Prävention, Mitigation und Schadenbewältigung durch ein eigenes Netzwerk oder Partnerunternehmen im Rahmen von Cyber-Security.
Versicherer, die sich über die klassische Risikoträger-Rolle hinaus positionieren wollen, müssen regelmäßig den Status quo ihrer eigenen Fähigkeiten evaluieren. Es ist wichtig, bei sich weiterentwickelnden Cyber-Risikofeldern immer wieder zwischen dem Aufbau eigener Kompetenz oder dem Zukauf relevanter Fähigkeiten oder Partnerschaften mit entsprechenden Anbietern abzuwägen.
Aktuell ist festzustellen, dass das Cyber-Risikobewusstsein bei Unternehmen und Privatpersonen noch sehr unterschiedlich ausgeprägt ist. Demensprechend ist auch der Versicherungsmarkt im Corporate- und Gewerbesegment deutlich weiter entwickelt als im Privatsegment. Fakt ist aber auch, dass gerade im privaten Umfeld im Zuge der Digitalisierung aller Lebensbereiche, ein umfangreicher Schutz- und Absicherungsbedarf mit erheblichem Marktpotenzial besteht.
Zur erfolgreichen Prävention und Absicherung von Cyber-Risiken können (und müssen) Versicherer zu einem der wichtigsten Partner in der Lebenswelt ihrer Kund:innen werden. Wenn beispielsweise durch erfolgreiche Prävention und Abwehr ein Identitätsdiebstahl verhindert wird oder es spürbare Unterstützung im eingetretenen Schadenfall zerstörter Daten gibt, wird dies zu einem positiven Kundenerlebnis führen. Bei Einbrüchen in privaten Haushalten kennt man seit Langem die finanziellen, praktischen und vor allem auch emotionalen Folgen eines solchen Ereignisses. Mindestens genauso intensiv fühlt es sich an, wenn in die digitale Privatsphäre eingebrochen wird, die häufig noch sensiblere Daten und Informationen umfasst. Cyber-Versicherung und Cyber-Services können somit zu einem neuen Treiber von Kundenzufriedenheit und Kundenbindung werden.
Fazit:
Die Nachfrage nach Cyber-Versicherungen im Firmenkunden- und Privatkundensegment wird weiter zunehmen. Für Versicherer ist Cyber damit eines der wichtigsten Wachstumsfelder der nächsten Jahre. Größte Chancen auf Erfolg versprechen eine klare, konsequente Positionierung und Expertise in der Gesamtbegleitung der „Cyber-Journey“. Diese reicht von der gemeinsamen Risikoeinschätzung über die Indeckungnahme im Underwriting, der Prävention von Schadenereignissen bis hin zur Begleitung im Schadenfall, zur Schadenminderung oder Wiederherstellung des Betriebs.
Natürlich ist Cyber Security nicht nur ein enges Versicherungsthema, sondern kann insgesamt nur im Zusammenspiel von staatlichen Institutionen, Wirtschaft und Gesellschaft erfolgreich angegangen werden. Und dennoch: Versicherer, die die offensichtlichen Wachstumschancen nutzen und ihr Cyber-Portfolio mit entsprechenden Produkten und Services weiter ausbauen, können langfristig ihre Wertschöpfung bei Firmenkunden vertiefen und sich als nachhaltig wertvolle Geschäftspartner positionieren. Wenn sie es darüber hinaus schaffen, auch bei Privatpersonen das Bewusstsein für die neuen Risiken noch stärker zu etablieren und diese mit innovativen Services und Produkten zu bedienen, gibt es für die Versicherungswirtschaft die Chance auf ein neues Level in Sachen emotionaler Kundenbindung und spürbarem Kundenmehrwert.