Die Cyberversicherung ist in Deutschland eine recht junge Produktkategorie: Und wird von vielen Marktbeobachtern als einer der wichtigsten Zukunftsmärkte für Versicherungen bewertet. Seit mehr als zehn Jahren werden sie hierzulande vertrieben, doch in den letzten Jahren zeigten sich auch die Probleme dieser Produkte: die Schäden sind teuer, denn sie treten oft nicht regional begrenzt auf, sondern machen auch vor Ländergrenzen nicht Halt. Der Schaden, der Unternehmen weltweit allein im Jahr 2021 durch Cyberattacken entstanden ist, wird vom Analysehaus Cybersecurity Ventures auf 6 Billionen US-Dollar geschätzt.

Anzeige

Für die Versicherer stellt diese Ausgangslage ein Dilemma dar. Einerseits setzen sie große Hoffnungen in die gewerbliche Cyberversicherung, zumal die Unternehmen zunehmend ihren Absicherungsbedarf erkennen: Ein erfolgreicher Hackerangriff kann den Geschäftsbetrieb für lange Zeit lahmlegen und hohe Kosten verursachen. Andererseits sieht sich die Branche in jüngster Zeit mit hohen Schadenzahlungen konfrontiert. Sie müssen daher ihre Vertragsbedingungen anpassen, damit Cyber nicht zur Kostenfalle wird. Das wiederum birgt Risiken für die Versicherungsnehmer: Im Zweifel weichen die Verträge stark voneinander ab und definieren strenge Ausschlüsse.

Das hat der IT-Dienstleister CyberDirekt zum Anlass genommen, in einer Studie zu untersuchen, ob und wie stark sich die Vertragsbedingungen in der Cyberversicherung voneinander unterscheiden. Die Berliner analysierten 16 Bedingungswerke, in acht Kategorien mit 125 Merkmalen wurden die Verträge durchleuchtet. Wie das Cyberhaus berichtet, konzentrieren sich drei Viertel der gesamten Prämieneinnahmen auf die zehn größten Anbieter am Markt. Deren Schadenquote lag im Jahr 2022 zwischen 20,1 Prozent und 112,8 Prozent. Das bedeutet, dass selbst führende Versicherer in diesem Segment mehr für Schäden und Verwaltung ausgaben, als sie an Prämien einnahmen.

Ein Ergebnis der Studie: In einem Markt, in dem es noch wenige Erfahrungen mit Schäden gibt, werden die Verträge regelmäßig aktualisiert. Das älteste untersuchte Bedingungswerk war vier Jahre alt - im Schnitt liegen sie in ihrer aktuellen Fassung sein eineinhalb Jahren im Schaufenster der Versicherer. Schon der Umfang der Verträge deutet darauf hin, dass es in Gestaltung und Leistung noch große Unterschiede gibt. Das kürzeste Konzept umfasst 13 Seiten, das längste 40 Seiten: Im Schnitt sahen sich die Kundinnen und Kunden mit 24 Seiten Vertragsbedingungen konfrontiert.

Tendenz zur Allgefahrendeckung

Die Analyse zeigt darüber hinaus, dass längst nicht nur Schäden durch Hackerangriffe abgesichert sind. Zwei Drittel der Verträge (63 Prozent) schließt auch Bedienfehler von Mitarbeitern ein: wenn also eine Fehlbedingung des eigenen IT-Systems zu Ausfällen führt. Auch Betriebsunterbrechungen durch Cloud-Ausfälle sind mittlerweile Standard und werden nur von 13 Prozent der Versicherer ausgeschlossen. Hier leistet der Versicherer, wenn aufgrund des Ausfalls bei einem Cloud-Anbieter, etwa Microsoft Azure oder Google Cloud, Erträge wegbrechen. Der Ausfall durch technische Probleme ist bei mehr als der Hälfe der Anbieter (56 Prozent) abgedeckt. Ein Fazit der Studienautoren: Cyberversicherungen haben die Tendenz zu „All Risk“-Policen.

In den allgemeinen Regelungen bietet ein Viertel der Anbieter (25 Prozent) eine Zweifach-Maximierung der Versicherungssumme: Begrenzt also die Gesamtleistung für alle Versicherungsfälle eines Jahres auf das Doppelte der vereinbarten Deckungssumme, wenn mehrere Schäden innerhalb des Jahres auftreten. Bei allen anderen Konzepten steht die Summe nur einmal zur Verfügung.

Eigenschäden: Unterschiede beginnen schon bei der Definition des Leistungsfalls

Wie wichtig es für Unternehmen sein kann, sich mit den konkreten Bedingungen im Schadenfall auseinander zu setzen, zeigt ein Blick auf die sogenannten Eigenschäden. Darunter sind Schäden zu verstehen, die dem Versicherungsnehmer selbst durch Cyber-Angriffe entstehen - einschließlich der Maßnahmen, die ergriffen werden müssen, um wieder zum „normalen“ Geschäftsbetrieb zurückzukehren.

Der Umfang notwendiger Maßnahmen wird von vielen Unternehmen unterschätzt. So beinhaltet die Regulierung von Eigenschäden zum Beispiel auch Kosten für interne und externe IT-Experten, Anwälte zum Beispiel bei Datenschutz-Verletzungen, die Benachrichtigung betroffener Kundinnen und Kunden sowie PR-Profis, die einen möglichen Imageschaden nach einem Hackerangriff abwenden.

Wenn Vermögenswerte aus dem Unternehmen abfließen, setzen nur zwei von fünf Versicherern (44 Prozent) nicht voraus, dass das IT-System kompromittiert ist, also dass Teile des Systems durch Schadsoftware beschädigt wurden. Immerhin drei Viertel der Policen bieten Schutz bei „Fake President“-Betrug. Dabei geben sich Kriminelle als Vorstände und Entscheider des eigenen Unternehmens aus, zum Beispiel durch ähnliche Mailadressen und sogar täuschend echte Anrufe, und weisen Zahlungen oder die Herausgabe von Passwörtern an.

Im Falle einer Lösegelderpressung durch Hacker leistet ein Viertel der Versicherer (25 Prozent) ohne weitere Einschränkungen. Etwa jeder fünfte Vertrag (19 Prozent) sieht hingegen gar keine Leistung für Lösegelder vor. Der Rest arbeitet mit Sublimits oder anderen Einschränkungen: Leistet also nur in begrenztem Umfang oder knüpft die Versicherungsleistung an weitere Bedingungen.

Anzeige

Betriebsunterbrechung: Jeder zweite Versicherer rechnet Selbstbehalt nicht ein

Ähnliche Unterschiede zeigen die Verträge bei Betriebsunterbrechungen durch Cyber-Angriffe und IT-Schäden. Bei fast jedem fünften Risikoträger (19 Prozent) beginnt die Betriebsunterbrechung nicht mit dem Eintritt des Schadens, sondern erst, wenn er dem Versicherer gemeldet wurde. Bei der Hälfte der Tarife (50 Prozent) wird zudem der vertraglich vereinbarte Selbstbehalt bei einem Betriebsunterbrechungsschaden nicht angewendet bzw. die Schadensumme nicht entsprechend gekürzt. "Das kann bei hohem gewählten Selbstbehalt in der Regulierung einen signifikanten Unterschied machen", schreiben die Verfasser in der Studie.

Wichtig für Versicherungsnehmer ist auch die Frage, wofür der Versicherer von vorn herein nicht leistet. 55 verschiedene Ausschlüsse fanden die Autoren der Marktanalyse in den 18 Vertragswerken: im Durchschnitt 16 pro Vertrag. Auch dies deutet auf eine geringe Standardisierung hin. Die Hälfte der Ausschlüsse kommt in weniger als drei Produkten vor. Etwa ein Viertel (24 Prozent) lässt sich jedoch in zehn oder mehr Verträgen finden und sind damit relativ häufig.

Anzeige

55 verschiedene Ausschlüsse

Wichtig ist auch die Frage, wofür der Versicherer von vorn herein nicht leistet. 55 verschiedene Ausschlüsse fanden die Autoren der Marktanalyse in den 18 Vertragswerken: im Durchschnitt 16 pro Vertrag. Auch dies deutet auf eine geringe Standardisierung hin. Die Hälfte der Ausschlüsse kommt in weniger als drei Produkten vor. Etwa ein Viertel (24 Prozent) lässt sich jedoch in zehn oder mehr Verträgen finden und sind damit relativ häufig.

Nur drei Ausschlüsse sind immer in allen Verträgen vereinbart „und damit scheinbar wirklich obligatorisch und unabdingbar“, schreiben die Autoren. Immer ausgeschlossen sind zum Beispiel Leistungen durch Krieg. Lediglich zwei Anbieter arbeiten mit einem dezidierten Kriegsausschluss: Definieren folglich genauer, was sie unter Kriegsschäden verstehen und in welchen Fällen sie nicht leisten. Alle anderen arbeiten weiterhin mit einem „klassischen“ Kriegsausschluss: Erklären folglich knapp, dass Kriegsschäden nicht versichert sind.

Obliegenheiten: Von Verzicht bis weitreichenden Pflichten

Ein weiterer Punkt, bei dem es laut Marktanalyse große Unterschiede gibt, sind die Obliegenheiten: also die Anforderungen, die Unternehmen zur Vermeidung eines Schadens erfüllen müssen, damit der Versicherer seine Leistung nicht kürzen oder ganz streichen kann. Ob und in welchem Umfang Obliegenheiten sinnvoll sind, wurde im Zusammenhang mit Cyberpolicen immer wieder diskutiert. Der Grund: Das Vorhandensein eines Versicherungsschutzes soll Unternehmen nicht dazu verleiten, leichtfertig zu handeln und an der Prävention zu sparen.

"13 Prozent der Anbieter haben leider sehr offene und damit unklare „Stand der Technik“ Obliegenheiten in den Bedingungen, die bei Deckungsstreitigkeiten schnell gegen den Versicherungsnehmer ausgelegt werden können", konstatiert das Analysehaus in seinem Marktvergleich. Weitere 31 Prozent würden die Pflichten in einer abgemilderten Form definieren, mit allerdings immer noch recht weitreichenden Obliegenheiten. Weitere 25 Prozent haben eine klare abgeschlossene Anzahl an Obliegenheiten, lediglich 25 Prozent verzichten komplett darauf.

Die Studienautoren warnen davor, dass einige Versicherer die „Einhaltung aller gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherungsmaßnahmen” verlangt. Dies werde insbesondere mit Blick auf die kommende IT-Compliance immer schwieriger einzuhalten, geben sie zu bedenken. Sie verweisen auf das IT-Sicherheitsgesetz, die NIS-2 Richtlinie sowie die Datenschutzgrundverordnung (DSGVO). Sobald diese nicht zu 100 Prozent erfüllt wurden, habe der Versicherer das Recht, im Schadenfall entsprechend kausal die Leistung zu kürzen.

Anzeige

Seite 1/2/