Unsere heutige Welt dreht sich um Daten, und die Versicherungsindustrie ist dabei keine Ausnahme. Im Zuge der Weiterentwicklung von Cyber-Versicherungen ist auch die Menge der Daten, die den (Rück-)Versicherern zur Verfügung stehen, entsprechend gestiegen. Beim vermehrten Aufkommen von Ransomware in den vergangenen Jahren konnten die Versicherer so mit Hilfe von getrennten Ransomware- und Nicht-Ransomware-Abwicklungsdreiecken aufzeigen, dass sich Ransomware-Schäden oft nicht wie Ansprüche aus Datenschutzverletzungen entwickeln. Nun stellt sich die Frage: "Welche Daten werden benötigt, um die Auswirkungen des Re-Underwritings auf Ransomware aufzuzeigen?"

Um das Jahr 2019 herum begannen Cyber-Versicherer hohe Schadenquoten zu verzeichnen, da Ansprüche aus Ransomware-Schäden zunahmen. Wir gehen davon aus, dass dieser Trend die Schadenquoten um das Zwei- bis Dreifache ansteigen ließ und die meisten Versicherer in die Nähe von oder sogar über 100 % Schadenquote brachte. Dies ist wenig überraschend, wenn man bedenkt, dass sich die Häufigkeit von Ransomware-Schäden zwischen 2017 und 2020 fast vervierfacht hat. Als Reaktion darauf erreichten die Cyber-Versicherer von 2020 bis 2022 beachtliche Tariferhöhungen. Nun, da sich die Schaden-Situation verbessert, erwarten einige Marktteilnehmer eine nachhaltige Preissenkung. Die theoretischen Auswirkungen einer derartigen Ratenänderung auf die Performance eines Portfolios lassen sich problemlos modellieren – vorausgesetzt, alle anderen Faktoren bleiben unverändert, wie das folgende hypothetische Beispiel zeigt:

Der hypothetische Versicherer aus dem Beispiel in Abbildung 1 beginnt mit einer extremen Schadenquote von 150 %. Durch eine Verdreifachung der Tarife gelingt es ihm jedoch, seine Schadenquote auf gesunde 50 % zu senken. Hierbei handelt es sich wohlgemerkt um ein hypothetisches Beispiel, und unsere Erfahrung in anderen Sparten zeigt, dass die volle theoretische Auswirkung einer Tarifänderung selten so schnell eintritt wie erwartet. Wird nun der Preis/die Prämie um 10 % gesenkt, steigt die Schadenquote auf 56 %. Erfolgt danach eine weitere Senkung, steigt diese unter sonst gleichen Bedingungen auf 62 %. Selbstverständlich muss der Versicherer auch eine angemessene Rendite erwirtschaften, um künftige Katastrophenschäden, Kosten und Kapitalkosten zusätzlich zu den Basisschäden zu decken. Die wichtigste Erkenntnis dieser theoretischen Betrachtung ist, dass die Auswirkungen selbst moderat erscheinender Prämiensenkungen sich in der Schadenquote relativ schnell summieren und sich mit ähnlichem Tempo  auf das Ergebnis auswirken können.

Es ist nicht eindeutig, inwieweit die positiven Ergebnisse, die für die im Jahr 2022 gezeichneten Risiken gemeldet wurden, auf Prämienänderungen, eine strengere Risikoselektion oder einen Rückgang der zugrunde liegenden Ransomware-Aktivitäten zurückzuführen sind. Angesichts der sich verlängernden Entwicklungsmuster und der wiederkehrenden Drittparteikomponente ist es auch fraglich, wie positiv diese Ergebnisse bleiben werden.

Die Auswirkungen des Re-Underwritings sorgfältig zu quantifizieren ist wichtig, da dies dazu beitragen wird, den Grad der erreichten Preisanpassung zu bestimmen. Bislang ist der größte Teil der sichtbaren Verbesserung auf die erzielte Prämienänderung und die zurückgehende Häufigkeit von Ransomware-Angriffen zurückzuführen.

Die Entflechtung des Rückgangs der Schadenhäufigkeit, der durch das Re-Underwriting verursacht wurde, und des Rückgangs der Angriffe aufgrund geopolitischer Faktorenerlaubt eine Schlussfolgerung, wie viel zurückkommen wird, wenn sich die geopolitischen Bedingungen wieder ändern. Im Weiteren wird sich zeigen, wie viel Spielraum in der Preisgestaltung vorhanden ist, wenn man davon ausgeht, dass die Welt im Laufe der Zeit wieder zu einer durchschnittlichen Cyber-Angriffsaktivität zurückkehrt.

Für diese Bestimmung sind Daten nötig in einfacher Form von Abwicklungsdreiecken, die die Häufigkeit der versicherten Schäden im Laufe der Zeit dokumentieren. Da Ransomware zwar ein hohes Schadensausmaß verursacht, aber nur einen relativ kleinen Teil aller Schadensmeldungen ausmacht, die bei den Versicherern eingehen, wird sich aus der Betrachtung der Anzahl der Ransomware-Schäden wahrscheinlich ein viel klareres Bild ergeben. Wir gehen davon aus, dass die vom Markt ergriffenen Maßnahmen zeigen werden, dass die Verbesserungen bei der Risikoselektion erheblichen Nutzen gebracht haben. Die Branche sollte jedoch bestrebt sein, diese Wirkung genauer zu quantifizieren und zu verbessern, da die Versicherer das Wachstum der dritten Säule der Schaden- und Unfall-Versicherung fortsetzt.