Marktausblick Cyber-Versicherung

Die auf dem Markt erhältlichen Cyber-Deckungen lassen sich nur schwer vergleichen, denn viele Anbieter – Versicherer wie Makler – entwickeln eigene Vertragswordings und setzen unterschiedliche Schwerpunkte auf Sach- bzw. Haftpflichtelemente. Die Cyber-Gefahr ist allgegenwärtig. Auch klassische Versicherungen können von Schadenansprüchen betroffen sein. Deshalb haben einige Anbieter ihre herkömmlichen Sach- oder Haftpflichtpolicen durch Cyber-Erweiterungen ergänzt. Generell weist der Trend allerdings in Richtung eigenständige Cyber‑Versicherung.
 
Das Kumulpotenzial von Cyber-Risiken lässt sich derzeit nicht klar abschätzen. Zum einen kann aufgrund der hochgradigen Vernetzung ein einzelnes Cyber-Ereignis sehr viele eigenständige Cyber-Policen betreffen, da diese häufig auch Rückwirkungsschäden (CBI) decken. Infolge der zunehmenden Verbreitung des Internet of Things steigt mit dem Vernetzungsgrad auch das Ausmaß der potenziellen Schäden.
 
Zudem sind Cyber-Risken in herkömmlichen Versicherungen nicht explizit ausgeschlossen, da sie noch vor einigen Jahren nicht relevant waren. Hier gilt es entsprechend gegenzusteuern. Cyber-Sicherheit ist ein Thema für die Chefetage, denn: Fehlen ausreichende IT-Sicherheitsmaßnahmen und entsprechende Kontrollen, kann im Falle eines Cyber-Angriffs unter Umständen die Geschäftsführung in Haftung genommen werden.
 
Munich Re hat Expertenteams gebildet, um die Exponierungen und deren Entwicklung zu überwachen. Problematisch sind insbesondere unbekannte Kumule, bei denen eine Vielzahl von Policen gleichzeitig von Schäden betroffen sein könnte. Mögliche Ausgangspunkte für Kumulszenarien sind:

• Deckungsüberschneidungen zwischen verschiedenen Versicherungssparten
• Deckung von Rückwirkungsschäden
• Ausfall externer Netzwerke wie Internet, Telekommunikations- oder Versorgungsnetze
• Sonstige Dienstleister mit hoher Kundenkonzentration wie Cloud-Anbieter oder DNS-Server
• Sicherheitslücken in gängiger Standard-Software

Ein Internetausfall birgt für Versicherer und Rückversicherer Kumulgefahren in erheblicher Größenordnung. Deshalb ist es wichtig, die einschlägigen Vertragsbestimmungen genau zu kennen und zu wissen, inwieweit Deckung besteht.

In den meisten Sparten ist derzeit reichlich Kapazität auf dem Markt verfügbar. Angesichts niedriger Zinsen sind Erst- und Rückversicherungsprodukte inzwischen auch für den Kapitalmarkt, insbesondere für Pensionsfonds, als Anlagemöglichkeit interessant. Das dämpft das Beitragsniveau und verschärft den Wettbewerb. In fast allen Sparten sind die Beiträge in den letzten Jahren kontinuierlich gesunken. Etablierte Versicherer mühen sich, ihren Marktanteil zu halten, während neue Anbieter zusätzliche Kapazität auf den Markt bringen. Auch unter den Maklern herrscht reger Wettbewerb. Selbst für komplexe Sparten wie die D&O-Versicherung für Finanzinstitute bieten Makler inzwischen eigene Rahmenverträge, so genannte „Facilities“. All dies führt dazu, dass die Versicherer und ihre Erträge zunehmend unter Druck geraten.
 
In dieser angespannten Situation sind neue Geschäftsmöglichkeiten natürlich hoch willkommen. Und die Zahlen sind vielversprechend: Ende 2016 lag das weltweite Beitragsaufkommen für Cyber-Versicherungen Schätzungen zufolge bei über vier Milliarden US-Dollar. Davon entfielen rund 80 Prozent auf die USA, die restlichen 20 Prozent kommen aus Europa und Asien. Hier zeigt der Trend nach oben: Man geht davon aus, dass das Beitragsaufkommen in Europa von 300 Millionen US-Dollar im Jahr 2016 bis 2018 auf 900 Millionen US-Dollar steigt – ein Zuwachs von 200 Prozent innerhalb von nur zwei Jahren.

Derzeit ist der Markt noch weit von einer Sättigung entfernt. Eine Senkung der Beiträge zum aktuellen Zeitpunkt ist riskant, weil noch keine ausreichende Schadenerfahrung mit den Policen vorliegt und die Schäden steigen könnten. Besorgniserregend ist auch, dass unter dem intensiven Preiswettbewerb die Zeichnungsdisziplin zu leiden droht. Die Risiken ändern sich so rasch, dass die Versicherer sie übernehmen, ohne sie vollständig zu verstehen. Eine Preisfindung auf der Grundlage verlässlicher aktuarieller Modelle ist praktisch unmöglich, da sich die Schadenszenarien ständig weiterentwickeln – anders als in den traditionellen Sparten, bei denen die Schadenkurven auf der historischen Schadenerfahrung basieren. Weil sich die Bedrohungen ständig verändern, macht es wenig Sinn, sich bei der Preisfindung an der Vergangenheit zu orientieren.
 
Wie in anderen Sparten liegt das Beitragsniveau in den USA aufgrund strengerer gesetzlicher Vorschriften erheblich höher als in Europa. Das liegt an den hohen Benachrichtigungskosten, insbesondere nach einer Datenpanne. Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 ändert sich die Rechtslage in der EU. Während große, insbesondere hoch exponierte Unternehmen wie Finanzinstitute, Einzelhändler und Gesundheitsunternehmen ihre Versicherungsprogramme erweitern und bei der Erneuerung zuweilen doppelt so viel Kapazität einkaufen wie bisher, verläuft der Trend bei den kleinen und mittleren Unternehmen langsamer.

Wie oben erwähnt gibt es eine Vielzahl verschiedener Cyber-Policen. Ebenso unterschiedlich sind leider auch die jeweiligen Kriterien der Risikobeurteilung sowie die Deckungselemente. Hier könnten die Versicherer zur Vereinfachung beitragen und mehr Transparenz schaffen, indem sie einheitliche Kriterien der Risikobeurteilung sowie Deckungselemente festlegen und anwenden.
 
Die Versicherten halten sich häufig zurück, wenn es darum geht, Details über bestehende Sicherheitsmaßnahmen oder bereits erfolgte Cyber-Angriffe mitzuteilen. Angesichts der Sensitivität dieser Informationen besteht hierfür seitens der Versicherer auch Verständnis. Allerdings behindert diese Zurückhaltung eine adäquate Preisfindung und bremst den Lernprozess für alle Seiten – für die Versicherten ebenso wie für die Erst- und Rückversicherer.
 
Zudem sind wichtige Informationen für eine sachgerechte Risikoprüfung häufig nicht verfügbar. Dazu gehören Zertifizierungen und Risikobeurteilungen durch unabhängige Dritte, Geschäftskontinuitätspläne sowie Informationen zu Cyber-Schutzmaßnahmen und zur Verankerung des Themas im Topmanagement. Fakt ist: eine Versicherung kann die Cyber-Strategie eines Unternehmens und entsprechende Sicherheitsmaßnahmen ergänzen, aber keinesfalls ersetzen.
 
Nicht nur die Cyber-Risiken verändern sich – auch der Versicherungsschutz wird ständig weiterentwickelt. Einerseits sind wir mit immer neuen Arten von Angriffen konfrontiert, wie DDoS-Attacken oder Ransomware zur Erpressung von Bitcoin-Lösegeldzahlungen. Andererseits müssen auch die Cyber-Deckungen immer wieder neue Aspekte berücksichtigen, wie die DSGVO oder die Auslagerung von Diensten an Cloud-Anbieter. Komplexe, aus mehreren Stufen bestehende Versicherungskonstrukte mit einer Vielzahl von beteiligten Erst- und Rückversicherern und komplizierten Vertragstexten machen es zuweilen unmöglich, bei der Erneuerung den Versicherungsschutz in geeigneter Weise anzupassen. Das birgt erhöhte Risiken für sämtliche Beteiligten, einschließlich der Makler.

Werden die wachsenden Risiken und die Rechtsänderungen in der EU vor dem Hintergrund des intensiven Wettbewerbs im Versicherungssektor eine ausreichende Anpassung der Bedingungen nach sich ziehen? In einem sich ständig verändernden Umfeld mit wachsenden technologischen Bedrohungen muss die Versicherungswirtschaft adäquate Risikolösungen für die Kunden finden. Gleichzeitig gilt es, die Zeichnungsdisziplin zu wahren. Kumulkontrolle und eine gründliche Risikoanalyse haben deshalb oberste Priorität. Wer hier nachlässig ist, setzt die langfristige Ertraghaltigkeit des Geschäfts aufs Spiel. So könnte z. B. ein Internetausfall aufgrund der damit potenziell einhergehenden Folgeausfälle und weiträumigen Betriebsunterbrechungen einige Marktteilnehmer sogar die Existenz kosten.