Der finanzielle Schaden von Cyberangriffen ist im Jahr 2021 auf 223 Mrd. Euro gestiegen. Treibende Faktoren sind insbesondere Erpressung und Systemausfälle mit einem Plus von 358 Prozent gegenüber dem Jahr 2019. Dem Digitalverband Bitkom zufolge waren 88 Prozent der Unternehmen im vergangenen Jahr Cyber-Angriffen ausgesetzt. Die Mehrheit davon – knapp 90 Prozent – waren kleine und mittlere Unternehmen mit weniger als 500 Mitarbeitenden.
Dennoch ist das Bewusstsein für die neuen Risiken noch nicht überall angekommen: Laut einer Forsa-Umfrage des GDV vom Mai 2022 sehen zwei Drittel des deutschen Mittelstandes kein hohes Cyber-Risiko für ihr eigenes Unternehmen. Dieselbe Umfrage kommt aber auch zu dem Ergebnis, dass 80 Prozent der mittelständischen Unternehmen die Basisanforderungen an IT-Sicherheit gemäß GDV-Musterbedingungen zu Cyber-Versicherungen derzeit nicht erfüllen. Selbsteinschätzung und Fremdeinschätzung scheinen bei nicht wenigen Unternehmen also noch auseinanderzuliegen.
Die Absicherung von Cyber-Risiken ist anspruchsvoller als je zuvor
Die Schäden durch Datendiebstahl oder -zerstörung, Produktivitätsverluste sowie Kosten für die Schadenbeseitigung können schnell horrende Summen erreichen. Damit einhergehende Schadenhöhen stellen für Unternehmen direkt und indirekt ein erhebliches Geschäfts- und Kostenrisiko dar. Hier spielt zum Beispiel ein Vertrauensverlust von Geschäftspartnern oder Kund:innen eine große Rolle. Für Versicherer bedeutet dies: Aufgrund der Gefahrenzunahme wachsen sowohl der Bedarf als auch die Nachfrage nach adäquatem Versicherungsschutz für Eigen- und Drittschäden sowie nach entsprechenden Services zur Prävention und Unterstützung im Schadenfall.
Die versicherungtechnische Herausforderung liegt darin, geeignete Deckungskonzepte im Spannungsfeld von Wachstum, Ertrag und Risikoabwägung zu entwickeln. Die Vielschichtigkeit der abzusichernden Schäden und die schlechte Datenbasis (etliche Cyber-Schäden werden nicht gemeldet) machen eine auskömmliche Kalkulation bei umfangreicher Indeckungnahme oft sehr schwierig. Hierzu werden nicht nur die Eintrittswahrscheinlichkeiten und Schadenauswirkungen gesamtheitlich betrachtet. Im Underwriting wird zudem beleuchtet, welche Präventiv-Aktivitäten und Risikokontrollen etabliert sind oder auch welche Prozesse zur systematischen Eindämmung etwaiger eingetretener Schäden bestehen.
In der Folge werden die zeichnenden Versicherer zunehmend selektiver und der Markt verhärtet sich. Bestehende Produkte bilden die Risikolage häufig nicht ausreichend ab, und auch das Risiko ist oft noch zu gering bepreist. Die Folge sind zunehmende Beschränkungen der Deckung. Ein ausgefeiltes Kapazitätsmanagement ist notwendig, um die Risiken adäquat und nachhaltig abzusichern.
Die aktuarielle Bewertung weiterer Produkte wie zum Beispiel der Haftpflichtversicherung ist zusätzlich durch sogenannte „Silent Cyber“ belastet. Das bedeutet, dass Cyber-Risiken, die unbewusst in bestehenden Produkten enthalten sind, nicht richtig in der Risikobepreisung einkalkuliert wurden. Durch das neue Risikobewusstsein werden die Deckungen entsprechend restriktiver ausgestaltet oder das Risiko explizit in der Prämie berücksichtigt.