Cyberversicherung: Bedingungswerke noch immer wenig standardisiert

Die Cyberversicherung ist in Deutschland eine recht junge Produktkategorie: Und wird von vielen Marktbeobachtern als einer der wichtigsten Zukunftsmärkte für Versicherungen bewertet. Seit mehr als zehn Jahren werden sie hierzulande vertrieben, doch in den letzten Jahren zeigten sich auch die Probleme dieser Produkte: die Schäden sind teuer, denn sie treten oft nicht regional begrenzt auf, sondern machen auch vor Ländergrenzen nicht Halt. Der Schaden, der Unternehmen weltweit allein im Jahr 2021 durch Cyberattacken entstanden ist, wird vom Analysehaus Cybersecurity Ventures auf 6 Billionen US-Dollar geschätzt.

Für die Versicherer stellt diese Ausgangslage ein Dilemma dar. Einerseits setzen sie große Hoffnungen in die gewerbliche Cyberversicherung, zumal die Unternehmen zunehmend ihren Absicherungsbedarf erkennen: Ein erfolgreicher Hackerangriff kann den Geschäftsbetrieb für lange Zeit lahmlegen und hohe Kosten verursachen. Andererseits sieht sich die Branche in jüngster Zeit mit hohen Schadenzahlungen konfrontiert. Sie müssen daher ihre Vertragsbedingungen anpassen, damit Cyber nicht zur Kostenfalle wird. Das wiederum birgt Risiken für die Versicherungsnehmer: Im Zweifel weichen die Verträge stark voneinander ab und definieren strenge Ausschlüsse.

Das hat der IT-Dienstleister CyberDirekt zum Anlass genommen, in einer Studie zu untersuchen, ob und wie stark sich die Vertragsbedingungen in der Cyberversicherung voneinander unterscheiden. Die Berliner analysierten 16 Bedingungswerke, in acht Kategorien mit 125 Merkmalen wurden die Verträge durchleuchtet. Wie das Cyberhaus berichtet, konzentrieren sich drei Viertel der gesamten Prämieneinnahmen auf die zehn größten Anbieter am Markt. Deren Schadenquote lag im Jahr 2022 zwischen 20,1 Prozent und 112,8 Prozent. Das bedeutet, dass selbst führende Versicherer in diesem Segment mehr für Schäden und Verwaltung ausgaben, als sie an Prämien einnahmen.

Ein Ergebnis der Studie: In einem Markt, in dem es noch wenige Erfahrungen mit Schäden gibt, werden die Verträge regelmäßig aktualisiert. Das älteste untersuchte Bedingungswerk war vier Jahre alt - im Schnitt liegen sie in ihrer aktuellen Fassung sein eineinhalb Jahren im Schaufenster der Versicherer. Schon der Umfang der Verträge deutet darauf hin, dass es in Gestaltung und Leistung noch große Unterschiede gibt. Das kürzeste Konzept umfasst 13 Seiten, das längste 40 Seiten: Im Schnitt sahen sich die Kundinnen und Kunden mit 24 Seiten Vertragsbedingungen konfrontiert.

Tendenz zur Allgefahrendeckung

Die Analyse zeigt darüber hinaus, dass längst nicht nur Schäden durch Hackerangriffe abgesichert sind. Zwei Drittel der Verträge (63 Prozent) schließt auch Bedienfehler von Mitarbeitern ein: wenn also eine Fehlbedingung des eigenen IT-Systems zu Ausfällen führt. Auch Betriebsunterbrechungen durch Cloud-Ausfälle sind mittlerweile Standard und werden nur von 13 Prozent der Versicherer ausgeschlossen. Hier leistet der Versicherer, wenn aufgrund des Ausfalls bei einem Cloud-Anbieter, etwa Microsoft Azure oder Google Cloud, Erträge wegbrechen. Der Ausfall durch technische Probleme ist bei mehr als der Hälfe der Anbieter (56 Prozent) abgedeckt. Ein Fazit der Studienautoren: Cyberversicherungen haben die Tendenz zu „All Risk“-Policen.

In den allgemeinen Regelungen bietet ein Viertel der Anbieter (25 Prozent) eine Zweifach-Maximierung der Versicherungssumme: Begrenzt also die Gesamtleistung für alle Versicherungsfälle eines Jahres auf das Doppelte der vereinbarten Deckungssumme, wenn mehrere Schäden innerhalb des Jahres auftreten. Bei allen anderen Konzepten steht die Summe nur einmal zur Verfügung.

Eigenschäden: Unterschiede beginnen schon bei der Definition des Leistungsfalls

Wie wichtig es für Unternehmen sein kann, sich mit den konkreten Bedingungen im Schadenfall auseinander zu setzen, zeigt ein Blick auf die sogenannten Eigenschäden. Darunter sind Schäden zu verstehen, die dem Versicherungsnehmer selbst durch Cyber-Angriffe entstehen - einschließlich der Maßnahmen, die ergriffen werden müssen, um wieder zum „normalen“ Geschäftsbetrieb zurückzukehren.

Der Umfang notwendiger Maßnahmen wird von vielen Unternehmen unterschätzt. So beinhaltet die Regulierung von Eigenschäden zum Beispiel auch Kosten für interne und externe IT-Experten, Anwälte zum Beispiel bei Datenschutz-Verletzungen, die Benachrichtigung betroffener Kundinnen und Kunden sowie PR-Profis, die einen möglichen Imageschaden nach einem Hackerangriff abwenden.

Wenn Vermögenswerte aus dem Unternehmen abfließen, setzen nur zwei von fünf Versicherern (44 Prozent) nicht voraus, dass das IT-System kompromittiert ist, also dass Teile des Systems durch Schadsoftware beschädigt wurden. Immerhin drei Viertel der Policen bieten Schutz bei „Fake President“-Betrug. Dabei geben sich Kriminelle als Vorstände und Entscheider des eigenen Unternehmens aus, zum Beispiel durch ähnliche Mailadressen und sogar täuschend echte Anrufe, und weisen Zahlungen oder die Herausgabe von Passwörtern an.

Im Falle einer Lösegelderpressung durch Hacker leistet ein Viertel der Versicherer (25 Prozent) ohne weitere Einschränkungen. Etwa jeder fünfte Vertrag (19 Prozent) sieht hingegen gar keine Leistung für Lösegelder vor. Der Rest arbeitet mit Sublimits oder anderen Einschränkungen: Leistet also nur in begrenztem Umfang oder knüpft die Versicherungsleistung an weitere Bedingungen.