Der unternehmerische Versicherungsschutz gegen Cyberkriminalität ist umso wichtiger, je stärker die Digitalisierung in die Geschäftsmodelle von Finanzdienstleistern vordringt. Allerdings wird der Bedarf hierzulande vielfach noch unterschätzt.
Schlankere Prozesse, neue Kommunikationsformen und vernetzte Geräte revolutionieren Arbeits- und Privatsphären – die Digitalisierung wandelt die Arbeitswelt. Dies ruft auch Kriminelle auf den Plan. Sei es, um unternehmerisches Know-how abzuschöpfen oder um Unternehmen durch Erpressungstrojaner zur Zahlung hoher Geldsummen zu bewegen. Gehackte Geräte lassen sich auch dazu missbrauchen, Angriffe gegen die Internetinfrastruktur durchzuführen.
In der Statistik des Bundeskriminalamts vom Januar 2019 erscheint Cyberkriminalität als Straftat mit fast 90.000 erfassten Fällen. Während die Schadenzahl über die Jahre zugenommen hat, verharrt die Aufklärungsquote bei knapp 40 Prozent. Allerdings dürfte die Dunkelziffer der Vorfälle deutlich höher liegen. Viele Schäden gelangen gar nicht zur Anzeige, da Unternehmen häufig einen Vertrauensverlust bei Kunden und Geschäftspartnern vermeiden wollen, mitunter gar durch Zahlung von Erpressungsgeldern.
Sicher vorsorgen vor Cyberkriminalität
Angesicht dieser Entwicklungen scheint technische und finanzielle Vorsorge angebracht. Seit Ausbruch der Corona-Pandemie gilt dies umso mehr. Denn im Zuge einer Interpol-Umfrage vom Juli 2020 berichten bereits rund zwei Drittel aller Mitgliedsstaaten, Covid-19-Themen würden in erheblichem Maße für Phishing und Onlinebetrug genutzt. Auch durch neue Kommunikationsformen im beruflichen Umfeld steigen die Cyber-Schadenfälle weiter an, etwa durch den schlagartigen Ausbau von Telearbeitsplätzen aufgrund der Kontaktbeschränkungen. So gab in einer von Deloitte Österreich und dem Forschungsinstitut Sora im Mai 2020 durchgeführten Umfrage zum Thema Cyber-Security ein Viertel der befragten Unternehmen an, dass seit dem Ausbruch von Covid-19 die Angriffe auf ihre Daten- und IT-Systeme zugenommen hätten.
Dabei sind Unternehmen vor allem dann anfällig für Cyber-Angriffe, wenn durch den Umzug ins Homeoffice die Netzwerkanbindung – womöglich unter Nutzung privater Endgeräte – deutlich komplexer geworden ist, Infrastruktur und Sicherheit aber nicht in angemessenem Maße verstärkt wurden.
Die mit der Digitalisierung angestrebten Produktivitäts- und Nutzenfortschritte können nur dann ausgeschöpft werden, wenn die damit verbundenen Cyber-Gefahren im Rahmen des unternehmerischen Risikomanagements beherrschbar werden. Hierzu gehört ein hochwertiger Versicherungsschutz.
Doch die Cyber-Versicherung ist in Deutschland noch wenig verbreitet. 2011 wurde hierzulande die erste Police abgeschlossen – ganze elf Jahre nach dem „I love you“-Virus. Anders ist es in den USA, wo Firmen jährlich rund drei Milliarden US-Dollar für Cyber-Policen ausgeben.
Angetrieben von Prognosen zu einem milliardenschweren Marktpotenzial wagen nun auch in Deutschland immer mehr Versicherer den Markteintritt oder -ausbau. Waren Anfang 2017 gut 20 Gesellschaften aktiv, so sind es mittlerweile bereits doppelt so viele – Tendenz steigend. Gerade in der Corona-Krise nimmt das Bewusstsein für Cyber-Risiken weiter zu.
Cyber-Policen: Unübersichtlicher Markt ohne Standards
Um die Stimmungslage der Versicherer auszuloten, bat die Assekurata gemeinsam mit der Instinctif AG im Frühjahr 2019 die Anbieter und Großvermittler von Cyber-Policen in Deutschland um eine Markteinschätzung. Ein Ergebnis: Die Produktmanager fokussieren besonders auf kleine und mittelständische Unternehmen. Während sich global agierende Konzerne mit individuellen Deckungskonzepten über Spezialversicherer oder Industriemakler abgesichert haben, hat gerade der Mittelstand deutlichen Nachholbedarf.
Dass sich die Wachstumserwartungen der Versicherer bislang nicht erfüllt haben, mag nicht zuletzt den fehlenden Produktstandards geschuldet sein. Die erhältlichen Deckungen sind nur schwer vergleichbar, was den Informationsbedarf erhöht und den Absatz erschwert. Umfang und Aufbau der Bedingungswerke sowie Tarifstrukturen unterscheiden sich teilweise deutlich: Vom Rundumschutz über flexible Bausteine bis hin zu fokussierten Ausschnittsdeckungen ist alles vertreten. Zugleich befinden sich die Versicherer in einem stetigen Lernprozess, etwa bei der für die Kalkulation verfügbaren Datenbasis.
Den Umfrageteilnehmern zufolge reichen die bisherigen Schadenerfahrungen für eine risikogerechte Tarifierung nicht aus. Insbesondere sind hier die Rückversicherer gefragt, geeignete Datenpools aufzubauen und zu verfeinern.
Lernen von den USA
Aufgrund der unsicheren Datenlage und des schadenimmanenten Kumulrisikos decken aktuelle Cyber-Policen häufig nur Summen bis maximal zwei Millionen Euro ab. Neben einem Selbstbehalt von mehreren Tausend Euro sehen einige Angebote auch Zuschläge von bis zu 20 Prozent vor, etwa für Rechtsanwälte und Ärzte.
Da die Cyber-Attacken weiter steigen und die Aufklärungsquoten niedrig bleiben werden, dürften auch die versicherungstechnischen Ausgleichsmechanismen kaum für Beitragsentlastungen sorgen. Eine Risikoteilung durch Konsortiallösungen von Cyber-Versicherungen wäre ein möglicher Ausweg, um die Konkurrenzfähigkeit von Erstversicherern zu erhöhen. Ein Zusammenschluss könnte das Kumulrisiko streuen und die Risikotragfähigkeit verbessern, wodurch sich höhere Versicherungssummen zu günstigen Beiträgen abbilden ließen. Hilfreich wäre zudem ein Erfahrungsaustausch mit Versicherern aus dem US-Cyber-Markt.
Expertise an vielen Stellen nötig
Tritt ein Cyber-Fall ein, so ist ein reaktionsschnelles Schadenhandling über ein leistungsfähiges Dienstleistungsnetzwerk von besonderer Bedeutung. Dabei ist die Bereitstellung eines Expertenteams aus unterschiedlichen Fachrichtungen eine der Kernleistungen der Cyber-Versicherung. Doch nicht nur im Schadenfall, sondern auch in der Prävention und in der Risikobeurteilung sind Risikomanagement- und IT-Kompetenzen gefragt. Die Qualität und die Verfügbarkeit der Assistance-Leistungen wird sich damit zu einem Schlüsselfaktor im Wettbewerb entwickeln.
Insgesamt bietet das Thema Cyber den Versicherern und spezialisierten Vermittlern die Chance, sich als Lotse zu positionieren, der als Experte verschiedene Leistungen koordiniert. Das Spektrum reicht von der Risikobewertung über die Prävention bis zur Schadenbewältigung. Die Anbieter können hier eine zentrale Rolle als Akteur und Risikomanager in der IT-Sicherheitslandschaft einnehmen. Im digitalen Ernstfall muss dann der Versicherungsschutz seine Leistungsfähigkeit unter Beweis stellen.
Der Beitrag erschien ursprünglich als Teil des Jahrbuchs 2020/21 des Vereins Finanzplatz Hamburg e.V.. Das Jahrbuch können Sie hier herunterladen.