Die „Cyber-Sparte“ geht nun ins verflixte 13. Jahr. Sie entwickelt sich nach einer anfänglichen Durstphase mittlerweile recht zügig, was nicht ganz überraschend auf einen weiter ansteigenden Digitalisierungsgrad unserer Wirtschaft und die damit einhergehende neuen Einnahmequellen für (Cyber-)Kriminelle zurückzuführen ist. Wie bei allen Pubertierenden bestimmen auch hier „Gefühlsschwankungen“ das Handeln vieler Versicherer. Lief man in den Anfangsjahren den zu ehrgeizig gesteckten Budgets hinterher, frei nach dem Motto: „Lieber Kunde, wenn wir dir den Nutzen nicht erklären können, kaufst du unser Produkt, wenn wir es billiger machen?“, so drehte sich dieser Trend in den Jahren 2020 bis 2022, nachdem etliche Cyberversicherungsportfolios in die roten Zahlen gerieten. Die in diesen Jahren steil ansteigende Lernkurve kann man in einer Grunderkenntnis zusammenfassen: „Gerade bei einer komplexen neuen Versicherung wie „Cyber“ ist es sinnvoll ein Minimum an fachlicher Kompetenz im eigenen Hause zu haben.“ In der Folge entwickelten sich so etwas wie Mindeststandards der Versicherbarkeit, wie z.B. MFA (Multi-Faktor-Authentifizierung). Die teils drastischen Underwriting-, Bedingungs- und Preiskorrekturen der bereits im Markt tätigen Versicherer zeigten ab 2022 Wirkung und der Markteintritt weiterer Versicherer und MGAs (Assekuradeure), führte bereits im Jahr 2023 wieder zu mehr Wettbewerb, sodass wir momentan von einem – zumindest in Teilen – weichen Markt reden können. Dem entgegen steht der strukturelle Einfluss von Rückversicherern, die darum bemüht sind (gerade in der „Cyber-Sparte“ latente) Kumul-Risiken beherrschbar zu machen. Das prominenteste Beispiel hierfür ist der neue „Kriegsausschluss“ eines Rückversicherers (ähnlich der LMA-Klausel 5567), welcher sich auf dem europäischen Cyber-Versicherungsmarkt durchgesetzt hat.
Wie geht es nun weiter? Auf dem Weg des Erwachsenwerdens wird sich der Markt wegen der teilweise hohen Risikoerfassungs- und -bewertungskosten wahrscheinlich zweigleisig entwickeln. Für das KMU-Segment wird man um einen Portfolioansatz, in dem fehlende Risikoinformationen mit Bedingungs- oder Versicherungslimit-Restriktionen gekontert werden, nicht herumkommen. Für größere Risiken, deren individuelle Prämien auch Underwritingkosten rechtfertigen, wird die Professionalisierung fortschreiten, nicht nur um negative Risikoauslesen zu vermeiden, sondern auch um eine möglichst positive Risikoauslese zu erreichen. Insofern dürfte der fromme Wunsch der EIOPA aus der Anfangszeit der Cyberversicherung, dass diese zur Cyber-Resilienz von Unternehmen beitrage, doch noch wahr werden. Ein guter Cyber-Reifegrad wird sich für Unternehmen daher doppelt auszahlen.
Im Jahr 2025 könnte der Markt, zumindest im Sektor oberhalb von KMU, auf seinem Weg des Erwachsenwerdens wieder etwas härter werden. Hierfür gibt es zwei Gründe: Erstens nehmen die Meldungen über große Supply-Chain-Attacken zu und dürften das Gespenst der „systemischen Risiken“ wieder auferstehen lassen und zweitens hat sich vor kurzem ein nicht unerheblicher Cyber-Versicherer aus diesem Segment verabschiedet. Damit dürfte sich die Suche nach alternativen bzw. additiven Risikotransferlösungen (Captives, Cat Bonds, parametrische Versicherungen, Mutuals, etc.) für größere Cyberrisiken wieder intensivieren.