Kumulschäden & Silent Cyber: Steigender Druck für Versicherer

Dr. Christian Schläger, CEO von Build38.

Um Schadenskosten abzuschwächen, haben viele Unternehmen in den vergangenen Jahren Cyberversicherungen abgeschlossen. Ihre Policen decken – im Idealfall – nicht nur direkte, sondern auch indirekte Schäden – die Folge- und Wiederherstellungskosten eines Angriffs – weitläufig ab. Für viele Versicherungsunternehmen hat sich die Deckung von Cyberrisiken jedoch mittlerweile zu einem echten Problem entwickelt. Viele Policen wurden zu freimütig vergeben.

Langsam beginnt die Branche, das wahre Schadenspotential eines Cyberangriffs zu erkennen. Preise und Konditionen werden an die Risikolage angepasst. Um künftig noch neue Policen abschließen und alte erneuern zu können, werden Unternehmen mehr auf die Sicherheitsanforderungen ihrer Versicherungsdienstleister eingehen müssen. Darüber hinaus sollten sie ihren Fokus darauf setzen, aktiver an der Minderung ihrer Cyberrisiken mitzuwirken.

In den vergangenen Jahren hat das Geschäft mit Cyberversicherungen merklich angezogen – auch in Deutschland.

Die Zahl der Angriffe und das Ausmaß der Schäden haben sich in den vergangenen Jahren drastisch erhöht – weltweit. So berichten 76,5 Prozent der deutschen Unternehmen von einer steigenden Anzahl an Cybervorfällen im Vergleich zum vergangenen Jahr. Laut einer kürzlich erschienenen Veröffentlichung von Cybersecurity Ventures lagen die Kosten der weltweiten Schäden durch Cyberangriffe im vergangenen Jahr bei rund 5,5 Billionen Euro. Bis 2025 wird mit einem Anstieg auf rund 9,5 Billionen Euro gerechnet. Das Risiko einer Versicherung, sich bei der Begleichung der Cyberschäden eines Kunden unter den derzeitigen Konditionen so weit zu verausgaben, dass sich das neue Angebot zum Verlustgeschäft entwickelt, ist signifikant gestiegen – und wird weiter steigen, wenn Versicherungsunternehmen nicht endlich beginnen, aktiv gegenzusteuern.

Eine einzelne Malware kann, an der richtigen Stelle zum Einsatz gebracht, weitgehende Folgen mit sich bringen und Lieferketten über Regionen, Länder und ganze Kontinente hinweg lahmlegen. Allein die Angriffe mit WannaCry- und Petya/NotPetya-Malware von 2017 verursachten weltweit Kumulschäden in Milliardenhöhe. Das Problem der Versicherungen: Nur knapp 10 Prozent dieser Schäden hatten sie bei den Kalkulationen ihrer Cyberversicherungen effektiv berücksichtigt!

Silent Cyber ist ein weiteres, für Versicherer kostspieliges Phänomen. Dahinter verbirgt sich das „stille“ Risiko von Versicherungsansprüchen im Rahmen klassischer Versicherungspolicen, die Schäden durch Cyberangriffe nicht explizit ausgeschlossen und diese auch nicht in der Versicherungsprämie einkalkuliert haben.

Versicherungsindustrie beginnt, sich an erhöhte Risikolage anzupassen

Immerhin: Die Branche hat begonnen, Maßnahmen zu ergreifen, mit denen das Risiko eines Versicherungsgebers, sich finanziell zu überdehnen, minimiert oder ganz ausgeschlossen werden kann. So hat Lloyds of London Ende 2021 vier neue Musterklauseln vorgestellt, die es Versicherern zur Aufnahme in ihre Cyberversicherungspolicen empfiehlt. Mit ihrer Hilfe sollen Schäden, die Versicherungsnehmern durch staatlich gestützte Cyberangriffe entstehen, vom Haftungsrisiko ausgeschlossen bleiben.

Für Versicherer ist es indes in den seltensten Fällen möglich, den Angreifer zweifelsfrei zu identifizieren oder ihm eine Verbindung zu staatlichen Akteuren nachzuweisen. Eine fehlende schlüssige Beweisführung erschwert es dem Versicherer jedoch sich von seiner Pflicht zur Schadensbegleichung zu lösen und er befindet sich somit in einer rechtlichen und sehr kostspieligen Zwickmühle.

Die Münchener Rück will Großunternehmen künftig überhaupt keine Cyberversicherungen mehr anbieten. So erklärte Joachim Wenning, Vorstandsvorsitzender der Munich Re, kürzlich, dass eine gegen die Produktionsanlagen eines größeren Industrieunternehmens gerichtete Cyberattacke einfach nicht mehr zu stemmen sei. Der Versicherer will Unternehmen deshalb künftig nur noch bis zu einer bestimmten jährlichen Umsatzgröße Cyberversicherungsschutz anbieten.

Unternehmen müssen lernen, mehr Eigeninitiative zu zeigen – Rundumschutz ist gefragt

Die verstärkten Anforderungen der Versicherer dürfte schon bald den Druck erhöhen, mehr Engagement zu zeigen. Unternehmen werden ihre IT-Assets besser absichern müssen. Vor allem ans Unternehmensnetzwerk angeschlossene Endgeräte und die auf ihnen aufgespielten mobilen Anwendungen sind häufig nur schlecht abgesichert und dementsprechend erhöhten Risiken ausgesetzt.

Gerade hier, beim Monitoring und Shielding, werden viele Versicherungsnehmer nachjustieren. Sie werden nachweisen müssen, dass sie in allen Bereichen gute – überdurchschnittlich gute – Sicherheitsvorkehrungen implementiert haben und Rundumschutz anbieten können. Nur so wird es ihnen auch künftig möglich sein ihre Versicherer davon zu überzeugen, dass es sich lohnt, mit ihnen eine Versicherung – zu für beide Seiten günstigen Konditionen – abzuschließen.