Die Cyber-Versicherung wird in den nächsten Jahren nicht mehr so stark wachsen, wie in der Vergangenheit. Das ist einhelliger Tenor der Experten der Euroforum-Jahrestagung „Digital Edition Cyber-Insurance 2021“.
So haben die Versicherer die Kapazitäten deutlich zurückgefahren. Gleichzeitig werden höhere Prämien verlangt und die Bedingungen verschärft. Zudem gilt eine deutlich strengere Risikoprüfung. Doch vor allem kleinere Unternehmen sind hier überfordert, weil sie vielfach einfache Cyber-Sicherheits-Standards nicht einhalten. Daher ist ihre Versicherbarkeit derzeit schwierig.
Schadenquote lag 2020 nur bei rund 40 Prozent
Dabei geht es den Cyber-Versicherern eigentlich ganz gut – noch jedenfalls. Das zeigt eine Erhebung der Aufsicht. Laut der Marktanalyse der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) haben die Versicherer 2020 insgesamt 240 Millionen Euro Prämien durch Cyberschutz eingenommen. 2016 waren es erst 30 Millionen Euro gewesen.
Gleichzeitig mit dem boomenden Geschäft stiegen die Schäden. So ist die Brutto-Schaden-Kosten-Quote von rund 35 im Jahre 2016 auf 70 Prozent in 2019 gestiegen. Doch schon im vergangenen Jahr sankt die Combined Ratio wieder auf rund 65 Prozent. „Grund sind aller Wahrscheinlichkeit Beitragserhöhungen“, erläuterte Ramon Platt, Bafin-Referatsleiter für Grundsatzfragen der Schaden/Unfallversicherung. Die Schadenquote lag 2020 sogar nur bei rund 40 Prozent. Daher geht es beim harten Markt in der Cyber-Versicherung vor allem darum höhere Prämien für künftige Schäden durchzusetzen.
Kleine Firmen fühlen sich - oft zu - sicher
Versicherungsmakler müssen also für ihre Kunden kämpfen und vor allem erst einmal Versicherbarkeit herstellen. Die Kunden müssen dafür nachweisen, dass es eine umfangreiche IT-Management gibt, die Systeme mit aktueller Software geschützt werden, es eine regelmäßige Prüfung des Schutzes gibt, Mitarbeiter geschult werden und eine umfangreiche Datensicherung existiert. Während solche Vorleistungen von Industrieunternehmen in der Regel erbracht werden, sieht es bei mittelständischen Unternehmen düster aus.
„Kleine Firmen fühlen sich sicher und sind immer wieder vollkommen überrascht, wenn sie angegriffen werden“, sagte Professor Sabine Radomski von der Hochschule für Telekommunikation in Leipzig. Manchmal sei der Angreifer dann schon längere Zeit im Netzwerk des Unternehmens unterwegs. Die Mitarbeiter seien meist ohnmächtig, wenn es um die Erhöhung der Cybersicherheit geht. „Es wird dann immer hart diskutiert, ob eine neue Investition überhaupt notwendig sei“, so Radomski. Zudem müssten mehrere Mitarbeiter für die IT-Sicherheit verantwortlich sein, die jährlich mindestens vier Wochen eine Weiterbildung besuchen sollten. All das würde von Mittelständlern vielfach nicht geleistet.
Sicherheits-Standards nutzen
Cyber-Sicherheits-Standards gibt es nach Einschätzung der Experten in ausreichendem Maße. „Sie werden aber von mittelständischen Unternehmen nicht gelebt“, beklagte Markus Edel, Abteilungsleiter Cyber-Security und Managementsysteme bei der VdS Schadenverhütung. Auch Wolfgang Finkler, Referatsleiter Kritis-Sektoren Finanz- und Versicherungswesen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) beklagte, dass Cyber-Sicherheit in mittelständischen Unternehmen nicht hergestellt werde, weil vielfach die Geschäftsführung kein umfassendes Mindset vorgebe. Er empfiehlt kleineren Unternehmen sich in Netzwerken, wie der „Allianz für Cyber-Sicherheit“ zu organisieren. „Dann können auch einsame IT-Experten sich durch einen regen Austausch mit anderen Unternehmen mächtig machen“, so Finkler.
Eine gute Aufstellung lohnt sich
Je besser Unternehmen in Sachen Cyber-Sicherheit aufgestellt sind, desto besser können sie versichert werden. Radomski plädierte dafür, dass die Unternehmen nur noch sicherheitszertifizierte Software verwenden sollen. „Dann kann der Versicherer einen Rabatt bei der Prämie geben, denn das Risiko sinkt deutlich“, so die Wissenschaftlerin. Sogar Bußgelder, deren Versicherung umstritten ist, können geringer ausfallen, wenn ein Unternehmen nachweislich eine umfassende Cyber-Compliance installiert hat und es dann trotzdem zu einem Verstoß gegen Datenschutzvorschrift kommt. Das bestätigte in einer Diskussionsrunde Stefan Brink, Landesbeauftragter für den Datenschutz und Informationsfreiheit Baden-Württemberg.
Autor(en): Uwe Schmidt-Kasparek
