Cyber-Lösegeldschutz ist legitim und sinnvoll. Die Ergänzung für Cyber-Versicherung hat am Markt noch sehr viel Potenzial. Denn bisher haben nur ein Drittel aller Solo-Cyberpolicen in Deutschland diesen Schutz. Das geht aus einer Statistik hervor, die die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) jetzt veröffentlicht hat.
„Gegen den Cyber-Lösegeld-Schutz hat die Aufsicht keinerlei Bedenken“, betonte Roman Platt, der bei der Bafin für die Schaden- und Unfallversicherung zuständig ist, auf der Jahrestagung „Cyber-Insurance 2023“ des Handelsblatts. Es gebe auch aus kriminalpolizeilicher Sicht keine Einwände. Denn nach Einschätzung von Platt würde, gerade wenn Lösegeld versichert sei, die Assekuranzen besonders geschulte Dienstleister mit der Behandlung des Cyber-Angriffs beauftragen. „Nur als letztes Mittel werden die Erpresser bezahlt. Wenn man gar nicht mehr aus der Sache herauskommt“, so Platt.
Wenig wirkliche Lösegeldzahlungen
Das würden die Schadenzahlen bestätigen. So habe es im Zeitraum von 2020 bis 2022 gab es 6.798 Versicherungsschäden gegeben, davon 758 gedeckte Lösegeldversicherungsfälle. Platt: „Es ist jedoch nur in ganz wenigen Fällen tatsächlich zu Lösegeldzahlungen gekommen.“ In den übrigen gedeckten Fällen konnte offenbar eine anderweitige Lösung gefunden werden, wie die Wiederherstellung der IT-Systeme ohne Lösegeldzahlung.
Der Markt ist entspannt
Die Cyber-Versicherung fährt 2023 in ruhigem Fahrwasser. Prämienerhöhungen dürften moderat ausfallen. Kunden müssen aber nach wie vor eine hohe Cybersicherheit nachweisen, damit sie Schutz erhalten und behalten können – so der Tenor auf der Konferenz.
Der Markt ist weiterhin durch hohes Wachstum gekennzeichnet. „Bis 2025 dürfte das Prämienvolumen für Deutschland über eine Milliarde Euro erreichen“, schätzt Sven Erichsen vom Versicherungsmakler Finlex. Die Datenlage ist aber derzeit noch schwierig. So zeigt eine aktuelle Umfrage bei 71 Erstversicherungsunternehmen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) für den Cyber-Schutz in Deutschland ein Prämienvolumen für 2022 von rund 387 Millionen Euro auf.
Wird der Cyber-Schutz für Deutschland, EU und weltweit abgefragt ergibt sich ein Prämienvolumen von 767 Millionen Euro. Danach sind die Beitragseinahmen 2022 für Deutschland um rund 41 Prozent und weltweit um über 52 Prozent gestiegen. Gleichzeitig ist die Schadenkostenquote gefallen. In Deutschland von 96,3 auf 80,3 Prozent und für weltweiten Cyber-Schutz sogar von 80,4 auf 63,4 Prozent. Den gleichen Trend meldet der Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Die Daten beruhen aber lediglich auf dem inländischen Direktgeschäft von 41 Assekuranzen und gelten als wenig repräsentativ.
„Die Marktkonzentration im Cyber-Versicherungsmarkt nimmt ab“, stellte Ramon Platt, Bafin-Referatsleiter für Grundsatzfragen der Schaden-/Unfallversicherung fest. Dies zeige die Erhebung der Marktanteile der zehn größten Cyberversicherer. Fast alle Spitzenreiter haben seit 2020 Marktanteile verloren.
Weniger Schäden zu verzeichnen
„Der Markt ist positiv getrieben von den geringen Schadenfällen der letzten Monate“, erläuterte Jutta Berger, Cyber-Spezialistin bei der Zurich Gruppe Deutschland. Zudem steigt die Kapazität im Markt wieder, weil es mehr Anbieter gibt. „Aber auch alteingesessene Unternehmen bieten wieder mehr Deckungsvolumen“, so Berger. „Das ist für den Mittelstand und die Industrie ein guter Ausblick. Kleinere Unternehmen hatten nie ein Kapazitätsproblem“, stellte die Expertin fest. Im Gewerbemarkt gebe es weiterhin intensiven Wettbewerb.
Kapazität noch nicht ausreichend?
Laut Versicherungsmakler Erichsen liegt aber die Versicherungssumme bei Cyberpolicen für Unternehmen immer noch meist bei fünf bis höchsten zehn Millionen Euro. „Die Kapazitäten wurden aus Angst vor einem Kumulrisiko deutlich runtergefahren.“ Dabei habe man einen solchen Schaden bisher noch nicht gesehen. Dieser Aussage widersprachen viele Teilnehmer in der Diskussion. Es habe schon Schäden gegeben, die eine Vielzahl von Unternehmen gleichermaßen getroffen haben. Weiterhin dominieren Ransomware-Angriffe das Schadengeschehen in der Cyber-Versicherung.
Hier gibt es zudem eine neue Entwicklung. Die Hacker, die Gelder erpressen wollen, zerschlagen nicht nur die Backups und verschlüsseln die Systeme, sondern leiten immer öfter Daten ab. „Die drohen dann damit diese Daten zu veröffentlichen“, sagte Helmut Brechtken vom Beratungsunternehmen Deloitte. Unternehmen, die kein Lösegeld für die Nichtveröffentlichung zahlen würden, hätten dann einen Datenschutzvorfall, der vielfach viel aufwändiger sei als ein reiner Verschlüsselungsangriff. „Sie müssen dann alle Betroffenen, möglicherweise weltweit informieren und mit den Datenschutzbehörden der unterschiedlichen Länder kooperieren“, so Brechtken, der aktuell einen solchen Fall für ein großes mittelständisches Unternehmen abgewickelt hat.
Automatische Risikoanalyse hält Einzug
Eine neue Qualität beim Abschluss von Cyberpolicen stellen automatische Analysetools dar. Je nach Art des Tools, wird das Unternehmen von außen gescannt oder sogar von innen durchleuchtet. Wie in der Diskussion deutlich wurde, können Outside-Sicherheits-Scanns auch für die Kaltakquise genutzt werden, um neue Kunden zu finden.
Autor(en): Uwe Schmidt-Kasparek
