Pandemie in der Cyberversicherung: das Experteninterview

Marek Naser (VHV): Grundsätzlich beobachten wir, dass die Bedrohung durch Cyberangriffe in den letzten Jahren deutlich zugenommen hat. Werden weit verbreitete Sicherheitslücken ausgenutzt, hat dies natürlich ein hohes Kumulpotenzial. Besonders wichtig ist in diesen Fällen, dass die VN bei Bekanntwerden von solchen Schwachstellen reagieren und entsprechende Maßnahmen wie beispielsweise die Installation von Sicherheitsupdates umsetzen um die Gefahr zu minimieren. Dies ist bereits in den bestehenden Versicherungsbedingungen ausreichend geregelt. Vor diesem Hintergrund sehen wir derzeit keinen Bedarf den Versicherungsschutz durch einen „Pandemie-Ausschluss“ zu beschränken.

Marek Naser (VHV): Ihre Ausführungen kann ich bestätigen. Derzeit sehen wir das so.

Julia Nebe (Basler): Richtig. Das Einhalten von Obliegenheiten ist absolut ausreichend!

Natürlich haben Hafnium (besser bekannt als „MS Exchange-Angriff“) und Log4Shell im Cyber-Markt ihre Spuren hinterlassen. Vor allem Hafnium hat zu erheblichen Schäden geführt. Aufgrund der Dynamik hinsichtlich Angriffen und Schadenszenarien macht in unseren Augen ein „Pandemie-Ausschluss“ überhaupt keinen Sinn.

Die Cyberversicherung soll ja genau vor solchen Gefahren schützen!

Björn Blender (CyberDirekt): So ein Ausschluss ist schnell geschrieben und von den Risikoträgern als Vorgabe verlangt. Die Konsequenzen für den Markt sind allerdings noch nicht absehbar.

Als Reaktion auf eine Schwachstelle aus, der sich bisher noch kein konkreter Schaden materialisiert hat, Neuverträgen mit spezifischen Ausschlüssen zu versehen verdeutlicht die aktuelle Unsicherheit und Hilflosigkeit der Versicherer mit solchen Kumulgefahren umzugehen. Das viel größere Risiko müsste für die Versicherer im eigenen Bestand liegen. Außerdem ist unklar, wie und auf welcher Grundlage die Versicherung das Vorliegen eines solchen Ausschlusstatbestandes nachweisen könnte.

Für die versicherten Unternehmen schürt dieses Verhalten vor allem Unsicherheit zum Regulierungsverhalten der Cyber-Versicherer. Wie sinnvoll und verlässlich ist ein Versicherungsprodukt, aus dem relevante Bedrohungsszenarien gleich versucht werden auszuschließen? In dem frühen Stadium des Cyber-Versicherungsmarktes kann dies verheerende Vertrauensverluste bedeuten.

Es bleibt spannend abzuwarten, wie sich die Reaktion der Versicherer auf solche in Zukunft immer häufiger aufkommenden Veröffentlichungen kritischer Sicherheitsschwachstellen einpendeln wird. In jedem Fall bleibt die Herausforderung der Beweislast. Gerade zu Beginn eines Schadenfalls in der Chaosphase ist die Ursache und Infektionshergang unklar. Je mehr Zeit zwischen der vermeintlichen Kompromittierung des IT-System und dem tatsächlichen Schadenereignis liegen desto herausfordernder bis unmöglich wird die IT-forensische Aufklärung des Sachverhalts, vor allem durch fehlende Protokolldaten sein.

Hier sei nochmal gesagt, dass der Umgang mit kritischen Sicherheitslücken in Standardsoftware eine große gesellschaftliche Herausforderung darstellt, der nur im gemeinsamen Schulterschluss effektiv begegnet werden kann. Dabei tragen Führungskräfte und IT-Verantwortliche vor allem die Pflicht der offenen Suche und Beseitigung von bekannten Cyber-Gefahren.

Der pauschale Ausschluss einzelner bekannt gewordener Sicherheitslücken ist dafür allerdings der falsche Anknüpfungspunkt und damit ein Irrweg.

Julia Nebe (Basler): Mit unserer Cyber-Police sprechen wir kleine und mittelständische Unternehmen bis zu einem Jahresumsatz von 50 Mio. EUR an. Von daher ist es uns wichtig, dass der Fragebogen klar und verständlich formuliert ist. Wir als Versicherer aber auch gleichzeitig alle notwendigen Informationen zur Risikobeurteilung erhalten.

Schon jetzt ist zu beobachten, dass die Prämien für große Unternehmen deutlich ansteigen. Im Bereich KMU sind die Prämien derzeit noch stabil. Durch die stetig steigende Zahl der – vor allem – nicht zielgerichteten bzw. Massenangriffe bleibt es spannend, wie sich die Prämien in diesem Segment auf längere Sicht entwickeln. Auf jeden Fall lässt sich eine deutlich höhere Nachfrage nach Cyber-Deckungen feststellen.

Für Risiken bis zu einem Jahresumsatz von 10 Mio. EUR kann unser Antragsmodell (Anm.d.R.: eine selbstrechenbares PDF stellen wir gerne zur Verfügung) genutzt werden. Mit diesem lassen sich eine Vielzahl von Risiken – auch produzierendes Gewerbe – mit nur wenigen Risikofragen schnell und einfach absichern.

Wir als Basler möchten auch weiterhin ein verlässlicher Partner sein und werden unsere Prämien nicht anheben.

Björn Blender (CyberDirekt): Die Wurzeln der Absicherung von Cyberrisiken liegen bei Großunternehmen und in industriellen Bereich und haben erst in den letzten Jahren den Klein- bis Mittelstand erreicht. So fehlen oftmals noch die Erfahrungswerte für den KMU-Sektor, die jetzt gesammelt werden. Jedoch zeigen die letzten großen Sicherheitslücken, gemeinsam mit der Digitalisierung, auch, dass alle Unternehmensgrößen das Risiko haben. Im KMU-Sektor geht der Versicherer sogar ein Kumulrisiko ein. 

Björn Blender (CyberDirekt): Die Bandbreite nach Anzahl und Art der Risikofragen ist sehr groß. So kann man je nach Versicherer zwischen 4 und 15 Risikofragen mit unterschiedlicher Komplexität rechnen. Die Risikofragen sind natürlich ein Vortasten der Versicherer. Auch wenn wir ein Verfechter von kurzen und einfachen Risikofragen sind, gehen wir davon aus, dass die Komplexität zwar etwas abnehmen wird, aber trotzdem gewisse Vorkenntnisse verlangt. Man kann eine Cyberversicherung aber auch als ein gewisses Qualitätsmerkmal sehen, dass den „Wasserstand“ der eigenen IT-Sicherheit widerspiegelt. Wir können ebenfalls empfehlen, den IT-Dienstleister, wenn vorhanden, mit in die Beantwortung der Risikofragen mit einzubeziehen.  

Im kommenden Jahr sehen wir eine sehr hohe Nachfrage für die Absicherung des Cyberrisikos, da das Risikobewusstsein bei den Unternehmen weiter steigt. Je nach Digitalisierung im Unternehmen sollte ein Cyberversicherung die Notwendigkeit einer Betriebs- oder Vermögensschadenhaftpflichtversicherung haben. 

Aufgrund der gesammelten Schadenerfahrungen wird das Prämienniveau jedoch nicht auf den jetzigen Stand bleiben, sondern eher steigen. Jetzt besteht also noch die Chance das Cyberrisiko zu sehr guten Konditionen abzusichern.

Marek Naser (VHV): Die VHV hat derzeit zwei Cyberprodukte am Markt. Unser CYBER Schutzbrief ist eine Basisdeckung für kleine Firmen mit einem Jahresumsatz bis 250.000 EUR. Hier konnten wir die Voraussetzungen für den Abschluss auf die absoluten Basisanforderungen (Passwörter, Updates, Antivirenprogramm) beschränken. Im Schadenfall erhalten unsere VN wertvolle Unterstützung durch unsere Cyberexperten über unsere 24/7 erreichbare Hotline und auch vor Ort. Unser Vollprodukt VHV CYBERPROTECT haben wir mit dem Fokus auf KMU entwickelt und so haben wir bereits bei der Produktentwicklung die Bedürfnisse kleiner und mittlerer Betriebe berücksichtigt. Die Topbewertung von Handelsblatt bestätigt dies. Diese Fokussierung auf KMU zeigt sich auch im einfachen und transparenten Antragsprozess.

Bis zu einem Jahresumsatz von 10 Mio. EUR bieten wir einen festen Tarif und ermöglichen so einen schnellen Abschluss mit nur 6 technischen Risikofragen. Hier haben wir, aber auch unsere Kunden, in den letzten Jahren viel gelernt und unsere Fragen stellen mittlerweile in der Praxis nur noch selten eine Hürde dar.

Bei höheren Jahresumsätzen tarifieren wir individuell und nutzen ein mehrstufiges Risk-Assessment, dies reicht von einem 90 minütigen Onlineinterview bis zu einer Prüfung des Unternehmens vor Ort.

Wir stellen fest, dass sich gerade bei kleineren und mittleren Unternehmen die Wahrnehmung verändert. Cyberrisiken werden wahrgenommen und es wird aktiv Schutz gegen diese Risiken verlangt. Insofern blicken wir ausgesprochen optimistisch in das kommende Jahr.