In unserem letzten Blogbeitrag Wirtschaftsrisiko Cyber und der Versicherungsauftrag sind wir auf die Gefahrenlage eingegangen, in der sich Unternehmen im Allgemeinen und im Besonderen KMU`s aufgrund von Cyberrisiken befinden. Nun wollen wir schauen, was der Markt aktuell als Schutz für die „Burgen“ anbietet und in welcher Art und Weise dieser Schutz angeboten wird.
Cyberschutz wird aktuell nur von wenigen Versicherern angeboten (<20 in Deutschland). Das erscheint zunächst marktgerecht, da nur 10 % der Cyberversicherungen in Anspruch genommen werden. Den Prognosen nach werden Cyberversicherungen in Zukunft vermehrt nachgefragt. Die Anzahl der Anbieter von Cyberversicherungen wird wachsen. Auch Makler entwickeln spezifische Lösungen und Beratungsangebote. Das Cyber-Prämienvolumen von aktuell 30 Millionen Euro (2016) in Deutschland soll bis 2021 auf 300 Millionen Euro steigen. Das Versicherungsgeschäft ist aus ökonomischer Sicht von Netzwerkeffekten geprägt. Für Versicherer scheint sich immer noch die Chance zu bieten, sich als „First mover“ zu platzieren.
Aber wieso bieten aktuell nur wenige Versicherer Cyber-Policen an? Und ist es überhaupt möglich, das komplexe Cyberrisiko adäquat zu bewerten, um Unternehmen einen optimalen Schutz zu bieten?
Starten wir bei der grundlegenden Frage, was eine Cyber-Police als Schutz aktuell beinhaltet. Hier können zwei Modelle unterschieden werden:
Bestehende Produkte (z. B. Vermögensschaden-Haftpflichtversicherung) werden durch Cybergefahren ergänzt.
Eigens entwickelte Cyberversicherungsprodukte decken die Gefahren und Kosten.
Die Grafik zeigt, dass sich eine Stand-alone-Cyber-Police üblicherweise aus 2 Bausteinen zusammensetzt: Fremdschäden und Eigenschäden. Die Abdeckung dieser Schäden ist grundsätzlich für die Versicherer kein Problem. Die Haftungsstrecken werden jedoch meist noch stark limitiert.
Der Grund für die starke Limitierung und die noch geringe Zahl von Versicherern, die aktuell Cyber-Policen anbieten, liegt in dem bisher verwendeten Kapazitäts-/Kostenansatz und der damit verbundenen speziellen Bewertungsherausforderung: Eine kaum vorhandene Datenbasis (Schadendaten etc.) sowie mangelnde Erfahrung im Bereich IT-Security verhindern es, verlässliche Prognosen zu treffen.
Die Informationssammlung für eine Cyberdeckung erfolgt aktuell im Wesentlichen anhand von zwei Vorgehensweisen:
- Audits, durchgeführt von IT-Security-Spezialisten
- Risikofragebögen
Die Risikofragebögen der Versicherer grenzen in der Regel das Business (Geschäftsfeld, Umsatz, Land, Datentypen etc.) stark ein. Weichen Unternehmen von diesem festgelegten Standard ab, fallen sie komplett aus dem einfachen Fragebogenmodell raus. Für sie werden mindestens Einzelfallprüfungen notwendig, bis hin zu kompletten Ausschlüssen. Insbesondere KMU`s stecken nun in einem Dilemma: Eine gründlichere, notwendige und somit aufwändigere Prüfung der IT-Security (Audits) steht derzeit für Kunden und Versicherer im Konflikt zu den bisherigen Prämien.
Das Angebot an Cyberdeckungen ist also grundsätzlich vorhanden. Es ist jedoch zu bezweifeln, dass das Angebot zur Nachfrage passt.
Für Versicherer besteht die Herausforderung, durch passende Angebote in der Wachstumsphase eine notwendige kritische Masse zu erreichen. Der Erfolgsfaktor ist hierbei der Einsatz von effizienten und effektiven Verfahren zur Risikoerhebung und Risikobewertung.
Um hier ein wenig Licht ins Dunkel zu bringen, beleuchten wir in unserem nächsten Blogbeitrag die Stärken und Schwächen der Risikoerhebung mit Hilfe von Risikofragebögen.
Viele Grüße
Jonas Schwade
Jonas Schwade ist Diplom-Kaufmann und arbeitet bei PPI als Consultant im Bereich Versicherungen. Seine Schwerpunkte liegen im Bereich der Kommunalversicherungen sowie in allen gesundheitlich relevanten Fragen rund um das Thema Versicherung.