Die massiv gewachsene Zahl an Cyberangriffen auf Unternehmen führt zu immer aufwendigeren Verhandlungen bei der Absicherung von Risiken.

München Continental-Chef Nikolai Setzer weiß, wie es sich anfühlt, wenn Einbrecher einsteigen – und zwar durch die Datenleitung. Ende August attackierten Hacker den Autozulieferer und stahlen jede Menge Daten, die nun für 50 Millionen Dollar im Darknet zum Kauf angeboten werden. Inzwischen werden auch namhafte Firmen immer häufiger Opfer solcher Cyberattacken.

Die Gefahr von Angriffen aus dem Netz ist auch in Deutschland deutlich gestiegen. Eigentlich müsste also auch der Versicherungsschutz gegen solche Attacken entsprechend attraktiver geworden sein. Doch die Versicherungsbranche, die noch vor wenigen Jahren Cyberpolicen als großen Hoffnungsträger für einträgliches Geschäft ausgemacht hatte, blickt inzwischen ernüchtert auf das Segment.

Denn nicht nur viele Firmen stehen den Überfällen durch das Netz hilflos gegenüber – auch viele Assekuranzen haben sich mit dem Geschäft verkalkuliert. Hauptgrund dafür ist eine Fülle an Schäden, wie sie Versicherer eher selten erleben.

Fast 80 Prozent der Kunden, die eine Cyberversicherung abgeschlossen haben, haben bereits Ansprüche aus Schäden geltend gemacht. Mehr als die Hälfte davon mehrfach. Das ergab eine jüngst veröffentlichte Umfrage des Forschungsinstituts Censuswide unter 300 IT-Experten im Auftrag des Sicherheitsdienstleisters Delinea.

Das sorgt für Frust bei den Versicherern – und Unverständnis bei Kunden über deutlich steigende Prämien. Die Policen seien inzwischen weitgehend unattraktiv geworden, klagte vor wenigen Tagen in kleiner Runde ein Dax-40-Finanzchef, der namentlich nicht genannt werden wollte.

Kontroverse Verhandlungen

Die massiv gewachsene Zahl an Cyberangriffen auf Unternehmen führt zu immer aufwendigeren Verhandlungen bei der Absicherung von Risiken. Es geht inzwischen um deutlich höhere Prämien bei geringerem Schutz, um gestiegene Selbstbehalte und eine zunehmende Zahl von Ausnahmen in den Verträgen.

Versicherer und ihre Firmenkunden stehen sich zunehmend kritischer gegenüber. Interne Beobachter sprechen inzwischen teils gar von massiven Auseinandersetzungen. Immerhin steht vereinzelt eine Verdreifachung der bisherigen Prämien zur Verhandlung, wie Makler berichten.

Die Branche steht unter Druck. Denn Geld verdienen die Assekuranzen mit dem vergleichsweise neuen Geschäft – anders als erhofft – derzeit branchenweit nicht. Einem Euro an Einnahmen standen zuletzt Ausgaben in Höhe von 1,24 Euro gegenüber, rechnete jüngst der Branchenverband GDV vor.

In einem solchen Szenario nützt es auch wenig, dass die Zahl der Gewerbekunden, die im vergangenen Jahr eine Cyberversicherung in Deutschland abgeschlossen haben, um rund ein Viertel auf 243.000 gestiegen ist. Denn gleichzeitig ist die Zahl der Schadenfälle um 56 Prozent auf 3700 gewachsen – mit zunehmender Tendenz in diesem Jahr, wie sich bereits zeigt.

Auch Rückversicherer werden vorsichtiger

Die Versicherer versuchen nun nachzusteuern. Intern bewerten sie die massiv gewachsenen Risiken neu und überprüfen Altverträge darauf, ob eine Anpassung nötig ist. Im Neugeschäft bemüht sich die Branche zugleich, künftige Gefahren zu antizipieren – und mehr Risiken an die Rückversicherer, die als Versicherer der Versicherer fungieren, abzugeben.

Doch auch die sind vorsichtiger geworden. So hält der deutsche Marktführer Munich Re die sogenannten Limits, mit denen die Branche das maximal versicherte Risiko angibt, klein. Für die Unternehmenskunden bedeutet das faktisch, dass sie weniger Cyberrisiken absichern können als bislang.

Lagen die Risikogrenzen noch vor Kurzem bei Schäden von zehn Millionen Euro, so sind heute fünf Millionen Euro die Regel. Kommt es dann zu Einzelschäden durch Hackerangriffe, die darüberliegen, dann bekommen die Unternehmen nur einen Teil des Schadens vom Versicherer ersetzt.

Selbstbehalte werden deutlich erhöht

Selbst diese Summen fließen aber meist nicht vollständig. Denn ein anderes derzeit oft benutztes Mittel sind deutlich steigende Selbstbehalte, bei denen im Schadenfall ein Teil der Kosten vom Kunden selbst zu tragen ist. Gerade kleinere Cyberschäden, die noch immer die Mehrzahl darstellen, müssen Firmenkunden immer öfter selbst ganz oder zu einem hohen Teil zahlen. Zugleich werden mehr und mehr Hauptschadenursachen in den Versicherungsbedingungen ausgeschlossen.

Als Paradebeispiel gelten derzeit die Schäden durch sogenannte Ransomware, also die Erpressung von Lösegeld durch das illegale Eindringen in Systeme, die kaum mehr versichert werden. Auch die Kosten der Datenwiederherstellung werden durch die Policen immer seltener abgedeckt, heißt es in der Censuswide-Umfrage.

Da die Bedrohungslage jedoch wächst, akzeptieren viele Kunden – wenn auch zähneknirschend – inzwischen die deutlich gestiegenen Prämien. Denn Fälle wie der von Conti zeigen, dass der Schaden schnell Millionen-Euro-Dimensionen erreichen kann.

Art Gilliland, Vorstandschef des Sicherheitsdienstleisters Delinea, betrachtet Cyberversicherungen als gute Möglichkeit, die Kosten durch potenzielle Sicherheitsverletzungen zu senken. „Das führt dazu, dass sich der Großteil der Unternehmen heute darum reißt, eine Police zu erwerben oder zu erneuern“, beobachtet er.

Für die Versicherer sind das gute Nachrichten – trotz allem. Nach Erhebungen von Delinea haben 93 Prozent der zuständigen IT-Professionals in Unternehmen das erforderliche Budget für eine Cyberpolice von ihren Vorgesetzten inzwischen genehmigt bekommen.

