Die Erwartungen der Unternehmen an den Cyberschutz sind jedenfalls hoch: „Dazu zählt, dass der Versicherer im Schadenfall sehr gut erreichbar ist, schnell reagiert und im Krisenmanagement zielführend und effektiv unterstützt. Besonders gefragt ist hier vor allem ein Handlungsleitfaden, der aufzeigt, welche Schritte es im Ernstfall zu beachten gilt, wie beispielsweise das Informieren von Behörden“, sagt Christine Schönteich, Mitglied der Geschäftsführung des Maklerpools Fonds Finanz. Die HDI-Cyber-Studie bestätigt ihre Ausführungen. „Vor allem die schnelle Reaktion und Hilfe im Krisenfall ist gewünscht“, sagt HDI-Mann Brokamp.
„Die Top-Antworten mit jeweils über 60 Prozent Nennung waren die Durchführung und Kostenübernahme bei Daten- und Systemwiederherstellung, sowie rechtliche Unterstützung bei Datenschutzvorfällen. Ebenso wichtig ist den Unternehmen die permanent erreichbare Schaden-Hotline mit Soforthilfe. Darüber hinaus sind auch das Bedingungswerk, also ein weitgehender Deckungsumfang und die Präventionsdienstleistungen von Bedeutung“, so der Experte. Eine zunehmende Rolle spielen zudem Präventionsdienstleistungen. Sie sollen verhindern, dass überhaupt ein Schaden eintritt. „Eine gute Cyberversicherung besteht daher aus drei Bausteinen: Geeigneten Präventionsdienstleistungen, guten Versicherungsbedingungen und einem Krisenmanagement“, so Brokamp weiter.
Welche Cybersicherheitslösungen sind am Markt
Die Zurich bietet in Deutschland seit 2014 Cyberversicherung für Großkonzerne an. „Seit 2019 haben wir mit dem „Zurich Firmen CyberSchutz“ ein speziell auf kleine und mittelgroße Unternehmen ausgerichtetes Produkt im Angebot, während das Produkt „Zurich Cyber Solution“ die Bedürfnisse der größeren und international tätigen Unternehmen aufgreift. Basis der Tarifkalkulation bilden Größe und Branche des zu versichernden Unternehmens sowie Selbstbehalt und gewünschte Versicherungssumme. Hinzu kommt dann die Bewertung der individuellen Risikomerkmale des Interessenten, wie Vorschäden und Sicherheits-Standard“, erklärt Zurich-Cyber-Expertin Berger.
HDI ist 2016 mit Cyberversicherungen für KMU an den Markt gegangen „Zunächst für knapp zwei Jahre als sogenannte Annex-Baustein in Verbindung mit den Versicherungsprodukten der anderen Sparten. 2018 haben wir entschieden, das Produkt als standalone Variante anzubieten wird“, sagt Brokamp. Die Lösung enthält unter anderem kostenfreie Präventionsdienstleistungen von Perseus. „Wir wollen damit insbesondere KMU bis 20 Millionen Euro Jahresumsatz ansprechen. Für diese Kunden ist der Ansatz ideal, da im Schadenfall meistens keine eigenen IT-Security-Experten oder Forensiker im Unternehmen arbeiten und denen wir mit unserem Experten-Netzwerk wertvolle Hilfe bieten. Außerdem sind die Präventionsdienstleistungen perfekt auf den Gewerbetreibenden abgestimmt“, führt Brokamp weiter aus.
Die Prämien sind von Branche, Umsatz und dem gewählten Deckungsumfang abhängig. „Insbesondere die Versicherungssumme ist hier maßgeblich. Da im Antragsmodell Versicherungssummen von 100.000 Euro bis eine Millionen Euro gewählt werden, kann man die Fragen nach den Kosten nicht pauschal beantworten“, sagt Brokamp. Der günstigste Cyberversicherungstarif kostet bei HDI 312 Euro.
Die Gothaer Allgemeine offeriert seit Januar 2017 Cyberversicherungen für gewerbliche Kunden. Neben einem standardisierten Produkt für Gewerbekunden mit bis zu Millionen Euro Umsatz wird auch ein Produkt für Industriekunden mit größeren Umsätzen angeboten. „Das Produkt für Gewerbekunden basiert auf einem Antragsmodell und ist mit der Beantwortung weniger Fragen zur organisatorischen und technischen Informationssicherheit einfach abschließbar. Es schließt nahezu sämtliche Bausteine des Industrieprodukts in einem standardisierten Rahmen mit ein“, erklärt Schulze.
Das Industrieprodukt lässt sich hingegen bei den Deckungsinhalten individuell anpassen. Beide Produkte enthalten neben diversen Dritt- und Eigenschadenkomponenten umfangreiche Assistance-Dienstleistungen, die den Kunden rund um die Uhr zur Verfügung stehen. Anfang Juli wurde das Produktangebot um ein vereinfachtes Antragsmodell für Industrieunternehmen mit einem Umsatz zwischen zehn bis 50 Millionen Euro erweitert.
Cybersektor – der sich am schnellsten wandelnde Sektor
Der Cyber-Sektor ist laut Schönteich einer der sich am schnellsten wandelnden Bereiche weltweit und die Versicherer passen ihre Konzepte stetig an. Aktuell sind 55 Versicherer mit Cybertarifen am Markt. „Generell sind die Tarifstrukturen sehr unterschiedlich und zugleich erklärungsbedürftig. Es besteht ein ziemlicher Tarif-Wirrwar am Markt. Zudem hakt es häufig bei der Beschreibung der versicherten und nicht-versicherten Leistung. Darüber hinaus fehlt es an beschreibenden Beispielen“, bewertet Arndt von Eicken, Managing Analyst bei Assekurata die Angebote am Markt.
Die Kölner Rating-Agentur hat den Cyberversicherung-Markt 2022 unter die Lupe genommen: „In unserer aktuellen Untersuchung, in der wir 28 Cybertarife geprüft haben, konnten wir hinsichtlich der Versicherungsbedingungen grundsätzlich eine positive Entwicklung erkennen. Einige Tarife haben sich gegenüber der ersten Untersuchung Anfang 2021 deutlich verbessert und einige zusätzliche Leistungsbausteine integriert. Aufgrund der Komplexität und der teilweise komplizierten Formulierungen existieren zahlreiche Unterschiede in der Ausgestaltung der Allgemeinen Versicherungsbedingungen (AVB). Die geht einher mit zum Teil größeren Mehr- oder Minderleistungen gegenüber den GDV-Empfehlungen“, sagt von Eicken.
Der Krieg befeuert die Sorgen
Zudem befeuere der Krieg zwischen Russland und der Ukraine die Sorgen vor Cyberangriffen auch in Deutschland. „Aktuell stellt sich Frage, ob Versicherer bei Cyberangriffen mit staatlicher Beteiligung die Versicherungsleistungen aus Cyberpolicen unter Berufung auf den sogenannten Kriegsausschluss ablehnen können. Jedoch ist es fraglich, ob im Falle einer ausländischen Cyberattacke von staatlicher Seite auf Ziele in Deutschland der Kriegsausschluss zur Anwendung kommen kann, da in Deutschland kein Krieg herrscht und das Land sich auch nicht an einem Krieg beteiligt. Zudem fehlt es in Deutschland an der für Kriegshandlungen typischen physischen Gewalt“, sagt von Eicken.
Der Versicherungsmarktplatz Lloyd’s of London hat Ende 2021 neue Klauseln veröffentlicht, die einen Leistungsausschluss bei staatlich beauftragten Cyberangriffen regeln. Diese neuen Klauseln erweitern den bei Krieg geltenden Leistungsausschluss zugunsten des Versicherers auch auf sogenannte „Cyber-Operationen“. „Es ist anzunehmen, dass sich zukünftig auch deutsche Versicherer hieran orientieren und ihre Bedingungen entsprechend anpassen werden, um das Risiko von Schäden zu reduzieren“, so von Eicken.
Allerdings sei noch unklar, wie rechtssicher diese neuen Klauseln sind. Grundsätzlich trage der Versicherer die Beweislast für das Vorliegen eines Leistungsausschlusses, das heißt er muss den Nachweis erbringen, dass eine Cyberattacke von einem Staat ausgeführt beziehungsweise beauftragt wurde. Vor dem Hintergrund rät von Eicken, beim Abschluss von Cyberversicherungsverträgen aktuell auch darauf zu achten, dass die vereinbarte Kriegsklausel keine über die GDV-Empfehlungen hinausreichenden Einschränkungen enthalte.