Herr Sieverding, wir hatten die Corona-Pandemie und sehen uns nun mit dem Ukraine-Krieg, dem Nahost-Konflikt und Cyberattacken aus China konfrontiert. Und obwohl das Bundeskriminalamt warnt, schätzt die europäische Versicherungsaufsicht EIOPA das Cyberrisko derzeit als gering ein. Ist es das wirklich?
Sieverding: Zur konkreten Einschätzung der EIOPA kann ich mich nicht äußern. Wir nehmen generell allerdings eine Zuspitzung der Cyber-Gefahrenlage bei gleichzeitig steigender Abhängigkeit der Unternehmen von ihren IT-Systemen wahr. Wie zu Beginn des Ukraine-Kriegs lassen sich gewisse Schwankungen beziehungsweise Plateaubildungen ableiten. Der klare Trend zeigt jedoch nach oben.
Die Gesamtschäden durch Cyberattacken beziffert Bitkom für 2023 auf über 148 Milliarden Euro. Betroffen waren rund 60 Prozent aller Firmen. Wie relevant ist das Thema Cybersicherheit derzeit für Unternehmen?
Sieverding: Cyber-Sicherheit ist das Top 1 Unternehmensrisiko. Diese Erkenntnis setzt sich immer weiter durch. Viele Unternehmen haben das Verstanden und ihre Hausaufgaben gemacht. Einige wenige haben allerdings noch wichtige Schritte vor sich. Entscheidend ist, dass die Basismaßnahmen für ein ausreichendes Schutzniveau erfüllt werden. Diese Anforderungen, etwa an Endgerätesicherheit, Rechtekonzepte, Patchmanagement und Datensicherung sind über die letzten Jahre ziemlich konstant geblieben.
Wenn ein Unternehmen das Thema Digitalisierung konsequent zu Ende denkt, müsste auch die Cybersicherheit ein essenzieller, strategischer Bestandteil des digitalen Umbaus sein. Als Außenstehender gewinnt man den Eindruck, dass dies immer noch viel zu wenig passiert. Ist das so?
Sieverding: Das sehen wir auch so. Die Vorteile der Digitalisierung und auch durch künstliche Intelligent sind immens. Es wäre fahrlässig diese als Unternehmen nicht zu nutzen und die technologische Transformation zu forcieren Mit der zunehmenden Nutzung kommt aber auch eine immer stärkere Abhängigkeit und mit dieser Abhängigkeit werden Cyberrisiken natürlich immer relevanter. Das muss sich jeder vergegenwärtigen. Genau hier sehen wir noch Nachholbedarf bei vielen Unternehmen. Bei technologischem Fortschritt müssen die aufkommenden Risiken direkt mitgedacht und abgesichert werden. Dann steht der Effizienzsteigerung und dem Wachstum nichts mehr im Wege.
Wie entwickelt sich derzeit die Nachfrage nach Cyberversicherungen?
Sieverding: Die Nachfrage entwickelt sich weiterhin sehr dynamisch. Die BaFin berichtet ein Prämienwachstum für die Cyber-Sparte von mehr als 50 Prozent jährlich. Die Versicherungsabteilungen der Großkonzerne haben sich bereits alle mit dem Thema Cyberversicherung beschäftigt. Wir merken, dass das Thema nun immer stärker auf die Agenda der Unternehmer im Mittelstand drängt und auch langsam in der Breite bei den Kleinunternehmen ankommt. Hier besteht noch ein großes Nachholpotential. Das merken wir vor allem daran, dass wir immer stärker proaktiv von Unternehmen auf das Thema angesprochen werden, die sich von sich aus nach einer Absicherung suchen.
Der GDV hatte im Februar seine neue Musterbedingungen vorgestellt. War die Anpassung notwendig?
Sieverding: Ja, fast sieben Jahre nach der Veröffentlichung der ersten GDV Cyber-Musterbedingungen war eine Überarbeitung dringend geboten. Wir beobachten, dass die Versicherer durch die dynamische Marktentwicklung ihre Bedingungswerke im Durchschnitt etwa alle drei Jahre überarbeiten. So gesehen hat der GDV eine Produktgeneration übersprungen und im Verhältnis zu anderen Aktualisierungen vergleichsweise wenig Änderungen vorgenommen.
Hier würde ich mir mehr Mut vom GDV wünschen, auch wenn sich die Musterbedingungen auch so zu einer guten Referenz entwickelt haben und helfen die enorme Unterschiedlichkeit der aktuellen Versicherungsbedingungen zu konsolidieren und ein einheitliches Marktverständnis zu formulieren. Was in einer Cyberversicherung drinsteckt und versichert ist, unterscheidet sich heute noch extrem. Hier ist Vorsicht geboten und wir empfehlen Hilfe von Spezialisten in Anspruch zu nehmen, die für sich am besten passende Deckung zu finden.
Wie entwickeln sich derzeit die Prämien am Markt und stimmt es, dass teilweise bis zu 50 Prozent der Firmen bei der Risikovoranfrage abgelehnt werden?
Sieverding: Das kommt ganz auf das Segment an. Der Aufruhr mit Sanierungen und starken Prämiensteigerungen im Industriesegment haben sich seit dem letzten Jahr wieder beruhigt. Dieser Trens hält auch in 2024 weiter an. Im KMU-Markt besteht eigentlich dauerhaft ein so starker Wettbewerb unter den Anbietern, dass Sanierungsbemühungen einzelner Versicherer bisher verpufft sind. Bevor ein Unternehmen negative Vertragsänderungen wie Prämienerhöhungen von seinem Bestandsversicherer akzeptiert empfehlen wir sich vorher unbedingt einen aktuellen Marktüberblick zu verschaffen. Das spart in den meisten Fällen bares Geld. So hohe Ablehnungsqouten von 50 Prozent können vereinzelt vorkommen, sind aber nicht die Regel. Spezialisierte Vermittler kennen den Risikoappetit der Anbieter und können den IT-Reifegrad des Risikos vorab so gut einschätzen, dass klare Ablehnungen vermeidbar sind.
Können Sie beziffern, wie hoch die durchschnittliche Schadensumme bei einem Cyberangriff liegt? Und wie lange dauert es, ein attackiertes Unternehmen wieder in den Betriebsmodus zu bringen?
Sieverding: Das ist natürlich höchst individuell und hängt vor allem von der Unternehmensgröße ab. Eine von uns beauftragte repräsentative Umfrage unter kleineren mittelständischen Unternehmen kam auf eine durchschnittliche Schadensumme von knapp 200.000 Euro. Bei größeren mittelständischen Unternehmen wird dieser Wert schnell im mittleren siebenstelligen Bereich liegen. Der Wiederanlauf des IT-Systems ist eine sehr komplexe Herausforderung. In der Regel dauert es sechs bis acht Wochen, um wieder in den Regelbetrieb zu kommen. Wobei wirklich kritische Anwendungen natürlich schneller wiederhergestellt werden und einzelne nicht priorisierte Spezialanwendungen teilweise auch nach einem halben Jahr noch nicht wieder zum Laufen gebracht wurden.
Welche Tendenzen sehen Sie bei der Produktentwicklung im Markt?
Sieverding: Aktuell sehen wir vor allem eine Konsolidierung in Sachen Kriegsausschluss. Die meisten KMU-Produkte haben bisher noch einen generischen Kriegsausschluss, wie aus anderen Sparten bekannt und üblich. In der Industrieversicherung hat sich ein spezieller Lloyds Cyber-Kriegsausschluss der auch Cyber-Operationen ausschließt durchgesetzt. Die neuen GDV-Musterbedingungen schlagen nun einen ausgeweiteten Cyber-Kriegsausschluss vor, der zusätzlich staatliche Angriffe ausschließt. Erste KMU-Anbieter haben diesen Vorschlag nun übernommen.
Worauf sollte bei einer guten Cyber-Versicherung geachtet werden? Was sind die wichtigsten Assets?
Sieverding: In der Beratungspraxis zeichnen wir gerne ein Dreieck zwischen Preis, Leistung und Risikofragen in dem der Versicherungsschutz optimiert werden kann. Am einfachsten vergleichbar ist dabei natürlich der Preis. Aber hier ist Vorsicht geboten, da sich die Versicherungsbedingungen und damit die Leistungen erheblich unterscheiden. Zur Veranschaulichung: Die Bedingungswerke sind zwischen 13 und 46 Seiten lang und folgen keinem einheitlichen Aufbau. Ein manueller Vergleich ist daher kaum leistbar bzw. extrem mühsam und sehr zeitaufwendig. Daher haben wir ein Rating entwickelt, dass alle führenden Angebote anhand von 12 Kategorien und 125 Merkmalen vereinheitlicht und in einem volldigitalen Marktvergleich entsprechend gewichtet und intuitiv vergleichbar macht.
Als dritter wichtiger Aspekt kommen die Risikofragen ins Spiel. Cyberversicherer setzen heute noch extrem unterschiedliche Anforderungen an die IT-Mindeststandards. So kommt es vor, dass Unternehmen mit ihrem aktuellen IT-Setting problemlos bei einem Anbieter versicherbar sind, viele andere Anbieter aber ablehnen. Von Kunden am häufigsten nachgefragt sind die Komponenten Lösegeld, Cloud-Ausfall, sowie Diebstahl & Betrug. Das wichtigste Asset aus meiner Sicht ist ein genauer Blick auf die Obliegenheiten, da es in Kombination mit der Gefahrerhöhung und den vorvertraglichen Risikoangaben hier zu den meisten Deckungsstreitigkeiten kommt.