Cyber-Versicherung: Schutz bei Internet-Kriminalität

“Enorme Leistungsunterschiede”: Franke und Bornberg präsentiert erstes Cyber-Rating

Die Ratingagentur Franke und Bornberg hat erstmals ein Rating für gewerbliche Cyber-Policen im deutschen Markt vorgestellt. Untersucht wurden 35 Tarife und Bausteinlösungen von 28 Anbietern.

Im Markt für Cyberpolicen tummeln sich mittlerweile 28 Anbieter. 35 Tarife machen die Übersicht kaum leichter. Grund genug für Franke und Bornberg, sich die Angebote vorzunehmen.

Die Gefährdung durch Cyber-Risiken ist vielschichtig und entwickelt sich dynamisch. Mittlerweile richten sich die Angriffe gezielt gegen die Grundpfeiler der Informationstechnologie. Gleichzeitig schreitet die Digitalisierung und Vernetzung von IT-Systemen, Alltagsgegenständen und Produktionsanlagen voran. Die Kombination aus neuer Angriffsqualität und beschleunigter Digitalisierung hebt die Gefährdungslage auf ein neues Niveau.

Versicherungen versprechen Schutz. Am deutschen Markt sind Cyber-Versicherungen für Unternehmen seit gut acht Jahren präsent. In diesem Jahr brachten gleich mehrere Versicherer zeitgleich neue Produkte an den Start. Grund genug für das Analysehaus Franke und Bornberg, erstmals die Anbieter auf den Prüfstand zu stellen.

Was eine Cyberpolice abdeckt

Im Kern tritt die Cyber-Versicherung ein für Schäden des Versicherten (Eigenschaden) oder Dritter (Drittschaden) durch ungewollte Einwirkungen, Zugriffe und Nutzung von IT-Systemen des Versicherten sowie im Zuge des Cyber-Schadens entstehende Kosten. In der Drittschadendeckung gibt es – mehr oder weniger ausgeprägte – Deckungsüberschneidungen mit klassischen Betriebshaftpflicht-, Vermögensschadenhaftpflicht-, Produkthaftpflicht- und D&O-Haftpflichtversicherungen.

Im Bereich Eigenschäden entstehen teils weitreichende Überschneidungen mit Vertrauensschaden-Versicherungen, insbesondere bei zielgerichteten Hacker-Angriffen sowie Betrug und Diebstahl wie Phishing, Pharming oder Fake Presiden.

Keine Lust auf Finanzdienstleister

Vermittler und generell Finanzdienstleister, die sich gegen Cyber-Risiken absichern wollen, haben allerdings schlechte Karten. Sie gelten offenbar als gefahrenträchtig und nur wenige Versicherer sind bereit, ihnen Schutz zu bieten, was der Gewinnung von Vermittlern für den Vertrieb von Cyber-Produkten nicht gerade dienlich ist.

Ansonsten gibt es kaum Einschränkungen; eine Million Euro Versicherungsschutz ist, je nach Branche und Geschäftsmodell, schon für weniger als 1.000 Euro Jahresprämie erhältlich. Allerdings kennt die Assekuranz bei Cyber, wie auch in anderen Sparten, kein einheitliches Verständnis von KMU. Die Grenzlinie zwischen Gewerbe- und Industriebetrieben verläuft zwischen fünf und 50 Millionen Euro Jahresumsatz.

Der Deckungsumfang unterscheidet sich von Versicherer zu Versicherer erheblich, konstatiert Michael Franke, geschäftsführender Gesellschafter der Franke und Bornberg Research GmbH: „Wir beobachten deutliche Unterschiede in Aufbau und Umfang der Cyber-Bedingungen. Vom großen Komplettpaket über Baukastensysteme bis hin zu eng gefassten Kern-Deckungen ist alles vertreten.

Orientierung dringend gesucht

Was der eine Versicherer über eine Rechtsschutzversicherung löst, die an den Cyber-Hauptvertrag angedockt wird, webt der andere in Cyber-Drittschadendeckung und Krisen-Dienstleistungen ein. Die Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen können gravierend sein. Unser Rating bietet erstmals Orientierung in diesem jungen und dynamischen Markt.“

Noch kann von Standards keine Rede sein, wie Franke am Beispiel der „versicherten Gefahren“ zeigt. Es herrsche eine fast babylonische Sprachverwirrung. Versicherer verwenden unterschiedlichste Begriffe, die sie mehr oder weniger klar definieren. Als versicherte Gefahren werden genannt: „Netzwerksicherheitsverletzung“, „IT-Sicherheitsverletzung“, “Hacker-Angriff“,„Cyber-Angriff“, „Cyber-Einbruch“, „Cyber-Attacke“, „Cyber-Rechtsverletzung“, „Cyber-Sicherheitsvorfall“.

In der Summe beschreiben die meisten Begriffe zwar einen ähnlichen Zustand, aber im Detail unterscheiden sie sich sehr – mit unabsehbaren Konsequenzen für Vermittler und Kunden. Ein anderes Thema, dasselbe Problem: die Cloud in Worte zu fassen und das mit der Nutzung von ausgelagerten IT-Prozessen einhergehende Risiko zu beschreiben. Kaum eine Definition gleicht der anderen, sofern es sie überhaupt gibt.

Neue Risiken, keine Erfahrung

Noch herrscht hohe Unsicherheit bei der Entwicklung einer für Kunden wirkungsvollen und für den Versicherer tragbaren Risikodeckung. Mangels Erfahrung entstehen die Bedingungen entweder auf der grünen Wiese (mit deutlichen Einflüssen der jeweils führenden Haftpflicht- oder TV-Sparte) oder durch Kopieren von US-Wordings. Der Blick zurück bietet keine Hilfe.

Auch wenn es eine Schadenhistorie gäbe, hätte sie, anders als beispielsweise in der Feuerversicherung, keine Aussagekraft für die Zukunft. Weil Versicherer die sich dynamisch entwickelnden Cyber-Risiken nicht einschätzen können, versuchen sie, das Risiko an vermeintlich besonders kritischen Stellen in den Bedingungen zu begrenzen.

Das Ergebnis ist nicht selten eine Mogelpackung, ergab die Analyse von Franke und Bornberg. So werben einige Angebote damit, den Cloud-Ausfall zu versichern.

Beim Blick ins Kleingedruckte zeigt sich jedoch, dass beispielsweise SaaS-Dienste (Software as a Service) ausgeschlossen oder nur DoS-Angriffe (Denial of Service = Nichtverfügbarkeit) auf den Cloud-Anbieter versichert sind. Zudem sublimitieren die meisten Anbieter Angriffe auf den Betreiber einer Cloud – und in deren Folge Betriebsunterbrechungsschäden beim Versicherungsnehmer – stark oder schließen diese Gefahr vom Versicherungsschutz gleich vollständig aus.

Wie findet man die richtige Deckung?

Vermittler stellt die Cyber-Versicherung vor eine anspruchsvollen Herausforderung: Sie müssen das Geschäftsmodell des Kunden (und nicht die Betriebsart wie in Sach/Haftpflicht) verstehen und in Verbindung mit dem technischen und organisatorischen Setup das tatsächliche Risiko ermitteln.

So ist das Cyber-Risiko einer lokalen Boutique völlig anders als das eines (auch kleinen) Onlinehändlers, auch wenn beide Kundendaten sammeln, Kreditkartendaten verarbeiten, ihre Daten und Systeme selbst betreiben oder vollständige durch Dritte betreiben lassen. Mit der Betriebsart „Handel – Einzelhandel – Textilien“ käme man nicht sehr weit.

Dann heißt es, die passende Deckung finden, Schwachstellen identifizieren und darüber ggf. verhandeln sowie diesen Prozess zur eigenen Enthaftung hinreichend dokumentieren. Das Cyber-Rating von Franke und Bornberg bietet Orientierung; dessen Analysetools unterstützen den Beratungsprozess und geben Vermittlern Sicherheit.

Cyber-Rating gibt Orientierung

Für das Ratingverfahren nutzt Franke und Bornberg ausschließlich selbst recherchierte Daten. Die Bewertungen stützen sich nur auf das, was in den rechtlich bindenden Unterlagen geregelt ist. Denn nur darauf können sich Versicherte im Ernstfall auch verlassen. Eine Besonderheit im Gewerbegeschäft ist, dass auf Nachfrage so gut wie alle Positionen verhandelbar sind.

Die Basis bilden die Haus-Wordings der Versicherer, inklusive standardisierter Klauselbögen und Sideletter. Untersucht wurden Kompaktprodukte, einzeln wählbare Leistungsbausteine sowie Zwischenformen inklusive aller angebotenen Bausteine/Optionen. (dr)

Vielen Dank an Cash.Online

Privathaftpflichtversicherung

Rechtsschutz-Versicherung