Cyber-Versicherung: aktueller Markt- und Produktüberblick

_{#1182604339 | ipopba | gettyimages.de}

Cyberangriffe treffen nicht nur Unternehmen schwer, auch Behörden und Gesundheitseinrichtungen bleiben davon nicht verschont. Diese verzeichneten 2019 zum Beispiel einen Anstieg von 66 Prozent bei Angriffen durch „Ransomware“, vielleicht eher bekannt als Erpressungstrojaner. Im Schnitt sind dabei Kosten von 1 Mill. US-Dollar angefallen[1], was bereits einen ersten Einblick auf das Ausmaß dieser Art von Schäden erlaubt. 

2020 hat sich die Lage noch weiter verschärft. So hat der Hiscox Cyber Readiness Report branchenübergreifend im Vergleich zum Vorjahr eine Verdopplung der durch Cyber-Angriffe und -Schäden verursachten Gesamtkosten festgestellt. Die Rede ist hier von 1,6 Mrd. Euro. [2] Dieser rasante Anstieg lässt sich unter anderem mit dem weiter voranschreitenden technischen Fortschritt begründen. Technologien wie Cloud-Lösungen oder künstliche Intelligenz erhöhen die Effizienz der Angriffe in Geschwindigkeit und Umfang. Die virtuellen Offensiven werden damit immer raffinierter und zielgerichteter. In der Kategorie Betrug und Fälschung sieht der Versicherer Munich Re insbesondere in den Bereichen Deep Fakes, Social Engineering, Phishing und Identitätsdiebstahl steigendes Gefahrenpotenzial. [3] Die zu Anfang genannte Ransomware gehört dabei zu den gängigsten Methoden – eingeschleuste Schadsoftware verschlüsselt die Daten des Opfers, sodass nicht mehr darauf zugegriffen werden kann. Als Lösegeld für die Herausgabe der Daten werden nicht selten fünfstellige Summen verlangt.[4] 

Aber das ist nicht die einzige Gefahrenquelle. Einer der aktuell wichtigsten und stetig wachsenden Trends bei Cyberkriminalität ist „Business Email Compromise“, kurz BEC. In gefälschten E-Mails oder Briefen wird zur Überweisung hoher Geldsummen aufgefordert, die Absender geben sich dabei meist als Teil der Unternehmensführung aus.[5] Und auch „Data Breach“, also klassischer Datendiebstahl und „Distributed Denial of Service“ (DDoS), bei dem die attackierten Server mit Datenmüll überschwemmt werden, spielen nach wie vor eine große und wachsende Rolle.

Steigende Cyberawareness führt zur Verstärkung regulatorischer Maßnahmen

Mit der wachsenden Bedrohung durch Cyberangriffe scheint aber erfreulicherweise auch die notwendige Bewegung in das Thema Cyberawareness zu kommen. Sowohl bei Kunden und Unternehmen als auch bei politischen Institutionen und nationalen wie internationalen Lieferketten ist ein zunehmendes Risikobewusstsein zu beobachten. In der Konsequenz werden regulatorische Maßnahmen für mehr Cybersicherheit gefordert und umgesetzt.

Entwicklung der Cyberversicherung auf dem deutschen Markt

Zu Cyberawareness gehört auch die Erkenntnis, dass entsprechende Absicherungen gegen Datendiebstahl und andere durch Hackerangriffe verursachte Schäden notwendig sind. In Deutschland gestaltet sich die Situation auf dem Versicherungsmarkt allerdings noch etwas schleppend. Derzeit bearbeiten etwa 40 bis 50 Anbieter den Markt mit einem Prämienvolumen von ca. 85 Mio. Euro (Stand Ende 2019).

Obwohl es zahlreiche Belege für die Notwendigkeit einer Cyberversicherung gibt, verläuft das Abschlussverhalten eher zögerlich. Die Ursachen dafür liegen zum einen an mangelndem Verständnis für Risiken und Deckungskonzepte, zum anderen an großem Vertrauen in eigene Schutzmaßnahmen und Technik. Hinzu kommt, dass Schäden und Ausmaß der Cyberattacken oftmals noch schwer vorstellbar sind, besonders wenn das eigene Unternehmen bisher noch nicht davon betroffen war. Marktprognosen gehen jedoch davon aus, dass sich der Kundenansturm in Deutschland noch entwickeln wird. So wird Studien zufolge für 2036 von einem Prämienvolumen zwischen 15 und 26 Mrd. Euro ausgegangen.[6] 

Dreiteilung der Kundengruppen

Auf dem deutschen Markt kann die Produktlandschaft der Cyberversicherung in drei Kundengruppen unterteilt und analysiert werden: Industrie, KMUs und Privatpersonen. Die Gruppen unterscheiden sich in erster Linie durch die verschiedenen Deckungslimits der Versicherung. Bei Privatpersonen belaufen sich diese auf 1.000 bis 15.000 Euro, KMUs stehen 10.000 bis 15 Mio. Euro zur Option und für die Industrie sind bis zu 25 Mio. Euro pro Versicherer möglich. Auch im Selbstbehalt bestehen Unterschiede. Während Industrie und KMUs einen Selbstbehalt für Drittschäden und eine Wartezeit für Betriebsunterbrechungen leisten müssen, fällt der bei Privatpersonen für gewöhnlich sehr klein aus.[7] 

Besonders das Gewerbe ist von Cyber-Kriminalität betroffen

Die Anzahl der Cyberangriffe auf das Gewerbe nimmt zu. Dass es sich dabei um eine ernstzunehmende Entwicklung und keine bloße Vermutung handelt, zeigt beispielsweise die Statistik des BKAs, welches alleine im letzten Jahr 100.514 Vorfälle registriert hat, ein Anstieg von 15 %. Die Gesamtschadenhöhe belief sich auf ca. 100 Mrd. Euro.[8] Unternehmen befinden sich folglich in einer nicht zu unterschätzenden Risikolage. Die Angriffe fokussieren sich insbesondere auf drei Branchen: Energie, Finanzdienstleistung und das produzierende Gewerbe.[9] Warum gerade diese Bereiche so betroffen sind, liegt neben der Aussicht auf eine reiche Beute auch daran, dass sie sehr abhängig von Automatisierungsprozessen sind. Bei gleichzeitiger geringer Cyber-Resilienz eine fatale Situation für die Gewerbetreibenden. 

Weil die Professionalität der über globale Wertschöpfungsketten vernetzten Täter steigt, ist die Herausbildung eines neuen Risikobewusstseins für Unternehmen unabdingbar. Einer Umfrage von GDV und Forsa aus dem Frühjahr 2019 zufolge wurde bereits damals jedes vierte Unternehmen einmal oder mehrfach Opfer eines Cyberangriffs. Schäden traten dabei in der Regel in einer Unterbrechung des Betriebsablaufs und in Form von Kosten für die Aufklärung und Wiederherstellung der Daten auf. Bei jedem zehnten Angriff waren davon auch Betriebsgeheimnisse betroffen.[10] 

Neben naheliegenden Hackerangriffen gehört übrigens menschliches Versagen zu den größten Bedrohungen für die IT-Sicherheit im Unternehmen. Einer der wichtigsten Schutzmechanismen stellt deshalb die Sensibilisierung der Mitarbeiter mit entsprechenden Schulungen dar. Aber auch höhere Ausgaben für die IT-Sicherheit gehören zu notwendigen Maßnahmen, die von vielen Unternehmen auch bereits ergriffen wurden. 

Nicht nur die Häufigkeit und Präzision von Cyberangriffen hat sich in kurzer Zeit an die technologischen Neuerungen angepasst, auch die Vorgehensweise der Täter unterläuft Veränderungen. Während im Vorjahr noch E-Mails und allgemeine Hackerangriffe zu den Einfallstoren zählten, verlieren die beiden Vorgehensweisen 2020 etwas an Bedeutung. Stattdessen verlagert sich das Geschehen verstärkt auch auf DDoS-Attacken und weitere Einfallstore.[11] Die wachsende und sich wandelnde Vielzahl potentieller Schwachstellen in der IT-Sicherheit erschwert damit massiv die Entwicklung und Umsetzung von Verteidigungsstrategien auf der Unternehmensseite. 

Cyberversicherungen sind auch für private Schadenfälle sinnvoll

Eine Cyberversicherung ist nicht nur im Gewerbe, sondern auch für Privatkunden sinnvoll, oder, um es drastischer auszudrücken, notwendig, wie eine Umfrage von Bitkom (2019) zeigt. So hat jeder zweite der etwa 1.000 repräsentativen Internetnutzer bereits persönlich Erfahrung mit kriminellen Vorfällen im Internet gemacht. Zu den genannten Ereignissen zählten die illegale Nutzung der persönlichen Daten, Betrug bei Transaktionen, Missbrauch von Kontodaten aber auch verbale und sexuelle Übergriffe.[12] 

Private Cyberversicherungen sind durch drei grundlegende Produktbausteine gekennzeichnet: Vermögenschäden, persönliche Risiken aus der Nutzung des Internets und Rechtsschutz.

Eine Absicherung gegen Vermögenschäden ist besonders ratsam bei Käufen oder Verkäufen von Produkten im Internet. Die Versicherung greift üblicherweise im Fall von Kreditkartenmissbrauch oder anderweitigen finanziellen Schäden. Manche Anbieter decken ergänzend dazu auch Kosten für eine Rettung der betroffenen Daten ab. Im zweiten Produktbaustein geht es um die Absicherung der persönlichen Integrität des Versicherungsnehmers. Übernommen werden diesbezüglich Maßnahmen wie Monitoring und die Löschung der reputationsschädigenden Inhalte aber auch eine psychologische Beratung. Auch Rechtsschutzexperten haben sich mit dem Risiko durch Hackerangriffe und Co. auseinandergesetzt und erkannt, dass das Angebot von speziellen Cyber-Bausteinen für Schadenersatz zielführend ist. Diese gelten für im Internet abgeschlossene Verträge, Unterlassungsansprüche bei Urheberrechtsverstößen und auch im Arbeitsrechtsschutz, falls der Auslöser ein Beitrag im Internet war. 

Soviel zu der aktuellen Ausgestaltung der privaten Cyberversicherungen. Wie sieht es aber mit den Anforderungen und Wünschen dazu auf Seite der Kunden aus? Eine Befragung von Swiss Re zur Art der Versicherung hat gezeigt, dass 62 Prozent der Befragten eine all-in-one-Lösung gegenüber einem modularen Aufbau bevorzugen. In Puncto Versicherungsform hat die Option eines Add-ons zu anderen Produkten mit 63 Prozent einen höheren Zuspruch als ein Stand-alone Produkt.[13] 

Insgesamt lässt sich für die Cyberversicherung im privaten Sektor festhalten, dass die Kunden neben einer finanziellen Schadenskompensation Wert auf ergänzende Assistance-Leistungen legen und das Produkt hauptsächlich online erwerben möchten. Die Marktsituation ist derzeit noch ausbaufähig, es konkurrieren gerade einmal ca. 15 Anbieter. Bis die private Cyberversicherung zum Massenprodukt geworden ist, wird es allerdings noch eine Weile dauern. Prognosen gehen aber davon aus, dass zumindest auf dem globalen Markt bis 2025 ein Prämienvolumen zwischen 1,6 und 3,1 Mrd. US-Dollar entstehen wird. 

Fazit 

Wie die beschriebenen Perspektiven auf das Thema Cyberversicherung gezeigt haben, ist es noch ein gutes Stück, bis das Produkt zur Massenware wird ­­– sowohl im gewerblichen als auch im privaten Sektor. Zumindest scheint den Kunden angesichts der steigenden und raffinierter werdenden Cyberangriffe durch DDoS und Co. die Dringlichkeit eines solchen Schutzes bewusst zu werden. So ist in dem Markt ein stetiges Wachstum zu erwarten, welches Versicherungsanbieter für sich nutzen sollten, indem sie damit beginnen, ihre Policen entsprechend anzupassen oder neue, kundenzentrierte Lösungen zu entwickeln.

 Quellen:

[1] https://www.munichre.com/topics-online/de/digitalisation/cyber/cyberversicherung-risiken-und-trends-2020/_jcr_content/root/maincontent/contentarea_881756375/responsivegrid/responsivegridcolumn/mr_image_821695504.img.png/1583400753753.png

[2] https://www.hiscoxgroup.com/sites/group/files/documents/2020-06/Hiscox-Cyber-Readiness-Report-2020.pdf

[3] https://www.munichre.com/topics-online/de/digitalisation/cyber/cyberversicherung-risiken-und-trends-2020/_jcr_content/root/maincontent/contentarea_881756375/responsivegrid/responsivegridcolumn/mr_image_821695504.img.png/1583400753753.png

[4] https://blog.emsisoft.com/de/35751/bericht-die-laenderspezifischen-kosten-fuer-ransomware-2020/

[5] https://www.zdnet.de/88382400/bec-wird-gefaehrlicher/

[6] https://www.procontra-online.de/artikel/date/2020/05/cyber-versicherung-das-lange-warten-auf-den-kunden/

[7] Alte Leipziger/Swiss Re, Vortrag auf der Fachkonferenz Cybersicherung am 21./22. Januar 2020 in Leipzig

[8] https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2020/Presse2020/200930_pmBLBCybercrime.html

[9] https://www.hiscox.de/wp-content/uploads/2020/06/Hiscox-Cyber-Readiness-Report-2020_German.pdf

[10] https://www.gdv.de/resource/blob/48506/a1193bc12647d526f75da3376517ad06/cyberrisiken-im-mittelstand-2019-pdf-data.pdf

[11] https://www.gdv.de/resource/blob/61466/0456901217b39a5893bc6829b8d7d156/report-cyberrisiken-im-mittelstand-2020-data.pdf

[12] https://www.bitkom.org/sites/default/files/styles/media_teaser_large/public/2019-01/190108_Opfer_von_Cyberkriminalit%C3%A4t_PG.png?itok=z60_Vah9

[13] https://www.swissre.com/dam/jcr:68e4d8fb-509c-4182-a219-c803f7d23af1/ZRH-18-00632-P1_Personal_cyber_insurance_Publication_WEB.pdf