Cyber-Versicherung: neue Ansätze gegen IT-Risiken

Die Ausweitung der Risikoeigentragung steht bei vielen Unternehmen derzeit hoch im Kurs. Auslöser ist zum einen die seit zwei bis drei Jahren andauernde signifikante Prämienerhöhung in der Sach-Sparte, die Unternehmen selbst mit geringen Schäden in der Vergangenheit hart getroffen hat.

Zum anderen steigen Cyber-Versicherungsprämien bei gleichzeitig höheren Selbstbehalten; in einzelnen Gefahren wie Cyber-Erpressung werden Limite sogar reduziert. Daher nehmen gerade kapitalstarke Unternehmen auch in der Cyber-Sparte Eigentragungslösungen in ihren Fokus. Wir zeigen, wie angesichts verhärteter Märkte Risikofinanzierung und Risikotransfer bei innovativen Absicherungsstrukturen Hand in Hand gehen können.

Cyber-Angriffe sind ein Frequenzschadenproblem

Zum Jahresende 2021 meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) „Alarmstufe rot“. Eine kritische Schwachstelle in der gängigen Java-Bibliothek Log4j zwang viele Unternehmen zu schnellem Handeln: Die (vorübergehende) Abschaltung von Java-basierten Internetanwendungen bzw. deren Aktualisierung, sofern die Updates verfügbar waren. Auch große Online-Unternehmen wie Amazon und Apple waren zur Weihnachtszeit betroffen.

Es ist ein Beleg für die deutliche Professionalisierung der Cyber-Kriminellen, die zunehmende digitale Vernetzung und die weitere Verbreitung gravierender Schwachstellen in IT-Produkten. Für Unternehmen ergibt sich die Konsequenz: Sie müssen lernen, mit einer allgegenwärtigen Cyber-Gefahr umzugehen. Jetzt.

Denn Schäden aus Cyber-Angriffen mutierten in den letzten Jahren von einem seltenen, abstrakten Risiko zu einem Frequenzschadenproblem, das bereits neun von zehn Unternehmen in Deutschland betrifft. Die Studie des Branchenverbands Bitkom aus dem Sommer 2021 rechnet in Deutschland mit jährlichen Schäden von rund 223 Mrd. EUR für Unternehmen. Das ist in etwa das Hundertfache im Vergleich zu den jährlich versicherten Transportschäden. Ein Risiko, das für viele Unternehmen noch griffiger ist als Cyber.

Geringer Risikoappetit auf Versichererseite

Problematisch ist vor allem für die Versicherer die hohe Kumulgefahr bei Cyber-Schäden. Meist ist nicht nur ein einziges Unternehmen von einem Schaden betroffen, sondern eine Vielzahl, zum Beispiel aufgrund ähnlicher Schwachstellen in den IT-Systemen.

Versicherer nutzen deshalb bei Cyber-Gefahren auch moderne, aber nicht gerade günstige Rückversicherungsstrukturen, die ihren Eigenbehalt bei Groß- bzw. Kumulschäden begrenzen. Knapp die Hälfte der Cyber-Versicherungsprämien landet so bei Rückversicherern. Grundlegend kleine Deckungslimite je Versicherer – häufig zwischen nur fünf und zehn Millionen Euro – belegen den vorsichtigen Risikoappetit der Versicherer. Für viele kleinere Unternehmen reichen diese Deckungssummen heute noch aus, doch besonders der gehobene Mittelstand benötigt oft mehr als die zehn bis 20 Millionen Euro, die sich derzeit meist nur mit mehreren Versicherern als sogenanntes Konsortium darstellen lassen.

Wachsende Cyber-Gefahren

Die zunehmende Digitalisierung der Wertschöpfung deutscher Unternehmen führt in den kommenden Jahren allerdings zu einem wachsenden Absicherungsbedarf gegenüber Cyber-Risiken. Dominierten zu Beginn mögliche Drittschäden, zum Beispiel wegen abhandengekommener Kundendaten, verlagert sich der Fokus bei der Absicherung vermehrt auf den Eigenschaden, und hier besonders auf die Betriebsunterbrechung.

Anders als zum Beispiel bei direkten Feuerschäden, die räumlich auf einen Standort begrenzt bleiben, können Cyber-Angriffe sofort den Stillstand sämtlicher Produktions- und Logistikprozesse verursachen. Entsprechend hoch ist der finanzielle Schaden bereits nach wenigen Tagen.

Eigenfinanzierte, gestreckte Limite

Eine Möglichkeit zur Schließung der Lücke zwischen steigendem Absicherungswunsch der Unternehmen und geringen Kapazitäten auf Seiten der Versicherer ist die Nutzung von eigenfinanzierten, gestreckten Limits. Dabei bleibt die erste Deckungsstrecke nach einem obligatorischen Selbstbehalt bei einem oder mehreren Versicherern. Neben der Schadenregulierung bieten die Versicherer vor allem den Zugang zu professioneller IT-Forensik und ein Krisenmanagement, das mit Abschluss einer Cyber-Versicherung von den Unternehmen mit der Versicherungsprämie eingekauft wird.

Ein erhöhter Absicherungsbedarf von Unternehmen kann dann über die erste Deckungsstrecke mit einer Kombination aus Risikofinanzierung und Risikotransfer konzipiert werden. „So sind für Cyber-Risiken je nach Finanzkraft der Unternehmen Absicherungslösungen auch ab 50 Millionen Euro und höher möglich“, sagt Dr. Skorna. Zusätzlich können eingeschränkte Sublimite, wie etwa für Cyber-Erpressung, über Risikofinanzierung wieder erweitert werden.

Eine andere Möglichkeit spricht Unternehmen an, die sich derzeit ohnehin mit einer verstärkten Eigentragung von Risiken beschäftigen – angesichts steigender Prämien in vielen Sparten.
 

Vom Risiko-Pooling bis zur Captive-Lösung

Hier steht die mittel- bis langfristige Senkung der Gesamtrisikokosten im Zentrum der Überlegungen. Die Eigentragung von Risiken lohnt sich meist im unteren Segment der Deckungsstrecken, im sogenannten Frequenzschadenbereich. Doch zur Realisierung interessanter Einsparungen bedarf es eines gewissen Gesamtprämienvolumens. Bei substanzieller Eigentragung sind professionelles Risk Engineering und Risikomanagement wichtig. „Die nötige Größe kann durch Risiko-Pooling erreicht werden“, sagt Dr. Skorna. „Dabei wird das Cyber-Risiko zu traditionellen Risiken wie Haftpflicht oder Sach dazugenommen. Dann können alternative Risikotransferlösungen bis hin zur unternehmenseigenen Versicherungsgesellschaft, der Captive, lohnend sein.“ Neben Cyber-Risiken können hier auch in gewissen Grenzen Lieferketten- oder Supply-Chain-Risiken in eine Absicherungsstruktur integriert werden.

Den optimalen Umfang aus Eigentragung, Risikofinanzierung und Risikotransfer ermittelt Funk individuell für Unternehmen mittels einer Total-Cost-of-Insurance-Analyse bzw. einer Machbarkeitsstudie für Captive-Lösungen. Alternative Lösungen richten den Versicherungsschutz auch bei schwierigen Risiken wie Cyber passgenau auf die Anforderungen der Unternehmen aus.

31.05.2022