In der Cyberversicherung scheint sich die Lage langsam zu entspannen. "Der Markt wächst weiter und die Versicherer kehren in die Gewinnzonen zurück", sagte Thomas Haukje, Präsident des Bundesverbandes Deutscher Versicherungsmakler (BDVM), vergangene Woche auf der Jahrespressekonferenz des Verbandes. Das liege auch daran, dass "unsere Kunden Prävention und Investments in IT-Sicherheit im Fokus haben". Probleme bei den gewünschten Deckungssummen gebe es aber noch in einzelnen Bereichen, etwa der kritischen Infrastruktur, Gesundheit, Finanzen und dem öffentlichen Sektor.

Vor Jahresfrist war die Lage noch dramatisch anders. Die Versicherer schraubten die Anforderungen an Cybersicherheit bei den Firmenkunden massiv hoch. Der Markt war in extremer Unruhe, es traf "unverändert hoher Kundenbedarf auf eine rasant abschmelzende Kapazität", so Haukje damals. Laut Gesamtverband der Deutschen Versicherungswirtschaft (GDV) stieg die Schadenquote 2021 auf rund 120 Prozent.

Von einem harten zu einem weichen Markt
Beim diesjährigen BDVM-Gespräch stellte Spezialmakler Sven Erichsen aus Essen, dessen 1.400 Cyberverträge im vergangenen Jahr auf den Spezialmakler Finlex übertragen wurden, den "D&O & Cyber Market Report 2023" vor, den BDVM-Mitglied Finlex GmbH soeben veröffentlicht hat. "Auf dem Weg vom harten zum weichen Markt befindet sich die Cyberversicherung Ende 2023 in einer ausgeglichenen Konstellation", heißt es da.

"Der Trend geht eindeutig weg vom klassischen Versicherer – hin zum Berater und Schadensbegrenzer", sagt Erichsen, der seinen Berufskollegen Mut macht: Cyber bleibe ein Wachstumsmarkt, denn noch lange nicht jedes Unternehmen habe eine Deckung. Laut Bafin zeichneten inzwischen 72 Versicherer Cyberversicherungen. Die Beitragseinnahmen liegen demnach bundesweit bei 397,1 Millionen Euro. Nachdem die Cyberbestände in den letzten drei Jahren angesichts sich schärfender IT-sicherheitstechnischer Mindestanforderungen und immer höher kletternder Prämienvorstellungen von stetigen Umdeckungswellen gekennzeichnet waren, komme nun "langsam die erwartete Ruhe in den größten Teil des Marktes", so der Report.

Schadenhöhen fallen, aber mehr Expertise gebraucht
Mit Blick auf die Schadenerfahrungen 2022 resümiert Finlex, dass trotz einer unverändert hohen Schadenzahl viele Fälle vergleichsweise glimpflich ausgingen. So blieb in rund 70 Prozent der von Finlex analysierten Fälle die Schadenhöhe unter 100.000 Euro, rund 25 Prozent der Schäden lagen zwischen 100.000 Euro und einer Million Euro, lediglich fünf Prozent darüber. Laut dem neuesten Hiscox-Report sind es für Deutschland im Schnitt 14.766 Euro Schaden pro Cyberangriff. Wertvoll sei der Versicherungsschutz, weil schnell Fachleute zur Verfügung stehen, die den Schaden eindämmen.

Weiter zeigt die Finlex-Statistik hinsichtlich der abschließenden Bearbeitung von Cyberversicherungsfällen, dass 25 Prozent bereits mit Hilfe von Erstmaßnahmen der Notfallhotline gelöst und die Angriffe frühzeitig abgewehrt werden konnten. Generell sei die Regulierungsquote sehr hoch (75 Prozent der Fälle). Nicht versicherte Cybervorfälle machten 20 Prozent aus und seien zumeist auf den Nichtabschluss von speziellen Bausteinen zurückzuführen, etwa Vermögensschäden im Rahmen eines Cyberbetrugs.

Immer dieselben Schäden
Nach inzwischen rund 200 bearbeiteten Cyberfällen beobachtet Finlex "immer dieselben Schäden". Schadentreiber werde auch künftig Ransomware (Schadsoftware, die den Nutzer aus dem eigenen Gerät aussperrt) bleiben, wo Erichsen mit einem exponentiellen Anstieg der Kosten rechnet. Überdies bleiben DOS-Attacken (Überfluten eines Zielcomputers, bis der normale Datenverkehr nicht mehr verarbeitet werden kann) präsent und auch Betrugsmaschen mit gefälschten Rechnungen und falschen Kontonummern (Zahlungsumleitungsbetrug).  

"Vermehrt wird auch die sogenannte Double Extortion Schadenkosten in die Höhe treiben", berichtet Erichsen. Hierbei finde zunächst eine Erpressung hinsichtlich einer Betriebsunterbrechung durch Verschlüsselung von Systemen des angegriffenen Unternehmens statt. Im Rahmen des Cyberangriffs würden jedoch zusätzlich sensible Daten abgezogen. Die Erpresser schafften so ein zweites Bedrohungsszenario und drohten mit der Veröffentlichung dieser Daten. "Das angegriffene Unternehmen ist dann einer doppelten Erpressung ausgesetzt", warnt Erichsen.

Wieder vermehrt Versicherungskapazität verfügbar
Die Versicherer reagierten in den letzten Jahren auf die Schadenflut mit zum Teil erheblichen Beitragssteigerungen von 50 Prozent, erhöhten Selbstbeteiligungen im Schadenfall und reduzierten Limits für Einzelrisiken. Die noch junge Cybersparte arbeitete stets im Spannungsfeld von Rückgang des Angebots und drohenden Prämienerhöhungen. Nun schreiben die Cyberversicherer laut Finlex-Report wieder schwarze Zahlen. So sank die Schaden-Kosten-Quote 2022 auf 88,2 (2021: 111,6). In dem sich also wieder entspannenden Markt seien daher wieder vermehrt Kapazitäten verfügbar, betont Finlex.

Dennoch sind Makler gut beraten, bei ihren Kunden weiter auf ein hohes Risikobewusstsein zu dringen. Wegen der weiterhin angespannten Lage und der Vielzahl von Schadenfällen ist damit zu rechnen, dass "Versicherer künftig strengere Deckungsprüfungen an den Tag legen werden", fürchtet Erichsen. Er warnte Unternehmen davor, falsche Angaben zum Stand der IT-Sicherheit zu machen. Im Schadenfall würde dies über die IT-Forensik immer festgestellt und führe dann regelmäßig zu Streit über die Leistungen. In der Regel könnten Versicherungsmakler aber trotzdem eine Leistungsquote von über 50 Prozent mit den Assekuranzen verhandeln.

Aufpassen bei vorvertraglicher Anzeigepflicht
Bereits jetzt werden vermehrt Verletzungen von Obliegenheiten – insbesondere Verletzung der vorvertraglichen Anzeigepflicht – von den Versicherern angemerkt, berichtet Finlex. Gleichwohl hat das Landgericht Tübingen mit Urteil vom 26. Mai 2023 entschieden: Veraltete Server und fehlende Sicherheitsupdates führen nicht zwangsläufig zur Leistungsfreiheit. Ein Mitarbeiter hatte versehentlich eine Schadensoftware heruntergeladen, die sich auf 16 der insgesamt 21 Server ausbreiten konnte und alle Server unwiderruflich verschlüsselte.

Der Versicherer wollte die geforderten 2,5 Millionen Euro an Betriebsunterbrechungsleistung nicht zahlen, da die Hälfte der Server bereits bei Vertragsschluss veraltet waren und zum Teil seit Jahren keine Sicherheitsupdates mehr erhalten hatten, und zudem wegen vorvertraglicher Anzeigenpflichtverletzung nachträglich vom Vertrag zurücktreten. Das Gericht attestierte nach umfangreicher Beweisaufnahme bestenfalls fahrlässige Pflichtverletzungen. Zudem kam das vom Gericht eingeholte Sachverständigengutachten zu dem Ergebnis, dass von der Schadsoftware die alten und neuen Server gleichermaßen betroffen waren. Mithin hatten die fehlenden Sicherheitsupdates offensichtlich keinen Einfluss auf den Eintritt oder die Höhe des Schadens. Daher muss der Versicherer zahlen, hat aber Berufung eingelegt (Az.: 4 O 193/21; externer Link). (dpo)