Die besten Cyberversicherungen für Firmenkunden

Es geschah in der Nacht vom 9. auf den 10. Februar. Trotz Sicherheitsmaßnahmen hackten unbekannte Täter die Beratungssoftware und die Cloud-Lösung des Berliner Software-Anbieters Smart Insurtech. Daraufhin musste die Hypoport-Tochter beide Produkte vom Netz nehmen und ihre Kunden sowie die zuständige Datenschutzbehörde informieren. Auch der Dokumentenservice des Hauses war nach Unternehmensangaben „in Teilen betroffen“. Auch dort musste Smart Insurtech einzelne Anwendungen offline nehmen. Wie lange es dauert, bis Kunden die Programme wieder nutzen können, vermag das Unternehmen bislang noch nicht zu sagen. Die Verantwortlichen stellen sich derzeit wohl auf einen längeren Ausfall ein. Entsprechend hoch dürften die Kosten sein – vom Reputationsschaden ganz zu schweigen.

Kein Einzelfall: Im Dezember vergangenen Jahres meldete WWK einen Phishing-Angriff. Cyber-Kriminelle hatten Phishing-Mails an zahlreiche Mitarbeiter des Unternehmens verschickt. Zwar sei es den Tätern nicht gelungen, in die Kernsysteme des Unternehmens vorzudringen, erklärte der Versicherer aus München. Allerdings könne man den Diebstahl von Kundendaten aus E-Mail-Postfächern der Mitarbeiter nicht ausschließen, warnte der Versicherer und riet seinen Kunden, bei verdächtigen Mails vorsichtig zu sein. Und im April vergangenen Jahres legte eine Cyber-Attacke Teile der IT-Infrastruktur der Baloise lahm – vor allem die Systeme der Basler Deutschland waren damals betroffen. Bereits ein Jahr zuvor hatten Hacker bei der Haftpflichtkasse zugeschlagen und dabei zahlreiche Daten erbeuten können.

Versicherer machen Verluste

Insgesamt zählten die Cyber-Versicherer im Geschäftsjahr 2021 knapp 3.700 Schäden durch Hackerangriffe. Dafür leisteten sie rund 137 Millionen Euro. Dazu kamen Schäden aus den Vorjahren, für die zusätzliche Rückstellungen gebildet Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). An Beiträgen verbuchten die Unternehmen rund 178 Millionen Euro. Damit sind die Cyber-Versicherer 2021 erstmals in die Verlustzone gerutscht. „Unter dem Strich betrug die Schaden-Kostenquote fast 124 Prozent, nach 65 Prozent ein Jahr zuvor“, erklärt Asmussen. Jedem eingenommenen Euro in der Sparte standen somit Ausgaben für Schäden und Verwaltung von 1,24 Euro gegenüber.

Zugleich wächst das Geschäft mit der Absicherung gegen Hacker-Attacken rapide. Ende 2021 besaßen knapp 243.000 Kunden eine Cyber-Versicherung – ein Viertel mehr als ein Jahr zuvor. Ähnlich  stark legten die Vertragszahlen auch im ersten Halbjahr 2022 zu.

Hälfte der Anträge abgelehnt

„Immer mehr Unternehmen haben das Risiko erkannt und suchen neben der Verbesserung ihrer IT-Security nach wirksamen Instrumenten, um ihre Bilanz zu schützen“, erklärt Thomas Pache, Cyber-Chef bei Aon Deutschland. Mittlerweile übersteige die Nachfrage nach Cyber-Versicherungen das Angebot. Hintergrund seien die Anforderungen der Cyber-Versicherer an das IT-Sicherheitsniveau von Unternehmen. „Sofern diese erfüllt sind, bietet der Cyber-Versicherungsmarkt weiterhin Lösungen“, sagt Pache.

Doch viele Firmen erfüllen diese Mindeststandrads nicht, moniert der GDV-Chef. Er fordert insbesondere mittelständische Unternehmen auf, sich stärker gegen Cyber-Attacken zu wappnen. „Die Angriffe werden immer professioneller und häufiger, aber das Niveau der IT-Sicherheit stagniert seit Jahren“, sagt Asmussen. Der Mittelstand habe die Potenziale bei der Prävention bei Weitem noch nicht ausgeschöpft, bei den meisten Unternehmen bestünden noch große Sicherheitslücken.

„Ohne ein angemessenes Niveau an Cyber-Resilienz und -Kontrollen wird es für Kunden schwierig sein, eine Cyber-Versicherung abzuschließen“, meint auch Andreas Fürst, Senior Cyber-Experte der Allianz. „Mehr als die Hälfte der von potenziellen Kunden eingereichten Unterlagen erfüllen unsere Checkliste der erforderlichen Kontrollen noch immer nicht vollständig, sodass wir kein Angebot abgeben“, sagt er.

Konzerne helfen sich selbst

Auch Großkonzerne beklagen sich über mangelndes Angebot. Bei ihnen sind allerdings weniger die Sicherheitsvorschriften, sondern vielmehr die Deckungssummen das Problem. Während früher Versicherer regelrecht um neue Großkunden buhlten, haben mittlerweile viele Konzerne Schwierigkeiten, eine Police mit ausreichender Deckungssumme zu finden. Im April 2022 nahm die Industrie die Sache daher selbst in die Hand. Sieben Konzerne, darunter Airbus, Michelin und BASF, riefen in Brüssel einen eigenen Cyber-Versicherer ins Leben.

Top-Jobs des Tages

FERCHAU – Connecting People and Technologies

(Senior) Analyst Business Controlling/BI (m/w/d)

Gummersbach

Funk - Internationaler Versicherungsmakler und Risk Consultant

Kaufmann für Versicherungen und Finanzen/Kundenberater (m/w/d) im Innendienst

Nürnberg

Zu allen Stellenanzeigen

Ja, ich möchte den/die oben ausgewählten Newsletter mit Informationen über die Kapitalmärkte und die Finanzbranche, insbesondere die Fonds-, Versicherungs-und Immobilienindustrie abonnieren. Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, dem Einsatz der Versanddienstleister June Online Marketing und Mailingwork, der Protokollierung der Anmeldung, der neben der E-Mail-Adresse weiter erhobenen Daten, der Weitergabe der Daten innerhalb der Verlagsgruppe und zu Ihren Widerrufsrechten finden Sie in der Datenschutzerklärung. Diese Einwilligung können Sie jederzeit für die Zukunft widerrufen.

JETZT ANMELDEN

Sie haben Post!

Wir haben Ihnen eine Bestätigungs-E-Mail geschickt. Mit einem Klick auf den darin enthaltenen Button aktivieren Sie Ihr Abonnement.

Tipp: Nichts bekommen? Schauen Sie auch in ihrem Spam-Ordner nach.

Das Unternehmen heißt Mutual Insurance and Reinsurance for Information Systems, kurz Miris, und agiert als Versicherungsverein auf Gegenseitigkeit. Das heißt die Mitglieder, deren Anzahl zwischenzeitlich auf zwölf gestiegen ist, teilen sich die Risiken. „Ziel von Miris ist es, den Versicherungsschutz bei Cyber-Risiken, die nicht oder nur unzureichend durch den bestehenden Versicherungsmarkt abgedeckt sind, zu gewährleisten“, heißt es von der BASF. In den ersten zwei Jahren bietet Miris jedem Mitglied eine Deckung von bis zu 25 Millionen Euro. „Abhängig von der versicherungstechnischen Leistung von Miris wird die gewähr te Kapazität im dritten Jahr voraussichtlich auf 30 Millionen Euro steigen“, erklärt die BASF-Sprecherin. Laut Medienberichten sollen bereits 40 weitere Unternehmen ihr Interesse an einer Miris-Mitgliedschaft bekundet haben.

Prämien bis 200 Prozent höher

Die von DAS INVESTMENT befragten Cyber-Chefs mehrerer Versicherungsgesellschaften sehen die Miris-Gründung als eine sinnvolle Ergänzung zum bestehenden Angebot. Und zudem als Zeichen für das zunehmende Interesse der Gewerbekunden. In den nächsten Jahren werde sich die Cyber-Police zu einer Standardversicherung für Firmen entwickeln, heißt es etwa von der Allianz. Allerdings müssen die Kunden wohl bereit sein, dafür wesentlich mehr Geld als früher in die Hand zu nehmen. Oliver Schulze, Leiter Cyber-Versicherung bei der Gothaer, spricht von einer „deutlichen Verhärtung des Cyber-Marktes“.

Diese führe unter anderem dazu, dass die bis dahin teilweise sehr niedrigen Einstiegsprämien in der Cyber-Industrieversicherung „eine Anpassung an die sich real ergebende Risikosituation erfahren haben“, so Schulze. Die Prämienerhöhungen fielen dabei je nach Ausgangslage teilweise sehr unterschiedlich aus.

Andere Verantwortliche werden da konkreter. So spricht Aon-Cyber-Chef Pache von Prämien, die „teilweise zwischen 100 und 200 Prozent über den Beiträgen von 2020“ liegen. Die Baloise berichtet über Anpassung im zweistelligen Prozentbereich bei Kunden ab einem Jahresumsatz von 10 Millionen Euro“. Bei kleineren Kunden habe man die Prämien hingegen nicht erhöht. Auch die VHV, Württembergische und die R+V haben nach eigenen Angaben auf flächendeckende Prämienerhöhungen bisher verzichten können. Die Württembergische setzt stattdessen auf individuelle Risikoprüfung sowie auf zielgerichtete Präventionsmaßnahmen zur Eindämmung von Cyber-Kriminalität. Die R+V hat ein neues Produkt eingeführt, das neben den klassischen Cyber-Risiken auch vor den finanziellen Folgen von wirtschaftskriminellen Handlungen wie Betrug oder Diebstahl über das Internet oder durch Mitarbeitende im Unternehmen schützt. „Dadurch sind für Unternehmen mit einem Umsatz bis zu 20 Millionen Euro einige Risiken günstiger und für Unternehmen mit einem Umsatz über 20 Millionen Euro einige Risiken etwas teurer geworden“, sagt Stefan Schmutterer, Cyber-Experte bei der R+V. Und wie geht es weiter? „Im Großkundensegment sind die Prämiensteigerungen nahezu abgeschlossen“, meint Pache. Der Wettbewerb im Bereich der ergänzenden Versicherungen nehme wieder zu. „Durch die steigende Anzahl an Alternativen konnten wir insbesondere im Bereich über 50 Millionen Euro Versicherungssumme bereits erste Prämien reduzieren“, so der Cyber-Verantwortliche bei Aon. Im KMU-Segment verlaufe diese Marktentwicklung zeitlich verzögert.

Schadenersatz und Prävention 

Und was bekommt der Kunde im Gegenzug? Die Leistungen einer Cyber-Versicherung gliedern sich grob in drei Bausteine. Zum einen trägt sie die direkten Kosten für eine Cyber-Attacke. Dazu gehören die Soforthilfe und die Kosten für die Forensik, also für die Ursachenermittlung. Auch Krisenkommunikation und PR-Maßnahmen sowie Systemverbesserungen nach der Cyber-Attacke fallen in diese Kategorie. Der zweite Baustein ist die Abdeckung von Drittschäden. Hier geht es unter anderem um die Befriedigung oder Abwehr von Ansprüchen Dritter, Vertragsstrafen wegen der Verletzung von Geheimhaltungspflichten und Datenschutzbestimmungen und vertragliche Schadenersatzansprüche. Der dritte Baustein einer umfassenden Cyber-Versicherung schließt die konkreten Cyber-Eigenschäden eines Unternehmens durch Cyber-Diebstahl, -Erpressung oder -Betrug ein. Die eigene Betriebsunterbrechung, das Wiederherstellen von Daten, der Ersatz von IT-Hardware gehören dazu.

Außerdem bieten viele Versicherer Präventionsmaßnahmen an. Bei der R+V sind das Beratungsgespräche zu Cyber-Risiken und Schulungen für IT-Verantwortliche durch externe Dienstleister. Außerdem lernen R+V-Kunden in Workshops mit externen Partnern, wie sie im Schadenfall möglichst schnell und effizient reagieren können. Die Württembergische stellt ihren Kunden und deren Beschäftigten kostenlos ein Cyber-Portal zur Verfügung, das unter anderem digitale Kurse mit Lernvideos und interaktiven Prüfungen sowie realistische Phishing-Simulationen enthält.

Die HDI bietet seit kurzem einen neuen Baustein Cyber-Security an. Schließt ein Unternehmen mit einem Jahresumsatz bis 5 Millionen Euro diesen Baustein ab, verzichtet HDI auf die Risikofragen. Dafür erhält der Kunde eine jährliche Basisüberprüfung des Dienstleisters Perseus Technologies, der nachschaut, ob die gängigen Mindeststandards eingehalten werden. Die Prüfung wird dabei an die aktuelle Bedrohungslage angepasst. „Die Ergebnisse selbst sehen wir nicht und Kunden haben auch keine negativen Auswirkungen auf den Versicherungsschutz zu befürchten“, betont Sören Brokamp, Leiter Produktmanagement Cyber bei HDI. Damit könne man „das Schutzniveau der Kunden erhöhen und beim Risikomanagement helfen“.

Cogitanda, Hiscox, Allianz

Die Rating-Agentur Assekurata hat den Markt für Cyber-Versicherungen zuletzt im Sommer 2022 untersucht. Dabei nahmen die Forscher die Tarifbedingungen, den Leistungsumfang und die Transparenz der Cyberpolicen unter die Lupe. Jeder Tarif wurde dabei anhand von zehn Hauptprüfpunkten mit über 60 Kriterien analysiert. Vier Tarife schnitten „sehr gut“ ab. Die Bestnote „1,0“ erreichte der auf Cyber-Risiken spezialisierte Versicherer Cogitanda mit seinem Tarif Cyber Pro+. Es folgen die Konkurrenten Hiscox mit Cyber Clear (1,3), Allianz mit Cyber Schutz 3.0 (1,4) und VHV Versicherung mit Cyberprotect 3.0 (1,5). 14 weitere Tarife schnitten „gut“ ab, lediglich zwei Policen bekamen die Note „ausreichend“.