Welche neuen Möglichkeiten eröffnen sich für Versicherungsmakler im Bereich der Cyber-Versicherungen angesichts der zunehmenden Digitalisierung?
Die zunehmende Digitalisierung wirkt sich aus unserer Sicht in zweierlei Hinsicht aus. Zum einen ermöglicht sie es kleinen und mittelgroßen Unternehmen, Cyber-Versicherungsschutz über automatisierte Antragsprozesse deutlich einfacher anzufragen und abzuschließen. In Verbindung mit externen Scans, die von vielen Risikoträgern eingesetzt werden, bleibt der Fragenumfang überschaubar und gut handhabbar.
Darüber hinaus zeigt sich auf der Nachfrageseite ein deutlicher Effekt. Immer mehr Unternehmen erkennen ihre Abhängigkeit von der eigenen IT-Infrastruktur und suchen gezielt nach Wegen, diese besser abzusichern. Damit wächst auch der Wunsch, Restrisiken über eine Cyber-Versicherung abzudecken. Zunehmend rücken dabei auch Rückwirkungsschäden in den Fokus, etwa Betriebsunterbrechungen infolge von Netzwerksicherheitsverletzungen bei IT-Dienstleistern.
Wo sehen Sie die größten Risiken und Unsicherheiten für Anbieter und Kunden bei Cyber-Versicherungen?
Cyber-Versicherung ist weiterhin eine junge Sparte. Auf Seiten der Risikoträger besteht nach wie vor Zurückhaltung aufgrund fehlender Langzeitdaten zur verlässlichen Tarifierung. Zwar haben die Schadenerfahrungen der letzten Jahre zu mehr Erkenntnissen geführt, dennoch bleibt die Sorge vor Kumulereignissen, bei denen viele Versicherungsnehmer gleichzeitig betroffen sind.
Für Versicherungsnehmer ergeben sich andere Unsicherheiten. Die Festlegung einer angemessenen Versicherungssumme ist nach wie vor schwierig. Hinzu kommt die neuere EuGH-Rechtsprechung zum immateriellen Schadenersatz bei Datenschutzverletzungen, die insbesondere den Drittschaden-Baustein stärker in den Fokus rückt. Spannend wird dabei die Entwicklung bei Großschäden mit sehr hohen Datenvolumina und das Zusammenspiel mit Sammel- oder Massenklagen.
Was sind aus Ihrer Sicht die entscheidenden Kriterien bei der Auswahl einer Cyber-Versicherung für Unternehmen?
Die Auswahlkriterien hängen stark von Größe und Geschäftsmodell des Unternehmens ab. Größere Unternehmen verfügen häufig bereits über eigene Forensikdienstleister. Hier ist entscheidend, dass diese Dienstleister in den Versicherungsschutz eingebunden sind und deren Kosten übernommen werden. Bei kleineren Unternehmen spielt hingegen das Dienstleisternetzwerk des Versicherers eine wichtige Rolle.
Ein zentrales Kriterium ist zudem die Art der Risikoerfassung. Je komplexer das Unternehmen, desto weniger geeignet sind standardisierte Antragsmodelle oder Fragebögen. In solchen Fällen ist ein Risikodialog mit dem Versicherer oder über Sachverständige häufig der bessere Weg. Dabei sollte sichergestellt sein, dass der Versicherer nicht nur über IT-Sicherheitskompetenz verfügt, sondern auch branchenspezifisches Wissen mitbringt, etwa zu regulatorischen Anforderungen wie DORA im Bankenumfeld.
Gibt es Erfahrungswerte oder besonders relevante Beobachtungen im Umgang mit Cyber-Versicherungen?
Cyber-Versicherung ist durch eine hohe Volatilität geprägt. Technischer Fortschritt und sich ständig wandelnde Angriffsmethoden erfordern eine kontinuierliche Weiterentwicklung von Produkten und Sicherheitskonzepten. Bei größeren Unternehmen ist die jährliche Verlängerung der Police regelmäßig mit einem erhöhten Informationsbedarf des Versicherers verbunden.
Der Cyber-Versicherer fungiert dabei gewissermaßen als zusätzlicher Auditor. Zwar sind diese Prüfungen meist überschaubarer als klassische Prüfungen, sie führen aber zu regelmäßigen Berichtspflichten. Für Leitungsorgane kann dies entlastend wirken, da NIS-2 und DORA die Verantwortung für IT-Sicherheit klar beim Management verorten. Die externe Überprüfung kann dabei wertvolle Hinweise zur Weiterentwicklung der IT-Sicherheit liefern.
Welche strategischen Schritte sollten Versicherungsmakler unternehmen, um sich auf zukünftige Entwicklungen vorzubereiten?
Entscheidend ist das Zusammenspiel technischer und juristischer Expertise. Cyber-Versicherung ist ein Rechtsprodukt, das sorgfältig ausgestaltet und bei größeren Risiken individuell angepasst werden muss. Sowohl in der Platzierung des Risikos als auch im Schadenfall sind technisches Verständnis und juristische Begleitung gleichermaßen notwendig.
Die technische Expertise ist zudem bereits im Vorfeld entscheidend, um Risiken marktgerecht darzustellen und den Versicherungsschutz an die tatsächlichen Gegebenheiten anzupassen. Nur so lassen sich tragfähige und zukunftsfähige Lösungen entwickeln.
