Cyberversicherungen: Wirrwarr im Policen-Dschungel

Hannah Petersohn Berater Versicherungen Digital

Der Markt für Cyberpolicen wächst ungebremst. Doch die Unterschiede zwischen den Anbietern sind groß, Versicherer schätzen die Risiken bisher nur grob ein, einheitliche Standards fehlen. Das ruft die BaFin auf den Plan.

BaFin prüft Cyberpolicen Bild: AdobeStock/Sergey Nivens

Versicherungen gegen Cyberschäden werden immer häufiger nachgefragt. Aber das Angebot ist unübersichtlich, einheitliche Standards fehlen, kritisiert die BaFin. Bild: AdobeStock/Sergey Nivens

Immer mehr Anbieter von Cyberversicherungen drängen auf den Markt. Doch wie entwickelt sich genau das Policen-Geschäft im Gewerbe- und Privatkundensegment? Wie hoch ist die Nachfrage, wie gestalten die Versicherer ihre Bedingungswerke und nach welchen Kriterien berechnen sie die Prämien?

Diesen Fragen ist die Finanzdienstleistungsaufsicht BaFin nachgegangen und hat dazu rund 60 Versicherer und Rückversicherer mit Sitz in Deutschland, die einen Cyberschutz anbieten, befragt. Allerdings konnten nicht alle Anbieter die Antworten zu den abgefragten Daten auch liefern: Demnach habe es, vor allem für die Jahre 2016 und 2017, große Lücken bei den Informationen zu den Schadenaufwendungen gegeben.

Die Versicherer sollten zum einen nach Kundengruppen unterscheiden (Privat/Gewerbe) und zum anderen nach den drei Komponenten Eigenschaften, Haftpflicht (Drittschaden) und Service (zum Beispiel Krisenkommunikation). Gerade hier haben aber nur wenige Versicherer vollständig geantwortet. Zwischen 2018 bis 2020 habe sich die Qualität der Daten bereits verbessert, wenngleich die BaFin moniert, dass die Versicherer zum Teil „grobe Schätzungen“ vorgenommen haben.

Industriegeschäft liegt weit vorn

Eines bleibt, unabhängig davon, allerdings unbestritten: Der Run auf Cyberpolicen ist ungebremst, wenn auch auf bislang vergleichsweise geringem Niveau. Lag die Höhe der gebuchten Bruttobeiträge 2016 insgesamt noch bei einem Volumen von 48 Millionen Euro, hat sich dieser Wert seither nahezu verfünffacht und lag 2020 bereits bei 240 Millionen Euro. In dem untersuchten Zeitraum erhöhte sich die Schadenquote stark, von 9,3 Prozent (2016) auf 42,1 Prozent (2020).

Das Wachstum auf dem Markt für Cyberpolicen sei vor allem auf das Stand-Alone-Geschäft, also auf den Vertrieb von reinen Cyberpolicen, und hier insbesondere auf Verträge mit Industriekunden und KMU zurückzuführen. Knapp zwei Drittel (61,1 Prozent) der Beitragseinnahmen gingen 2020 auf das Industriegeschäft zurück, während auf das Privatkundengeschäft nur 2,6 Prozent der Bruttobeitragseinnahmen (6,3 Millionen) fallen. Dabei zeigt sich eine hohe Marktkonzentration: Auf die zehn größten Anbieter im Erstversicherungsmarkt entfallen rund 86 Prozent der Beitragseinnahmen.

Policen-Dschungel durch uneinheitliche Bedingungswerke

Die Behörde zieht angesichts der gesammelten Daten vor allem in Bezug auf die Produktebene ein Resümee: Die Produkte sind, wie procontra in der Vergangenheit bereits berichtet hat, schwer vergleichbar, die Policen unterscheiden sich enorm. Die Erklärungen dafür sind naheliegend und verwundern zugleich: Da ist zum einen der Mangel an Schadenerfahrungen auf Seiten der Versicherer und daran anschließend ein Flickenteppich an Bedingungswerken.

So fragte die BaFin, inwieweit die Versicherer bei der Konzipierung ihrer Produkte auf die unverbindlichen Musterbedingungen, die der GDV anbietet, zurückgreifen. Besagte Musterbedingungen sollen der Branche eine Orientierung bei der Entwicklung eigener Angebote an die Hand geben und dienen zugleich als Vergleichsmaßstab für Makler, um die Versicherungsangebote leichter bewerten zu können. Nur fünf Versicherer nutzen den Fragebogen bei der Produktkonzipierung für Privatkunden, 18 sind es im KMU-Segment und sieben Versicherer orientieren sich am GDV-Fragebogen bei der Produkterstellung für Industriekunden.

Insgesamt 56 der befragten Versicherungsunternehmen vernachlässigen den GDV-Fragebogen gänzlich. Kein Wunder also, dass die Bandbreite an verwendeten Bedingungswerken groß ist. Dadurch wird es allerdings Kunden wie Makler gleichermaßen schwergemacht, die Policen miteinander zu vergleichen.

Risikoermittlung: über den Daumen gepeilt

Ähnlich verhält es sich hinsichtlich der Nutzung der vom GDV entwickelten Fragebögen zur Ermittlung des Risikos eines Cyberschadens. Zwar verwenden alle Versicherer Fragebögen zur Ermittlung des Risikos, allerdings weichen sie dabei häufig von den Vorgaben des GDV-Fragebogens ab und nutzen stattdessen meist nur einen verkürzten Fragebogen. Ein Grund für die Uneinheitlichkeit: die fehlende Schadenhistorie.

Die noch mangelhafte Erfahrung mit Cyberschäden zeigt sich auch hinsichtlich der Ermittlung von Cyberrisiken auf Kundenseite: Demnach gaben viele Versicherer an, dass sie sich bei der Ermittlung der Versicherungsprämien an einem mehr oder weniger umfangreichen Daten-Mix orientieren: Sie verwenden sowohl Daten externer Anbieter wie von Beraterfirmen, Rückversicherern oder aus den Cyberdatenpools im Konzern und beziehen auch eigene Messungen, darunter Angaben zur Unternehmensgröße, Branche, Standort und dem IT-Level, in ihre Prämienermittlung mit ein.

„Eine annahmebasierte Preisgestaltung ist offenkundig verbreitet“, schlussfolgert Ramon Platt, BaFin-Referatsleiter für Grundsatzfragen der Schaden-/Unfallversicherung. Im Klartext: Ob die Versicherungsbeiträge jeweils angemessen sind, bleibt unklar. Vor dem Hintergrund der kaum kalkulierbaren Entwicklung von Schadenszenarien sei es erforderlich, so Platt, dass die Unternehmen bei der Tarifgestaltung Vorsicht walten lassen, gegebenenfalls nur geringe Anteile zeichnen und auf einen angemessenen Rückversicherungsschutz acht.

EIOPA: Cyberpolicen-Geschäft dauerhaft beobachten

Das Wirrwarr im Cyberpolicen-Geschäft beschäftigt aktuell nicht nur die BaFin, sondern mittlerweile auch die EIOPA, die Europäische Aufsichtsbehörde für Versicherungswesen. Die Behörde spielt bereits mit dem Gedanken, eine regelmäßige Berichterstattung über den Verlauf der Cyberpolicen einzuführen. Wenngleich die BaFin angesichts des noch kleinen Segments aktuell noch keinen Anlass dafür sieht, könnten auf längere Sicht Cyberpolicen durchaus in der Berichterstattungsverordnung als eigenständiger Versicherungszweig in Betracht gezogen werden.

Wenn Ihnen dieser Artikel gefällt, abonnieren Sie unseren täglichen kostenlosen Newsletter für weitere relevante Meldungen aus der Versicherungs- und Finanzbranche!