Wo die Unterschiede in der Cyberversicherung liegen

Der Markt für Cyberversicherungen in Deutschland kommt nur langsam in Schwung. Auch aufgrund spektakulärer Schadenfälle scheint das Risikobewusstsein bei vielen Firmen zu steigen. Laut Angaben des Branchenverbands GDV legten die Prämieneinnahmen im vergangenen Jahr um 56 Prozent auf insgesamt 249 Millionen Euro zu. Ein Trend, der sich offenbar fortsetzt. Auch für dieses Jahr beobachten die Versicherer steigende Beitragseinnahmen.

Wer sich für den Abschluss einer Cyber-Versicherung entscheidet, steht mittlerweile vor der Qual der Wahl. Zahlreiche Anbieter haben entsprechenden Schutz in ihrem Portfolio – dieser weist jedoch große strukturelle und inhaltliche Unterschiede auf. Zu diesem Schluss kommt der Berliner Spezialmakler CyberDirect, der insgesamt 16 Bedingungswerke in Bezug auf 125 Tarifmerkmale unter die Lupe genommen hat.

Unterschiede gibt es unter anderem bei den Triggern (Auslösern des Versicherungsfalls), Lösegeldzahlungen, Ausschlüssen und Obliegenheit. Ein kurzer Überblick:

Die womöglich wichtigste Frage ist die, wann die Cyber-Versicherung greift. Dass diese nach einem Hacker-Angriff leistet, versteht sich von selbst. Doch zahlreiche Anbieter gehen hier offenbar einen bzw. gar mehrere Schritte weiter.

So gehört beispielsweise eine Beschädigung des IT-Systems durch die eigenen Mitarbeiter mittlerweile bei vielen Versicherern zum Leistungsumfang dazu. Knapp zwei Drittel (63 Prozent) schließen diese Schadenquelle ohne Einschränkungen mit ein. Noch verbreiteter ist  die Erweiterung der Cyber-Betriebsunterbrechung durch den Cloud-Ausfall. Gerade einmal zwei der 16 Anbieter bieten diese Erweiterung nicht an.

Bei der Hälfte der untersuchten Anbieter ist sogar ein Systemausfall durch technische Probleme mitversicherbar, auch wenn dieser nichts mit einem externen Cyber-Angriff zu tun hat. Die Studienautoren sehen hierin einen Schritt in Richtung „All Risk“-IT-Betriebsunterbrechung.

Genauso interessant wie die Frage, wann die Versicherung zahlt, ist diejenige, wann sie es nicht tut. Hier fallen die Unterschiede besonders stark auf: Insgesamt 55 unterschiedliche Ausschlüsse konnte CyberDirekt in seiner Untersuchung feststellen, allerdings kamen nur drei davon in sämtlichen untersuchten Bedingungswerken vor. Die anderen der durchschnittlich 16 Ausschlüsse kommen sehr unterschiedlich vor.

Einen wichtigen Punkt in den Bedingungswerken stellen auch die Obliegenheiten da. Hier verzeichnet CyberDirekt bei 13 Prozent der Anbieter eine Obliegenheit, die den Versicherungsnehmer zu technischen und organisatorischen Schutzmaßnahmen verpflichtet, die dem Stand der Technik entsprechen.

Diese Obliegenheit bewertet CyberDirekt als sehr offen und unklar. Denn die Ermittlung, welche Sicherheitsmaßnahmen dem aktuellen Stand der Technik entsprechen, dürfte den Versicherungsnehmer vor Schwierigkeiten stellen. Im Deckungsfall könnte der Versicherer diesen Punkt folglich auch gegen den Versicherungsnehmer auslegen. Erfreulicherweise findet sich eine so offene Klausel nur bei 13 Prozent der Anbieter wieder.

Weitere 31 Prozent der Bedingungswerke mildern diese Obliegenheit ab, formulieren sie jedoch trotzdem sehr weitläufig. So sind Versicherungsnehmer beispielsweise zur Einhaltung aller gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherungsmaßnahmen verpflichtet. Auch hier sieht CyberDirect durch die immer umfangreichere IT-Compliance jedoch mögliche Probleme und verweist auf einige aktuelle Gesetze, wie das IT-Sicherheitsgesetz, die europäische NIS-2-Richtlinie oder die DSGVO. Sollten die Unternehmen deren Anforderungen nicht vollumfänglich erfüllen, drohen Leistungskürzungen.

Empfehlenswerter sind laut CyberDirekt Anbieter, die eine klar abgeschlossene Anzahl an Obliegenheiten definieren. Dies ist bei einem Viertel der untersuchten Anbieter der Fall. Weitere 31 Prozent verzichten sogar komplett auf Obliegenheiten.

Die Frage, ob Cyberversicherungen Hackern Lösegeld zahlen sollten, ist umstritten. Kritiker monieren, dass dadurch die Cyber-Kriminalität erst noch angeheizt wird. Unternehmen versprechen sich davon, dass durch die Zahlung von Lösegeld die Unterbrechung des Betriebs verkürzt werden kann. Auch für die Versicherer kann eine Zahlung von Lösegeld günstiger sein, als wenn sie für eine lange Betriebsunterbrechung zahlen müssen.

So verwundert es auch nicht, dass die Mehrzahl der Versicherer Lösegeldzahlungen mit in ihren Versicherungsschutz einschließt. Der Großteil der Anbieter (56 Prozent) arbeitet hierbei jedoch mit Sublimits oder anderen Einschränkungen, nur ein Viertel versichert Lösegeldzahlungen ohne weitere Einschränkungen.

Die großen Unterschiede zwischen den einzelnen Tarifen unterstreichen abermals die Notwendigkeit einer umfangreichen Beratung. Eine ausführlichere Darstellung der Marktanalyse lässt sich hier nachlesen.