Angesichts zunehmender Hackerangriffe auf die deutsche Wirtschaft sind die Cyberversicherer 2021 erstmals in die Verlustzone gerutscht. "Unter dem Strich betrug die Schaden-Kostenquote fast 124 Prozent nach 65 Prozent ein Jahr zuvor", resümiert Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Jedem eingenommen Euro standen in der Cybersparte somit Ausgaben für Schäden und Verwaltung von 1,24 Euro gegenüber.

Insgesamt zählten die Cyberversicherer 2021 knapp 3.700 Schäden durch Hackerangriffe, ein Plus von 56 Prozent. Dafür leisteten sie rund 137 Millionen Euro – fast dreimal so viel wie 2020. Dazu kamen Schäden aus den Vorjahren, für die zusätzliche Rückstellungen gebildet werden mussten, sowie Abschluss- und Verwaltungskosten. "Einzelne Cyberattacken hatten besonders schwerwiegende Folgen und führten jeweils zu Kosten im oberen einstelligen Millionenbereich", so Asmussen. An Beiträgen verbuchten die Unternehmen rund 178 Millionen Euro, ein Plus von 49 Prozent.

Markt wächst weiter schnell
In diesem Jahr sieht die Entwicklung noch anders aus: "In den ersten sechs Monaten sind spürbar weniger Schäden entstanden", betont Asmussen. Starke Schwankungen seien für einen jungen Markt nicht ungewöhnlich, Versicherer und Kunden sammelten noch Erfahrungen. Zugleich setzt sich das Wachstum fort. Ende 2021 besaßen knapp 243.000 gewerbliche, industrielle und private Kunden eine Cyberversicherung – ein Viertel mehr als ein Jahr zuvor. "Der Anteil privater Verträge bei den Beiträgen liegt lediglich im einstelligen Prozentbereich", so der GDV auf Nachfrage von FONDS professionell ONLINE.

Ähnlich stark legten die Vertragszahlen auch im ersten Halbjahr 2022 zu. "Der Markt für Cyberpolicen wächst weiterhin sehr schnell", so der GDV-Chef. Er fordert dennoch insbesondere mittelständische Firmen auf, sich noch stärker gegen Cyberattacken zu wappnen. "Die Angriffe werden immer professioneller und häufiger, aber das Niveau der IT-Sicherheit stagniert seit Jahren", sagt Asmussen und fordert vom Mittelstand, die Potenziale bei der Prävention besser zu nutzen: "Die meisten Unternehmen haben noch große Sicherheitslücken", so der GDV-Chef.

Mit Cybersecurity-Standards gegen Hacker wappnen
Die Versicherungswirtschaft könne mit Cyberpolicen nur das Restrisiko eines erfolgreichen Angriffs absichern – aber eben nur auf Basis eines gewissen Maßes an IT-Sicherheit. Nur 60 Prozent der deutschen Unternehmen testen regelmäßig, ob ihre Sicherheitskopien intakt sind und nach einem Hackerangriff zurückgespielt werden könnten, hatte eine Umfrage des Marktforschungsunternehmens Forsa im Auftrag des GDV zu Jahresbeginn ergeben. Ein regelmäßiger Test der Sicherheitskopien gehört zu den zehn Cybersecurity-Standards, die der GDV allen Unternehmen empfiehlt. Vollständig umgesetzt haben dies nur 21 Prozent der befragten Unternehmen.

Gemeint sind diese Cybersecurity-Standards:

  1. Antivirenprogramm auf dem neuesten Stand halten
  2. Wöchentliche Datensicherung machen
  3. Updates und Sicherheitspatches schnell einspielen
  4. Firmen-Server mit Firewall sichern
  5. IT-Administratorenzugänge einrichten und sparsam nutzen
  6. Individuelle Mitarbeiterzugänge einrichten
  7. Komplexe Passwörter erzwingen
  8. Mobilgeräte sichern
  9. Manipulationen der Sicherungskopie verhindern
  10. Daten der Sicherungskopie testen

Prämienanpassungen im nächsten Jahr erwartet
Zu Prämienanhebungen ab 2023 äußert sich der GDV nicht. Auf Nachfrage von FONDS professionell ONLINE hieß es lediglich: "Eine Prognose können wir als Verband nicht abgeben und verweisen an die Versicherer." Der Risikoberater und Großmakler Aon konstatiert in seinem "Marktreport Deutschland 2022" eine zunehmende Cyberkriminalität. Die Versicherer reagierten schon seit 2021 mit höheren Prämien, geringeren Deckungskapazitäten und sogar mit Ausschlüssen von Risiken.

Aber nicht nur die Häufigkeit von Schäden hat stark zugenommen, auch die Kosten für die Schadenregulierung sind sprunghaft angestiegen. Sowohl die Rohstoffknappheit als auch die Inflation machen die Regulierung eines Einzelschadens teuer. Laut Aon verhärtet sich vor allem der Cybermarkt in rasantem Tempo. "Es gibt deutliche Prämienanpassungen und zahlreiche Auflagen", erklärt Kai Büchter, Aon-Chef für die DACH-Region.

Industrie von Versicherern gegängelt?
Die Risikosituation verschärfe sich insbesondere für große Unternehmen deutlich. So sei die Anzahl von Ransomware-Attacken, die gegen Unternehmen gerichtet waren, vom ersten Quartal 2019 bis zum vierten Quartal 2021 um 323 Prozent gestiegen. Dies hatte eine durchschnittliche Prämienverdopplung im zweiten Halbjahr 2021 zur Folge sowie signifikant erhöhte Selbstbeteiligungen im Schadenfall bei zwei Dritteln der Cyberverträge, hat Aon beobachtet.

Zusätzlich haben die Versicherer ihre Limits je Einzelrisiko weiter reduziert, sodass Kunden in der Regel nur noch fünf bis maximal 15 Millionen Euro je Versicherer zur Verfügung haben. Umfangreichere Versicherungsprogramme müssen daher mit einer größeren Anzahl verschiedener Versicherer mit zum Teil sehr unterschiedlichen Bedingungen realisiert werden.

Dennoch versuchen einzelne Versicherer gezielt, Hauptschadenursachen auszuschließen. Insbesondere die häufigste Großschadenursache "Schäden durch Ransomware-Attacken" wurde vielfach entweder ausgeschlossen, sublimitiert oder durch sogenannte Co-Insurance-Regelungen, bei denen sich ein Kunde meist zusätzlich zum Selbstbehalt prozentual an einem Schaden beteiligt, ausgehöhlt, kritisiert Aon. (dpo)