Cyber/D&O
Cyber – Die Gefahr von unsichtbaren Viren im IT-System versichern
Seit dem russischen Angriffskrieg gegen die Ukraine ist die Bedrohungslage für Cyberangriffe gestiegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktualisiert regelmäßig die Einschätzung der aktuellen Sicherheitslage in Deutschland. Das BSI rät zu erhöhter Wachsamkeit und empfiehlt, die IT-Sicherheitsmaßnahmen zu überprüfen und der Bedrohungslage anzupassen. Die erhöhte Bedrohung gelte auch für Kritische Infrastrukturen.
Auch im Allianz Risk Barometer 2022 gehört Cyber zu den drei größten Geschäftsrisiken gefolgt von Betriebsunterbrechung und Naturkatastrophen. Der Industrieversicherer Allianz Global Corporate & Specialty (AGCS) befragt dazu jährlich 2.650 Expertinnen und Experten, darunter CEOs, Risikomanager, Makler und Versicherungsexperten in 89 Ländern.
„Die nicht greifbaren und unsichtbaren Viren können die IT-Systeme verseuchen. Wenn das passiert sollte das Risikomanagement greifen. Neben der bestmöglichen Cybersicherheit ist für den Bilanzschutz auch eine Cyberversicherung elementar“, unterstreicht Sandra Dammalacks, Spartenleiterin der deas für Cyberversicherungen.
Versicherer passen ihre Klauseln an
Der Versicherungsmarkt hat sich im vergangenen Jahr stark verändert. Die Risikoträger haben ihr Zeichnungsverhalten aufgrund der höheren Schadenbelastung, der vermehrt auftretenden Softwarelücken und der Ransomware-Attacken sichtbar der Situation angepasst. „Angesichts der vielen Angriffe und der neuen Sanktionen im Zusammenhang mit Russland, Belarus und Ukraine ist zu beobachten, dass die Versicherer Territorialausschlüsse in ihre Bedingungen aufnehmen“, berichtet Sandra Dammalacks. Wenn zum Beispiel die Angreifer nachweislich aus Russland stammen, führt das zu einem Ausschluss. Ebenfalls ist die Verwendung von Virenschutzprogrammen des russischen Herstellers Kaspersky als kritisch anzusehen. Das BSI warnt explizit davor und rät Nutzerinnen und Nutzer, auf alternative Produkte umzustellen. Viele Versicherer stufen die weitere Nutzung dieses Programms als anzeigepflichtige Gefahrerhöhung ein. Dies hat ebenfalls Einfluss auf den Versicherungsschutz. „Die Kunden müssen damit rechnen, dass sie im Schadenfall den Versicherungsschutz verlieren, wenn sie weiterhin Kaspersky nutzen und der Schaden hierauf zurück zu führen ist“, erläutert Sandra Dammalacks. Sie empfiehlt in diesem Fall, mit der deas Kontakt aufzunehmen, um das Risiko anzuzeigen.
„Schäden aus kriegsähnlichen Handlungen durch einen Staat oder im Auftrag des Staates sind in den Kontrakten häufig ausgeschlossen“, erklärt die Spartenleiterin. Sie verweist auf einen Fall aus dem Jahr 2017. Damals verursachte die Malware „Notpetya“ hohe Schadenssummen und legte weltweit agierende Konzerne still. Bereits damals kam es zum Streit mit Versicherern als es um den Nachweis des Ausschlusses ging. Heute werden die Versicherer angesichts der Bedrohungslage die Ausschlüsse sehr viel konkreter gestalten. Dies kündigte unter anderem die Allianz auf ihrer letzten Financial Lines-Tagung an.
Härtere Bedingungen beim Einkauf des Versicherungsschutzes
„Aufgrund der angespannten Situation wird es zunehmend schwieriger, einen Versicherungsschutz für Unternehmen zu erhalten“, sagt Sandra Dammalacks. In den letzten Jahren hat sich die Anzahl und die Höhe der Schäden schätzungsweise versiebenfacht. Die Versicherungsgesellschaften haben die Limite bei den Versicherungssummen stark reduziert – von einst bis zu 25 Millionen Euro je Versicherer auf nunmehr zehn Millionen Euro oder auch nur fünf Millionen Euro. Ebenso muss der Versicherungsnehmer mit deutlich höheren Selbstbehalten und Eigentragungen rechnen. Auch die Prämie ist angehoben worden, teilweise um bis zu 400 Prozent. Folglich wird es insbesondere für komplexe Risiken immer wichtiger, die Risikodialoge und Ausschreibungen mit Expertise zu begleiten. „Gerade in dieser Situation können wir unsere Stärke als Interessenvertreter unserer Kunden besonders ausspielen und sie auf Augenhöhe mit den Versicherern bringen", sagt die Expertin.
Voraussetzungen für einen guten Schutz
„Um eine Cyberdeckung als zusätzlichen Bilanzschutzbaustein zu erhalten, müssen die Kunden ihre Cybersecurity bestmöglich ausgestalten“, merkt Sandra Dammalacks an. Auch dabei können die deas und ihre Kooperationspartner unterstützen. „Die Versicherer legen verstärkt Wert auf ein technisches Underwriting, das heißt, sie verlangen von den Kunden umfangreiche Auskünfte bei der Überprüfung der Unternehmen“, erklärt die Cyber-Expertin. Zwar differenzieren die Risikoträger dabei noch zwischen kleineren und mittelständischen Industrieunternehmen auf der einen Seite und den Konzernkunden auf der anderen. „Doch eins ist erkennbar: Wenn bestimmte Mindestanforderungen in der Cybersicherheit vom Kunden nicht erfüllt werden, dann erhält dieser auch kein Angebot. Allenfalls bekommt der Kunde eine Offerte mit einer zeitlichen Auflage, um die technischen Sicherheitsstandards des Versicherers zu erfüllen“, berichtet die Spartenleiterin. Das bedeutet, ein Unternehmen muss einen hohen IT-Sicherheitsstandard vorweisen, um eine Cyberdeckung zu erhalten. Ein Problem ist dabei, dass die Versicherer eigene technische Mindeststandards festlegen, sodass jede Gesellschaft für sich entscheidet, ob und zu welchen Mindestanforderungen sie Policen zeichnen möchte. Zudem ändern sich Zeichnungsvorgaben und Bedingungen ständig.
Lösungen für unsere Kunden
„Wir beobachten für unsere Kunden die Situation und schaffen zusätzliche Kapazitäten auf den internationalen Märkten. Um weitere Kapazitäten für unsere Kunden zu erhalten, arbeiten wir eng mit unserem konzerneigenen Rückversicherungsmakler, der Ecclesia Re zusammen. Wir finden Lösungen für Ihren bestmöglichen Versicherungsschutz. Sprechen Sie uns einfach an“, bekräftigt Sandra Dammalacks.