Cyber/D&O
Cyberversicherung
CYBERVERSICHERUNG
Der Cyberversicherungsmarkt hat in den vergangenen Jahren turbulente Zeiten erlebt. Hohe Schadenquoten, eine stetig wachsende Bedrohungslage und eine hohe Nachfrage nach Cyberdeckungen führten zu einem stark verhärteten Versicherungsmarkt. Die Konsequenz waren stark steigende Versicherungsprämien und/oder Deckungskürzungen in den Bedingungen der Cyberversicherung. Inzwischen zeichnet sich zwar eine leichte Entspannung des Marktes ab – ein allgemeiner Trend lässt sich daraus aber noch nicht ablesen.
Marktsituation und Rückblick
Der Cyberversicherungsmarkt hat harte Zeiten hinter sich. Der 2020 einsetzende Digitalisierungsschub aufgrund der Corona-Pandemie, verschiedene Zero-Days-Exploits (Ausnutzung von Schwachstellen, die nur dem Entdecker bekannt sind) und der Ukrainekrieg ließen bei den Cyberversicherern hohe Schadenzahlen auflaufen. Einige Versicherer zogen sich daraufhin aus dem Cyberversicherungsmarkt zurück oder schränkten ihre Zeichnungsrichtlinien zumindest stark ein. In der Konsequenz stiegen die Versicherungsprämien an, Versicherungssummen und Deckungsbestandteile wurden gekürzt und Anforderungen beziehungsweise Grundvoraussetzungen an Unternehmen erhöht. Gleichzeitig bieten heute immer mehr Versicherer verschiedene Dienstleistungen für ihre Kunden an, um das Cyberrisiko der versicherten Unternehmen zu verbessern. Beispiele hierfür sind vergünstigte Awareness- Trainings für Mitarbeitende oder Risikodialoge zwischen Versicherern und Unternehmen.
Die Sorge vor systemischen und potenziell katastrophalen Cyberereignissen wurde durch den Konflikt in der Ukraine verstärkt. Auch wenn ein Anstieg der Cyberangriffe als Konsequenz des Krieges verzeichnet werden konnte, blieben die Schreckensszenarien breit angelegter Ausfälle weitestgehend aus. Zu Beginn des Krieges schienen sich verschiedene Hackerorganisationen sogar auf den Krieg zu fokussieren, sodass in den westlichen Ländern für kurze Zeit weniger Ransomware- Angriffe gemeldet wurden. Dennoch bleibt die Sorge, dass ein „lokaler“ Krieg wie der in der Ukraine zu einem globalen Cyberkonflikt ausarten könnte.
Die Versicherer und Rückversicherer arbeiten daher aktuell an Bedingungsänderungen, um derartige systemische und geopolitische Risiken aus ihren Leistungsverpflichtungen auszuschließen. Kriegs- und weitere Ausschlüsse wie beispielsweise erweiterte Infrastrukturausfälle sollen den Cyberversicherungsmarkt krisenfester und fit für die Zukunft machen.
Systemische und geopolitische Risiken führen zu neuen Einschränkungen und Ausschlüssen in Versicherungsbedingungen.
Unternehmen spüren die Veränderungen. Die Nachfrage nach Cyberversicherungen ist weiterhin hoch und übersteigt die von den Versicherern angebotenen Kapazitäten. Nachdem Unternehmen in den vergangenen Jahren Prämienerhöhungen je nach Branche und Umsatzgröße von 20 bis 150 Prozent pro Jahr tragen mussten, scheint sich der jährliche Anstieg der Prämie zu verlangsamen. Dies liegt vor allem an verschiedenen Maßnahmen, die die Versicherer in den vergangenen Jahren zur Gesundung des Marktes ergriffen haben. Hierzu zählen neben Prämienerhöhungen unter anderem Deckungseinschränkungen und höhere Anforderungen an die Informationssicherheit versicherter Unternehmen.
Hinzu kommt, dass der Markt für Cyberversicherungen und die zugehörigen Bedingungswerke für den „Laien“ schwer zu überblicken sind. Die deas hat als Versicherungsmakler mit hochspezialisierter Cyber-Einheit einen kompletten Marktüberblick und sorgt für Transparenz. Zusätzlich dazu bietet sie ihren Kunden ein umfassendes, versichererunabhängiges Dienstleisternetzwerk rund um die IT-Security und Informationssicherheit an.
Der Versicherungsmarkt bleibt nach wie vor angespannt. Ein Großereignis würde ausreichen, um die vorsichtigen Entspannungstendenzen des Marktes zu stoppen.
Marktentwicklung 2023/24
Versicherer: Der Cyberversicherungsmarkt wird in den nächsten Jahren auch weiterhin stark wachsen. Die zunehmende Digitalisierung der Wirtschaft, die steigende Nachfrage nach Cyberschutz und die wachsende Bedrohung durch Cyberangriffe sind die wichtigsten Treiber für Wachstum.
Etablierte Cyberversicherer werden in Zukunft voraussichtlich mit neuen Anbietern auf dem Markt konkurrieren. Neue Kapazitäten fließen in den Markt, sodass Versicherer – eine gute Risikosituation der Unternehmen vorausgesetzt – wieder höhere Exzedentendeckungen anbieten können.
Underwriter werden auch weiterhin von Unternehmen ein hohes Maß an Cyberhygiene fordern und ein Mindestniveau an die Informationssicherheit für die Versicherbarkeit von Cyberrisiken voraussetzen. Beispiele hierfür sind unter anderem Multifaktor-Authentifizierung, EDR, Privileged Access Management (PAM), Mitarbeitenden-Schulungen und Notfallpläne.
Rückversicherer:
Die Rückversicherer üben weiterhin einen starken Einfluss auf den Markt der Erstversicherer aus. In absehbarer Zeit werden bessere Risikomodelle und -bewertungen, die auf den Daten der vergangenen Jahre beruhen, dazu führen, dass bessere Empfehlungen an die Informationssicherheit von Unternehmen gegeben werden können. Es wird deutlicher werden, welche Sicherungsmaßnahmen am effektivsten sind und wie Unternehmen ihr Risikomanagement weiter optimieren können.
In den nächsten Jahren werden die Rückversicherer ebenfalls ihre Modelle für potenzielle Cyberkatastrophen weiter optimieren und versuchen, die potenziellen Auswirkungen von extremen Cyberereignissen zu analysieren und zu quantifizieren. Hierzu können unter anderem großflächige Cyberangriffe, Cyberkriegsführung oder Cyberausfälle von Kritischen Infrastrukturen zählen. Die Modelle werden dabei helfen, die Risiken zu bewerten, Szenarien zu simulieren und potenzielle Schäden zu schätzen.
Bei dem Versuch, diese systemischen Cyberrisiken für den Versicherungsmarkt zu minimieren, wird der Rückversicherungsmarkt den Erstversicherern auch weiterhin vereinzelte Bedingungsänderungen, wie beispielsweise Ausschlüsse oder Sublimits vorschreiben, um mögliche Ausfallrisiken für die gesamte Versicherungsbranche zu minimieren.
Unternehmen:
Die Dynamik der Cybergefahren sowie die steigende Häufigkeit und Schwere von Cybervorfällen werden sich auch weiterhin in einer steigenden Nachfrage nach Cyberversicherungen manifestieren.
Die Cyberrisikolandschaft wird nach wie vor von Ransomware und Angriffen auf Lieferketten dominiert. Auch der technische Fortschritt und damit einhergehend der Missbrauch von neuen Technologien, zum Beispiel Künstlicher Intelligenz, Blockchain und Cloud Computing bieten neue Möglichkeiten für Cyberangriffe aber auch für die Verteidigung. Unternehmen werden sich zudem immer stärker mit möglichen Bedrohungen konfrontiert sehen, die durch Dritte ausgelöst werden, zum Beispiel durch mögliche Schwachstellen in Software.
Neue EU-Regularien, wie beispielsweise NIS2, eine Richtlinie zur Förderung der Cybersicherheit Kritischer Infrastrukturen und wichtiger Dienstleistungen in der EU, bieten Unternehmen neue Chancen, stellen diese aber auch vor Herausforderungen. Jedes Unternehmen sollte prüfen, ob es von der verschärften Richtlinie betroffen ist und rechtzeitig entsprechende Maßnahmen zur Umsetzung der Vorgaben ergreifen.
Fazit
Der immer noch junge Cyberversicherungsmarkt befindet sich nach wie vor im Wandel. In der Zukunft wird eine stärkere Zusammenarbeit zwischen Unternehmen, Cybersecurity-Dienstleistern, Versicherern und dem Staat fokussiert werden, um das steigende Cyberrisiko für Unternehmen beherrschbar zu machen.
Nach einigen turbulenten Jahren scheint sich der Cyberversicherungsmarkt langsam zu beruhigen, bleibt aber dennoch weiterhin relativ volatil.
Ein Grundbaustein hierfür ist ein stabiler und verlässlicher Cyberversicherungsmarkt, der der hohen Nachfrage von Unternehmen nach Cyberversicherungen nachkommen kann. Ecclesia Cyber sieht die Maßnahmen, die die Versicherer zur Gesundung und Stabilisierung des Marktes getroffen haben, daher zu einem überwiegenden Teil als positiv an.