Marc Surminski, Zeitschrift für Versicherungswesen, vom 15. Februar 2018
Viele Jahre hat man bei Cyber immer über Wachstum gesprochen. Seit zwei Jahren spricht man zunehmend auch über Risiko. Seit dem großen Ransomware-Attacken wie "Wanna Cry" und dem Bekanntwerden von Sicherheitslücken in nahezu allen Computer-Chips steht die Frage im Raum, welche gefährlichen Kumul-Risiken sich hier ergeben können - und ob bestimmte Dinge überhaupt noch zu versichern sind. Haftpflichtdeckung etwa für Intel wäre vor diesem Hintergrund womöglich eine brandgefährliche Sache.
In Deutschland gilt Cyber nach wie vor als Wachstumshoffnung für eine stagnierende Branche, obwohl sich die großen Erwartungen auf schnelle Zuwächse bislang nicht erfüllt haben. "Das Bewusstsein für das Risiko ist gestiegen, aber gleichzeitig auch die Verunsicherung der Kunden", sagt Robert Dietrich, Hauptbevollmächtigter von Hiscox in Deutschland, bei der Euroforum-Haftpflichttagung. Die Datenschutzgrundverordnung werde diese Unsicherheit kurzfristig noch weiter erhöhen und erst langfristig für mehr Abschlüsse sorgen. 2016 habe das Marktvolumen in Deutschland bei rd. 100 Mio. Euro gelegen. Der GDV schätzt ebenfalls 100 Mio. Euro, aber für 2017. Die unterschiedlichen Zahlen zeigen, wie intransparent dieser neue Markt noch ist. Künftig erwartet Dietrich eine jährliche Verdoppelung der Prämien. Im führenden Markt USA betrage das Wachstum immer noch rd. 30% im Jahr.
Anders als bei der D&O-Deckung, die ebenfalls lange brauchte, um sich im deutschen Markt durchzusetzen, gab es bei Cyber von Anfang an Schadenfälle. Laut Hiscox kommen die meisten Schäden bislang aus Ransomware-Attacken. So hat der Verschlüsselungstrojaner "Goldeneye" dem Versicherer in 2016 an einem Tag 20 Schäden beschert. Dabei sei der Einzelfall kein Problem, aber eine Masse von Schäden bedeute eine echte Herausforderung, denn es gebe eben nur eine begrenzte Zahl von IT-Forensikern. Die Sparte Cyber verlaufe bei Hiscox profitabel, betonte Dietrich.
Wie das im gesamten deutschen Markt aussieht, der mittlerweile rund 20 Anbieter umfasst, ist dagegen unklar. Nach wie vor überwiegen individuelle Bedinungen und spezielle Maklerwordings; ein Standard ist auch durch die GDV-Musterbedingungen noch kaum in Sicht. Welche Risiken womöglich in diesen Policen stecken und was "stille Cyberdeckungen" in anderen Policen noch für Schäden bescheren könnten, gerät zunehmend in den Fokus einiger Makler und Rückversicherer. Willis schätzt, dass rd. 80% der potenziellen Cyber-Schäden auf solche versteckten Risiken entfallen.
Die Swiss Re hat die Rolle des Marktwarners übernommen. Bijan Daftari, Deutschland-Chef der Swiss Re Corporate Solutions, sieht die Prämien weltweit noch als relativ gering an im Vergleich zum Exposure. "Wir sind hier in der Erst- und Rückversicherung zwar aktiv, streben aber sicher nicht die Marktführerschaft an." Die Idee von Swiss-Re-Chef Mumenthaler, ein staatliches Auffangnetz für Cyber-Großrisiken zu schaffen (analog zur Terrordeckung), habe bisher noch kein Feeddback gefunden, sagte Daftari.
Kann man Cyber überhaupt solide kalkulieren? "In der Tat stochern wir heute noch weitgehend im Nebel herum, weil es schlicht zu wenig Schadendaten gibt", sagte Onnen Siems, Geschäftsführer der aktuariellen Beratungsgesellschaft Meyertthole Siems Kohlruss (MSK). Gemeinsam mit der E+S Rück wollen die Berater einen Datenpool für Cyber aufbauen, um die Kalkulation langfristig auf eine solide aktuarielle Grundlage stellen zu können. Ob das bei der extremen Geschwindigkeit der technischen Entwicklung je möglich sein wird, muss sich zeigen.
Die Gefahr von großen Kumulschäden etwa durch eine Attacke auf einen Cloud-Anbieter, die nach Lloyd's-Berechnungen einen Schaden von bis zu 19 Mrd. US-Dollar auslösen könnte, hält Siems momentan für nicht allzu groß, denn es gebe schlicht noch nicht genug Policen im Markt, um hier bei den Versicherern entsprechende Schäden anrichten zu können.
Innerhalb der nächsten fünf Jahre erwartet MSK für Deutschland ein Prämienvolumen von rd. 1 Mrd. Euro. "Cyber wird dann so selbstverständlich sein wie die Feuerdeckung oder die Betriebshaftpflicht." Eine professionelle Kumul-Kontrolle sei für die Cyber-Versicherer dabei allerdings unumgänglich, warnte Siems.