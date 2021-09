2.9.2021 – Die Cyberversicherung wird in den nächsten Jahren nicht mehr so stark wachsen, wie in der Vergangenheit. Das war einhelliger Tenor einer Tagung. Vor allem mittelständische Unternehmen sind vielfach nur noch schwer versicherbar, wenn sie die Risikoprüfung nicht bestehen.

Die Cyber-Versicherer haben ihre Kapazitäten deutlich zurückgefahren. Gleichzeitig werden höhere Prämien verlangt und die Bedingungen verschärft, so der Tenor am Mittwoch auf der Euroforum-Jahrestagung „Digital Edition Cyber-Insurance 2021“.

Zudem gilt eine deutlich strengere Risikoprüfung. Doch vor allem kleinere Unternehmen sind hier überfordert, weil sie vielfach einfache Cyber-Sicherheitsstandards nicht einhalten. Daher ist ihre Versicherbarkeit derzeit schwierig.

Cyber-Assekuranzen: entspannte Schadenquote

Ramon Platt (Bild: Screenshot Schmidt-Kasparek)

Dabei geht es den Cyber-Versicherern eigentlich ganz gut – noch jedenfalls. Das zeigt eine Erhebung der Aufsicht. Laut der Marktanalyse der Bundesanstalt für Finanzdienstleistungs-Aufsicht (Bafin) haben die Versicherer 2020 insgesamt 240 Millionen Euro Prämien durch Cyberschutz eingenommen. 2016 waren es erst 30 Millionen Euro gewesen.

Gleichzeitig mit dem boomenden Geschäft stiegen die Schäden. So ist die Brutto-Schaden-Kosten-Quote von rund 35 im Jahre 2016 auf 70 Prozent im Jahr 2019 gestiegen.

Doch schon im vergangenen Jahr sank die Combined Ratio wieder auf rund 65 Prozent. „Grund sind aller Wahrscheinlichkeit nach Beitragserhöhungen“, erläuterte Ramon Platt, Bafin-Referatsleiter für Grundsatzfragen der Schaden-/ Unfallversicherung.

Die Schadenquote lag 2020 sogar nur bei rund 40 Prozent. Daher geht es beim harten Markt in der Cyberversicherung vor allem darum, höhere Prämien für künftige Schäden durchzusetzen.

Kleine Firmen fühlen sich sicher

Versicherungsmakler müssen also für ihre Kunden kämpfen und vor allem erst einmal Versicherbarkeit herstellen. Die Kunden müssen dafür nachweisen, dass es ein umfangreiches IT-Management gibt, die Systeme mit aktueller Software geschützt werden, es eine regelmäßige Prüfung des Schutzes gibt, Mitarbeiter geschult werden und eine umfangreiche Datensicherung existiert.

Während solche Vorleistungen von Industrieunternehmen in der Regel erbracht werden, sieht es bei mittelständischen Unternehmen düster aus. „Kleine Firmen fühlen sich sicher und sind immer wieder vollkommen überrascht, wenn sie angegriffen werden“, sagte Professorin Sabine Radomski von der Hochschule für Telekommunikation Leipzig. Manchmal sei der Angreifer dann schon längere Zeit im Netzwerk des Unternehmens unterwegs.

Sabine Radomski (Bild: Screenshot Schmidt-Kasparek)

Die Mitarbeiter seien meist ohnmächtig, wenn es um die Erhöhung der Cybersicherheit geht. „Es wird dann immer hart diskutiert, ob eine neue Investition überhaupt notwendig sei“, so Radomski. Zudem müssten mehrere Mitarbeiter für die IT-Sicherheit verantwortlich sein, die jährlich mindestens vier Wochen eine Weiterbildung besuchen sollten. All das würde von Mittelständlern vielfach nicht geleistet.

Sicherheitsstandards werden nicht genutzt

Cyber-Sicherheitsstandards gibt es nach Einschätzung der Experten in ausreichendem Maße. „Sie werden aber von mittelständischen Unternehmen nicht gelebt“, beklagte Markus Edel, Abteilungsleiter Cyber-Security und Managementsysteme bei der VdS Schadenverhütung GmbH.

Auch Dr. Wolfgang Finkler, Referatsleiter Kritis-Sektoren Finanz- und Versicherungswesen beim Bundesamt für Sicherheit in der Informationstechnik (BSI), beklagte, dass Cybersicherheit in mittelständischen Unternehmen nicht hergestellt werde, weil vielfach die Geschäftsführung kein umfassendes Mindset vorgebe.

Er empfiehlt kleineren Unternehmen, sich in Netzwerken wie der „Allianz für Cyber-Sicherheit“ zu organisieren. „Dann können auch einsame IT-Experten sich durch einen regen Austausch mit anderen Unternehmen mächtig machen“, so Finkler.

Gute Aufstellung in Sachen Cybersicherheit lohnt

Je besser Unternehmen in Sachen Cybersicherheit aufgestellt sind, desto besser können sie versichert werden. Radomski plädierte dafür, dass die Unternehmen nur noch sicherheits-zertifizierte Software verwenden sollen. „Dann kann der Versicherer einen Rabatt bei der Prämie geben, denn das Risiko sinkt deutlich“, so die Wissenschaftlerin.

Sogar Bußgelder, deren Versicherung umstritten ist, können geringer ausfallen, wenn ein Unternehmen nachweislich eine umfassende Cyber-Compliance installiert hat und es dann trotzdem zu einem Verstoß gegen Datenschutzvorschriften kommt. Das bestätigte in einer Diskussionsrunde Stefan Brink, Landesbeauftragter für den Datenschutz und Informationsfreiheit Baden-Württemberg.