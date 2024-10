25.10.2024 – Der Versicherungsmakler Cyberdirekt hat in einer aktuellen Marktanalyse erneut die Bedingungswerke führender Anbieter untersucht. Die Ergebnisse zeigen: Auf einem ohnehin unübersichtlichen Markt differenzieren sich die Angebote weiter aus. Und auf die Kunden kommen strengere Anforderungen hinzu. Wer nicht in Prävention gegen Cyberattacken investiert, muss damit rechnen, keinen Schutz zu finden, oder aufgrund von Obliegenheitsverletzungen im Leistungsfall Rechtsstreite fürchten. Dabei werden noch immer die Risikofragen unterschätzt.

Kleine und mittlere Unternehmen sehen sich zunehmend Cybergefahren ausgesetzt. Auf mehr als 148 Milliarden Euro schätzt der Branchenverband Bitkom e.V. den Schaden, der den deutschen Firmen allein im Jahr 2023 durch Cyberattacken entstanden ist.

Eine weitere Zahl lässt aufhorchen: Acht von zehn deutschen Firmen seien bereits von Datendiebstahl, Sabotage oder Spionage betroffen gewesen (VersicherungsJournal 13.9.2024). Zwei Drittel der befragten 1.003 Unternehmen sehen sich dadurch in ihrer Existenz bedroht.

Hoher Beratungsbedarf für Vermittler

Damit wächst der Aufklärungsbedarf für Versicherungsvermittler. Beraten sie Gewerbekunden, so müssen sie diese auf das wachsende Cyberrisiko aufmerksam machen und entsprechenden Schutz anbieten.

Die Vermittler sehen sich dabei mit einer jungen Produktgattung konfrontiert, in der Bedingungswerke wenig standardisiert sind – und die im Zweifel strenge Ausschlüsse und Obliegenheiten beinhalten. Denn auch die Versicherer müssen auf die wachsende Bedrohungslage reagieren.

Im Februar mahnte die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) die Assekuranzen zu einer vorsichtigeren Zeichnungspolitik: Viele Versicherer geben mehr für Schäden und Verwaltung aus, als sie an Beiträgen einnehmen (14.2.2024).

Fast neun von zehn Versicherern überarbeiten Bedingungswerke

Wie sich das schwierige Marktumfeld auf die Bedingungswerke der Versicherer auswirkt, hat nun erneut der Makler Cyberdirekt GmbH untersucht. Für die Cyberdirekt Marktanalyse 2024 wurden die Risikoprüfungen von 17 führenden Anbietern von Cyberversicherungen analysiert. Im Fokus stand, welche IT-Sicherheitsstandards für Unternehmen entscheidend sind, um den optimalen Versicherungsschutz einkaufen zu können.

Tatsächlich beobachten die Studienmacher einen sehr dynamischen Markt. Rund 85 Prozent der Cyberversicherer haben ihre Bedingungswerke in den ersten drei Quartalen 2024 überarbeitet, so ein Kernergebnis der Analyse. Diese Anpassungen betreffen nicht nur die Vertragsbedingungen selbst, sondern auch Kapazitäten, Risikoprüfungen und Prämien.

Mit anderen Worten: Versicherer achten inzwischen sehr genau darauf, welche Unternehmen sie zu welchen Konditionen und Prämien versichern – und welche Schutzmaßnahmen diese zur Schadenvermeidung umsetzen müssen.

Einige Versicherer ziehen sich zurück

Doch der Markt entwickelt sich keineswegs nur in eine Richtung. Während sich einige Versicherer fast vollständig zurückziehen und eine strengere Zeichnungspolitik umsetzen, zum Beispiel die Axa Versicherungen, gebe es ebenso Akteure, die sich über günstigere Preise und bessere Bedingungen am Markt platzieren.

Hinzu treten neue Wettbewerber, die mit „jungen Produktkonzepten frischen Wind in den deutschen Markt bringen“, heißt es in der Analyse. Dies trage zu zusätzlichen Kapazitäten bei und verstärke den Wettbewerbsdruck – Entwicklungen, von denen die KMU profitieren.

Risikofragen bedeuten für Vermittler hohe Haftungsrisiken

Für Versicherungsvermittler führt dies zu einer wachsenden Unübersichtlichkeit, da der Cybermarkt noch heterogener werde, so berichten die Studienmacher weiter. Dabei verlangen die Versicherer zunehmend höhere Mindeststandards in der IT-Sicherheit. Fast alle Versicherer hätten ihre Anforderungen erhöht und den Umfang ihrer Risikofragen im Antrag entsprechend ausgeweitet.

Damit gilt den Risikofragen ein besonderer Fokus. „Aus unserer Sicht wird gerade den Risikofragen bei der Wahl einer Cyberversicherung zu wenig Beachtung geschenkt, obwohl dies entscheidend für eine reibungslose Regulierung im Schadenfall ist”, sagt Ole Sieverding, Geschäftsführer von Cyberdirekt.

Aktuelle Gerichtsentscheidungen hätten gezeigt, dass die Falschbeantwortung zu großen Haftungsrisiken führen kann. „Der Fokus liegt meist zu stark auf einem reinen Preisvergleich. Mit unserer Analyse wollen wir erreichen, dass neben Preis und Leistung vor allem auch die Risikofragen stärker in die Entscheidungsfindung einfließen”, warnt Sieverding.

Keine Leistung wegen arglistiger Täuschung

Ein Beispiel für die hohen Haftungsrisiken ist ein Urteil des Landgerichts Kiel vom 23. Mai 2024. Die Richter entschieden, dass ein Versicherer nach einem Schaden nicht zahlen muss, da der Kläger – ein Holzfachhandel, der seinen Vertrag über einen Versicherungsmakler abgeschlossen hatte – Antragsfragen falsch beantwortet hatte.

Der Holzfachhandel hatte im Antrag bestätigt, dass alle stationären und mobilen Arbeitsrechner mit aktueller Software ausgestattet seien und regelmäßig Sicherheitsupdates erhalten. Tatsächlich nutzte das Unternehmen jedoch Rechner, auf denen das Windows-Betriebssystem von 2008 installiert war, für das seit Jahren keine Sicherheitsupdates mehr bereitgestellt werden. Das Gericht wertete diese falschen Angaben als arglistige Täuschung (5 O 128/21) (Medienspiegel 11.6.2024).

Wenige Risikofragen bedeuten nicht automatisch geringeres Haftungsrisiko

Beim konkreten Blick darauf, wie die Versicherer ihre Risikofragen gestalten, zeigen sich große Unterschiede. Die Anzahl der Fragen variiere zwischen einer und bis zu 21 Fragen beim gleichen Kunden, berichtet Cyberdirekt. Die Zahl der Risikofragen bestimme jedoch nicht allein, wie schnell beziehungsweise einfach diese zu beantworten seien. So stellen 64 Prozent der Versicherer mit nur einer Frage mehrere Anforderungen.

Mit anderen Worten: Nur auf den ersten Blick sind Anträge von Versicherern mit wenigen Risikofragen leichter zu beantworten.

Der Teufel steckt wie so oft im Detail, so dass sich wenige Fragen auch als Werbetrick eines Anbieters entpuppen können – und nicht weniger Komplexität bieten müssen. Grundsätzlich wird hierbei zwischen allgemeinen Risikofragen (Umsatz, Zahl der Mitarbeiter et cetera) und technischen Risikofragen (konkrete Schutzmaßnahmen für die IT) unterschieden.

Welche Sicherheitsstandards von den KMU verlangt werden, richte sich auch nach der Branche und dem Jahresumsatz des Betriebs. Etwa ein Drittel der Versicherer (35 Prozent) führt die Risikoprüfung nach Umsatzbändern durch. Das bedeutet: Unternehmen, die in einer bestimmten Umsatzspanne liegen, müssen die gleichen Risikofragen beantworten. Die Studienmacher haben 14 verschiedene Umsatzbänder zwischen 2,5 und 100 Millionen Euro identifiziert.

Deutliche Unterschiede je nach Branche

Branchenabhängig gibt es zudem spezifische Zusatzfragen. So wird zum Beispiel im Handel oft danach gefragt, welchen Anteil der Online-Umsatz am Gesamtumsatz ausmache. Diese Information sei wichtig, um das Risiko einer Betriebsunterbrechung zu errechnen – und werde zunehmend auch bei anderen Branchen abgefragt.

Bei produzierenden Unternehmen werde häufig (18 Prozent) nach der Trennung von Informations- (IT) und operativer Technologie (OT) gefragt. Vereinfachend gesagt: Werden mit der Technologie Daten verarbeitet oder Maschinen gesteuert?

Die Cyberexperten stellten auch deutliche Unterschiede bei der Art der Risikofragen fest. Während einige Anbieter sehr vage bleiben, gehen andere ins Detail und definieren sehr genaue Anforderungen.

Beide Ansätze bieten Vor- und Nachteile – sowohl für Versicherer als auch für Kunden. Je genauer eine Risikofrage formuliert wird, desto klarer ist für beide Parteien, welche Vorsichtsmaßnahmen ergriffen werden müssen. Das schafft eine hohe Rechtssicherheit und erlaubt dem Versicherer eine genaue Risikokalkulation. Detaillierte Fragen können jedoch Kunden und Vermittler überfordern und schränken den Spielraum für flexible Lösungen ein.

Risikofragen wenig standardisiert

Wie wenig die Risikofragen standardisiert sind, zeigt ein weiteres Ergebnis der Studie: Keine Risikoanfrage werde von allen Versicherern identisch gestellt. Dies verdeutliche die Diversität der Risikobewertung unter den einzelnen Anbietern.

Es gibt jedoch fünf Risikofragen, die von der Mehrheit gestellt werden. Dazu zählen Fragen nach Firewall und Antiviren-Lösungen, Datensicherung, Patch-Management (werden regelmäßig Updates eingespielt?), Berechtigungskonzepten (welche Zugangskontrollen bestehen und gibt es separate Benutzerkonten?) und Fernzugriffen (müssen externe Nutzer sich über mehrere Faktoren identifizieren, um Zugang zum System zu erhalten?).

Präventionsmaßnahmen mit Rabatten belohnt

Wie wichtig Prävention mittlerweile ist, zeigt ein weiterer Fakt: Vier von zehn Versicherern (41 Prozent) fordern regelmäßige Mitarbeiterschulungen und IT-Sicherheitstrainings, um überhaupt Schutz zu gewähren. Doch auch, wo dies nicht obligatorisch ist, können sich derartige Maßnahmen lohnen.

Die Umsetzung belohnen manche Versicherer mit Rabatten bei der Prämie und niedrigeren Selbstbehalten, so berichten die Studienautoren. Zusätzlich zu dem geringeren Risiko, aufgrund des unachtsamen Verhaltens von Mitarbeitern zum Ziel einer erfolgreichen Cyberattacke zu werden.

Cyberdirekt stellt die Ergebnisse der Studie auf seiner Webseite zum Download bereit (PDF-Datei, 16,7 MB).

Der Autor ist Chief Security Officer des Cybersicherheits-Unternehmens Perseus Technologies GmbH, Tochterunternehmen des HDI-Konzerns, mit mehr als zehn Jahren Erfahrung in IT-Sicherheit, Compliance und Industrie unter anderem in hochregulierten Bereichen, Geheimschutz, E-Commerce, B2B-Cloud, Banking.