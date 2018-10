22.10.2018 – Franke und Bornberg hat ein erstes Rating von Policen gegen Computerkriminalität vorgelegt. Darin liegen AIG, HDI, Hiscox und Markel an der Spitze. Allerdings konnte kein Anbieter die Höchstnote erzielen. Im Vergleich waren 34 Cyber-Tarife für kleine und mittelständige Unternehmen (KMU) von 28 Gesellschaften.

Versicherungsschutz gegen Internet-Kriminalität wird verstärkt nachgefragt. Das zeigt zum Beispiel eine Umfrage des Gesamtverbandes der versicherungsnehmenden Wirtschaft e.V. (GVNW). Demnach planen mehr als vier Fünftel der mittelständischen Industrieunternehmen den Abschluss einer Cyber-Police in den nächsten zwei Jahren (VersicherungsJournal 9.10.2018).

Kleinere Unternehmen sind sich der Gefahren dagegen weniger bewusst (VersicherungsJournal 20.9.2018). Aber Innerhalb nur weniger Jahre seien Cyberrisiken ins Spitzenfeld bedeutender Geschäftsrisiken aufgestiegen, warnt die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (Eiopa) in einem Bericht (VersicherungsJournal 21.8.2018).

Das spüren auch die in diesem Markt tätigen Versicherer. „Etwas mehr als jede zehnte Police ist bei uns von einem Schaden betroffen“, sagte Michael Daum von der Allianz Global Corporate & Specialities SE (AGCS) auf einer Tagung (VersicherungsJournal 24.9.2018).

Mehr als 40 Anbieter

Entsprechend der zunehmenden Bedeutung dieser Risiken weitet sich das Angebot an Versicherungsdeckungen aus.

Nach Angaben von Dirk Kalinowski, Produktmanager IT und Cyber bei der Axa Versicherung AG, sind 40 Anbieter beim Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) gemeldet. Hinzu kämen zahlreiche Makler mit eigenen Wordings. Den Markt der Cyber-Versicherungen bezeichnete er als sehr heterogen und unübersichtlich (VersicherungsJournal 24.9.2018).

Das bestätigt auch die Covomo Versicherungsvergleich GmbH. Sie bietet einen Vergleich von Cyberpolicen für Privataushalte an (VersicherungsJournal 21.9.2018). Eine Gegenüberstellung solcher Versicherungen für kleine und mittlere Unternehmen bietet die Cari GmbH unter der Marke Cyberdirekt an (VersicherungsJournal 20.12.2017, 17.11.2017). Sie kooperiert auch mit anderen Maklern (VersicherungsJournal 14.9.2018).

Erstes Cyber-Rating

Einen Marktüberblick mit Bewertung der Leistungsunterschiede hat jetzt die Franke und Bornberg Research GmbH veröffentlicht. Für das erste Rating für gewerbliche Cyber-Policen im deutschen Markt hat das Analysehaus 35 Tarife und Bausteinlösungen von 28 Anbietern untersucht.

Dabei haben die Rater nach eigener Aussage große Leistungsunterschiede und nur wenige Top-Tarife vorgefunden. Den Leistungsumfang der untersuchten Tarife beschreiben sie so: „Im Kern tritt die Cyber-Versicherung ein für Schäden des Versicherten (Eigenschaden) oder Dritter (Drittschaden) durch ungewollte Einwirkungen, Zugriffe und Nutzung von IT-Systemen des Versicherten sowie im Zuge des Cyber-Schadens entstehende Kosten.

In der Drittschadendeckung gibt es (mehr oder weniger ausgeprägte) Deckungs-Überschneidungen mit klassischen Betriebshaftpflicht-, Vermögensschaden-Haftpflicht-, Produkthaftpflicht- und D&O-Haftpflicht-Versicherungen.

Im Bereich Eigenschäden entstehen teils weitreichende Überschneidungen mit Vertrauensschaden-Versicherungen, insbesondere bei zielgerichteten Hacker-Angriffen sowie Betrug und Diebstahl (Phishing, Pharming, Fake President et cetera).“

Wir beobachten deutliche Unterschiede in Aufbau und Umfang der Cyber-Bedingungen. Michael Franke, Franke und Bornberg Research GmbH

Erhebliche Leistungsunterschiede

Zum Deckungsumfang erklärt Michael Franke, geschäftsführender Gesellschafter von Franke und Bornberg: „Wir beobachten deutliche Unterschiede in Aufbau und Umfang der Cyber-Bedingungen.

Vom großen Komplettpaket über Baukastensysteme bis hin zu eng gefassten Kern-Deckungen ist alles vertreten. Was der eine Versicherer über eine Rechtsschutz-Versicherung löst, die an den Cyber-Hauptvertrag angedockt wird, webt der andere in Cyber-Drittschadendeckung und Krisen-Dienstleistungen ein.“

Die Versicherer verwendeten unterschiedlichste Begriffe, stellt Franke fest. So würden etwa bei der Definition der versicherten Gefahren genannt:

„Netzwerksicherheits-Verletzung“

„IT-Sicherheitsverletzung“

„Hacker-Angriff“

„Cyber-Angriff“

„Cyber-Einbruch“

„Cyber-Attacke“

„Cyber-Rechtsverletzung“

„Cyber-Sicherheitsvorfall“

Die meisten Begriffe seien zwar ähnlich, aber im Detail unterschieden sie sich sehr. Die Konsequenzen daraus seien für Vermittler und Kunden unabsehbar, warnt Franke.

Noch herrscht hohe Unsicherheit bei der Entwicklung einer für Kunden wirkungsvollen und für den Versicherer tragbaren Risikodeckung. Michael Franke, Franke und Bornberg Research GmbH

Oft Mogelpackungen

Michael Franke (Bild: F. Neuenhausen)

Zum Stand der Entwicklung der Bedingungen meint Franke: „Noch herrscht hohe Unsicherheit bei der Entwicklung einer für Kunden wirkungsvollen und für den Versicherer tragbaren Risikodeckung.“

Soweit eine Schadenhistorie vorläge, hätte sie keine Aussagekraft für die Zukunft, weil die Cyber-Risiken sich dynamisch entwickelten. Weil Versicherer diese nicht einschätzen könnten, versuchen sie das Risiko an vermeintlich besonders kritischen Stellen in den Bedingungen zu begrenzen.

Das Ergebnis ist nach der Analyse von Franke und Bornberg „nicht selten eine Mogelpackung“. So seien bei dem manchmal mitversicherten Cloud-Ausfall teilweise SaaS-Dienste (Software as a Service) ausgeschlossen oder nur DoS-Angriffe (Denial of Service = Nichtverfügbarkeit) auf den Cloud-Anbieter versichert.

Zudem sublimitierten die meisten Anbieter Angriffe auf den Betreiber einer Cloud – und in deren Folge Betriebsunterbrechungs-Schäden beim Versicherungsnehmer – stark oder schließen diese Gefahr vom Versicherungsschutz gleich vollständig aus.

Rating auf Basis der Versicherungs-Bedingungen

Datengrundlage für das Rating von Franke und Bornberg sind die Standard-Bedingungen der Versicherer. Die Basis bilden die Haus-Wordings der Versicherer, inklusive standardisierter Klauselbögen und Sideletter.

Zu dieser Auswahl erläutern die Rater: „Bewertungen stützen sich nur auf das, was in den rechtlich bindenden Unterlagen geregelt ist. Denn nur darauf können sich Versicherte im Ernstfall auch verlassen.“ Die Analysten weisen darauf hin, dass auf Nachfrage so gut wie alle Positionen verhandelbar sind.

Untersucht wurden Kompaktprodukte, einzeln wählbare Leistungsbausteine sowie Zwischenformen inklusive aller angebotenen Bausteine / Optionen.

Einbezogen wurden insgesamt 34 Cyber-Tarife für kleine und mittelständige Unternehmen (KMU) von 28 Gesellschaften. Konzepte von Deckungskonzept-Anbietern und Maklerpools sind nicht dabei, weil diese „derzeit noch nicht öffentlich zugänglich“ seien.

Verglichen wurden 115 Kriterien

Franke und Bornberg haben für das Rating nach eigenen Angaben 115 Kriterien in 21 Bereichen herangezogen.

Analysiert für das Rating würden „vor allem Merkmale, die für die Mehrheit der KMU relevant sind und typischerweise in bisherigen Haftpflicht- und Sachversicherungen nicht gedeckt sind. Nicht berücksichtigt wurden hingegen Deckungsbestandteile, die in aller Regel in anderen etablierten Sparten gedeckt sind, beispielsweise Personenschäden und Schäden aus Produkthaftung“.

Besonders hoch bewertet Franke und Bornberg folgende Kriterien:

„Ertragsausfall und Mehrkosten

Betriebsunterbrechung durch Cloud-Ausfall

Durch Freistellungserklärung übernommene gesetzliche Haftpflicht Dritter

Vertragliche Haftung

Verletzung von Persönlichkeitsrechten

Geografischer Wirkungsbereich

Umgang mit Gefahrerhöhung

Benachrichtigungs-Pflichten bei Datenschutzverstößen

Krisenmanagement

Klarheit der Formulierung der Obliegenheiten

Definition der versicherten Gefahren

Definition der versicherten IT-Systeme sowie

Einschränkungen bei der Wiederherstellung der IT-Systeme“

Alle Kriterien und deren Gewichtung nennen die Analysten in ihren Bewertungsrichtlinien (PDF, 282 KB).

Von Top-Tarifen erwarten die Rater unter anderem diese Leistungen:

Betriebsunterbrechung: Deckung von Ertragsausfällen

Drittschäden: Deckung auch für immaterielle Schäden

Mehrere Versicherungsverträge: keine Subsidiarität der Cyber-Deckung

Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen / Schäden (nicht für solche, die hätten bekannt sein müssen)

Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als 12 Monate nach Schadenfeststellung

Höchstnoten nicht vergeben

Die von den Analysten vorgegebenen Anforderungen wurden von den untersuchten Versicherern nicht vollständig erfüllt. Die höchsten Ratingnoten „FFF+“ und „FFF“ wurden deshalb nicht vergeben.

Ein Achtel der Tarife erreichte die dritthöchste Note „FF+“. Fast die Hälfte landete bei „FF“ und fast ein Viertel bei „F+“. Mehr als ein Sechstel kam über die beiden schlechtesten Noten nicht hinaus.

Der Notenspiegel des Cyber-Ratings (Bild: Franke und Bornberg)

Franke sieht „noch Luft nach oben“. „Erfahrungsgemäß haben unsere Ratings spürbaren Einfluss auf die Produktqualität. Produktentwickler orientieren sich an den Bewertungskriterien. Ich bin deshalb optimistisch, dass sich das Leistungsniveau und die Präzision der Formulierungen in dieser noch jungen Sparte in den nächsten Jahren spürbar verbessern werden.“

AIG, HDI, Hiscox und Markel an der Spitze

Die mit „mit FF+“ bewerteten und damit nach Ansicht der Rater stärksten Policen liefern:

Die nächst folgenden Unternehmen und Tarife („FF“) sind (Auswahl, in alphabetischer Reihenfolge):

Versicherungsschutz ab 1.000 Euro Jahresbeitrag

Nach Angaben von Franke und Bornberg ist eine Million Euro Versicherungsschutz – je nach Branche und Geschäftsmodell – schon für weniger als 1.000 Euro Jahresprämie erhältlich.

Allerdings habe die Assekuranz kein einheitliches Verständnis von KMU. Die Grenzlinie zwischen Gewerbe- und Industriebetrieben verlaufe zwischen fünf und 50 Millionen Euro Jahresumsatz.

Vermittler und generell Finanzdienstleister würden hinsichtlich ihrer Cyber-Risiken offenbar als gefahrenträchtig gelten. Nur wenige Versicherer seien bereit, ihnen Schutz zu bieten. Das sei der Gewinnung von Vermittlern für den Vertrieb von Cyber-Produkten nicht gerade dienlich, geben die Rater zu bedenken.

Der Markt für Cyber-Policen ist momentan noch durch große Unsicherheit geprägt. Franke und Bornberg

Änderungen im Monatsrhythmus

In einem Ausblick schreiben Franke und Bornberg: „Der Markt für Cyber-Policen ist momentan noch durch große Unsicherheit geprägt. Versicherungs-Bedingungen und Leistungsumfang ändern sich manchmal im Monatsrhythmus; handwerkliche Fehler werden schnell behoben."

Besserstellungsklauseln werden bei eigenen Bestandsumstellungen angeboten, beziehen sich aber meistens nur auf die eigene Deckung des Versicherers.

Franke hofft darauf, dass sich in der Branche einheitliche Begrifflichkeiten für versicherte Gefahren und Leistungen etablieren können. Das Bedingungswerk des GDV schafft eine gute Grundlage, lasse aber an einigen Stellen noch die gebotene Präzision und Trennschärfe vermissen.

„Spannend wird sein, ob sich die Cyber-Versicherung als Ergänzung der klassischen Produktpalette im Markt etabliert oder, ob sie den angestammten Sparten nach und nach das Wasser abgräbt. Dann könnte zum Beispiel eine Betriebshaftpflicht-Versicherung zum Annex einer Cyber-Versicherung werden“, schreibt Franke.