Zwei Qualifikationskriterien entscheiden massgeblich über die Versicherbarkeit von Risiken: Eintrittswahrscheinlichkeit und das Schadenausmass. Wird eines der beiden Kriterien mit «tief» bewertet, stehen die Versicherer potenziell vor einem Geschäftsfeld, das langfristig profitabel betrieben werden kann.

Der Gastautor: René Fernandez, Team Leiter Special Risks und Practice Leader Cyber, Kessler & Co, Zürich.

Partner-Inhalte
 
 
 
 
 
 

Bei der Bewertung von Cyberrisiken mussten die Anbieter feststellen, dass sie zu optimistisch waren. Cyberereignisse kommen sehr häufig vor und bringen verheerende Konsequenzen für die betroffenen Unternehmen. Deshalb arbeiteten die Cyberversicherer in den Jahren 2019 bis 2021 fast flächendeckend unrentabel. Lässt sich längerfristig in einem Geschäftsfeld kein Geld verdienen, steht der Ausstieg des Versicherers aus dieser Sparte kurz bevor.

Der globale Cyberversicherungsmarkt verdoppelt sich

Im Gegensatz zu dieser sehr düsteren Ausgangslage zeichnen die globalen Wachstumsprognosen des Cyberversicherungsmarktes ein ganz anderes Bild. Das weltweite Prämienvolumen wird von Imarc aktuell auf etwa 10 bis 12 Milliarden Dollar geschätzt. Eine Verdoppelung des Prämienvolumens wird bereits 2025 erwartet. Wie ist das möglich?

Die Cyberbedrohungslage bleibt unverändert hoch. Neben direkten Angriffen auf Unternehmen stehen auch ganze Lieferketten im Fokus. Gemäss einer repräsentativen Studie der ETH Zürich war jedes fünfte Unternehmen seit 2020 von einem Cyberangriff betroffen. Ransomware-Attacken werden immer komplexer und nehmen kontinuierlich zu. Sie bleiben die grösste Sorge aller Cyberversicherer. Oft greifen die Back-up-Konzepte der Betroffenen nicht und sie sind zu Lösegeldzahlungen gezwungen, um wieder an ihre Daten zu gelangen.

Zwei Drittel der verschlüsselten Daten können wiederhergestellt werden

Die spannende Frage ist nicht, ob Lösegelder gezahlt werden, sondern vielmehr, in welcher Qualität die Daten zurückfliessen. Der IT-Dienstleister Sophos (The State of Ransomware 2021) und Veeam (Data Protection Report 2021) publizierten unabhängig voneinander, dass etwa zwei Drittel der verschlüsselten Daten wiederhergestellt werden können. Der Rest geht selbst nach Lösegeldzahlungen verloren. Diese Form von Attacken wird in absehbarer Zeit nicht abnehmen – im Gegenteil: Mit «Ransomware as a Service»-Dienstleistern ist der Zugang zu solcher Schadsoftware so einfach wie nie zuvor.

Deshalb bleibt die Nachfrage nach Cyberversicherungen weiterhin hoch. Die meisten Versicherer haben sich daher gegen einen Ausstieg aus dem Cyberversicherungsmarkt entschieden und nach Wegen gesucht, diese Sparte nachhaltig profitabel zu gestalten.

Cyberversicherer: Erhöhung von Prämien und Selbstbehalten reichen nicht

Weil das Schadenpotenzial (Frequenz multipliziert mit dem Ausmass) derart hoch bewertet wird, genügten die Sanierungsmassnahmen der Versicherer wie die Erhöhung von Prämien und Selbstbehalten sowie eine Reduktion des Deckungsumfangs und der zur Verfügung gestellten Kapazitäten nicht. Wichtiger wurde die Frage: Welche Kundinnen soll man überhaupt versichern?

Der Markt verlangt nach Mindestkriterien, die eine adäquate Risikoqualität der Unternehmen sicherstellen. So werden umfassende Multi-Faktor-Authentifizierung, zeitgemässes Patch-Management und getestete Back-up-Strategien konsequent eingefordert. Aber auch beim Faktor Mensch werden regelmässige Mitarbeiterschulungen sowie eine präventive Vorbereitung auf Cybervorfälle erwartet. Dieses Sicherheitslevel erreichen bei weitem nicht alle Unternehmen, sodass einige ihre Cyberversicherung nicht mehr erneuern konnten.

Auch bei Neuanfragen bleibt die Ablehnungsquote unserer Erfahrung nach mit 30 Prozent hoch. Die Versicherer legten Kriterien fest, um zwischen guten und schlechten Cyberrisiken zu unterscheiden. Kunden mit einer Cyberversicherung sind deshalb sehr gut aufgestellt. Trotz der gegenwärtigen Cyberbedrohungslage war nämlich ein Versicherer bereit, einen Teil des Cyberrisikos zu übernehmen. Damit wird die Cyberversicherung zum Qualitätssiegel für den Umgang mit Cyberrisiken.

Schwarze Zahlen in dieser Versicherungssparte

Erfreulicherweise haben die ergriffenen Massnahmen 2022 Wirkung gezeigt. Viele Versicherer verzeichnen inzwischen wieder schwarze Zahlen in dieser Versicherungssparte.

Inwiefern diese langersehnte Balance am Cyberversicherungsmarkt von Dauer ist, wird sich zeigen. Fest steht, dass die Unternehmen auch in Zukunft nicht darum herumkommen werden, in ihre Sicherheitsstandards zu investieren. Das Forschungs- und Beratungsunternehmen Gartner Inc. geht davon aus, dass 2025 bereits 80 Prozent der Unternehmen eine Strategie zur Vereinheitlichung von Web-Services, Cloud-Services und privaten Applikationszugriffen über die «Security Service Edge»-Plattformen (SSE) verfolgen und 60 Prozent auf «Zero Trust»-Konzepte umsteigen werden – also weg von einem impliziten vertrauensbasierten Ansatz bei der Erteilung von Zugriffsrechten hin zu einem kontextbasierten und risikoadäquaten Ansatz.

Mit der laufenden Implementierung neuer Regulierungen, wie dem Schweizer Datenschutzgesetz (DSG) und der NIS2-Direktive der EU, in der Cybersecurity-Mindeststandards für die Betreiber kritischer Infrastrukturen festgelegt werden, nehmen auch die rechtlichen Anforderungen an die Unternehmen stetig zu. Es besteht kein Zweifel, dass die Risikoqualität der Unternehmen steigen wird – und das sind durchaus positive Aussichten für die Cyberversicherung.

Dieser Beitrag ist erstmals erschienen am 2. März 2023 im HZ Insurance Special «Cyber Risk» unter dem Titel «Neues Qualitätssiegel».