Versicherungspolicen für Cyber-Risiken sind ein Wachstumsfeld: Sowohl im Privatkunden- als auch im Firmenkundengeschäft ist die Nachfrage in den vergangenen Jahren mit soliden zweistelligen Prozentraten gewachsen. Und die Aussichten sind glänzend: Aktuell machen in den USA die kumulierten Cyber-Deckungen lediglich 1 Prozent des gesamten Prämienvolumens aus.
Mittlerweile bieten auch einige schweizerische Gesellschaften Deckungen für Cyber-Risiken an. Zurich beispielsweise ist gemäss Moody’s die Nummer zehn im US-Firmenkundengeschäft mit einem Marktanteil von 2,3 Prozent. In dem grossen, einigermassen fragmentierten Markt haben Chubb (mit 16,3 Prozent), Axa (12,8 Prozent) und AIG (11,6 Prozent) die höchsten Marktanteile. Daneben mischen einige Lloyd’s-Syndikate mit. Befeuert wird das Geschäft durch die zunehmende Regulierungsdichte, wonach attackierte Firmen gravierende Vorfälle sehr rasch melden müssen. Das wiederum steigert die Nachfrage. Der «Notpetya»-Vorfall von 2017, dem eine Attacke auf private Einrichtungen in der Ukraine voranging, betraf aufgrund der Folgeschäden weltweit Dutzende von Erst- und Rückversicherungen.
Das steigende Prämienvolumen geht mit immer teureren Schäden einher. Diese sind nicht mehr konventionell und geografisch begrenzt, wie wenn beispielsweise ein Fabrikgelände abbrennt oder überschwemmt wird. Schäden können sich rasend schnell weltweit verbreiten, jahrelang unentdeckt bleiben und indirekte Probleme wie Reputationsverluste verursachen. Gemäss einer von Accenture gesponserten Studie sind die durchschnittlichen Schäden von Cyber-Vorfällen alleine zwischen 2017 und 2018 um 29 Prozent auf 27 Millionen Dollar gestiegen. Die Melde- und Analysestelle Informationssicherung (Melani) des Bundes kommt unter Verweis auf weitere Erhebungen auf eine durchschnittliche Schadenhöhe von 4,7 Millionen Dollar.
Viele Policen werden nicht massgeschneidert verkauft, sondern sind «ab Stange».
Grosse Firmen mit ausgebauten Governance-Strukturen sind die bedeutendsten Käufer von Cyber-Deckungen. Während diese vor wenigen Jahren noch Limiten von 10 bis 15 Millionen Dollar vereinbart hatten, sind heute 25 bis 100 Millionen Dollar üblich. Einzelne Firmen haben in ihren Policen Grenzen bis zu 750 Millionen Dollar. Oft spielen hier auch die Versicherungsbroker eine wichtige Rolle. Sie unterstützen die Policenkäufer bei Themen wie selber tragbare Risiken oder bei der Auswahl der Cyber-Themen, die durch die Policen gedeckt sein sollen.
Neben dem einfachen «Hacking» sind in den vergangenen Jahren weitere Bereiche wie kontinuierlicher versteckter Daten-Diebstahl (inklusive Geschäftsgeheimnisse, Patente usw.), Social Engineering, Unterbrechung der geschäftlichen Aktivitäten und die Massnahmen nach einer Attacke (Wiederaufsetzen der IT, Besänftigung der wichtigsten Kunden, Informieren der Öffentlichkeit usw.) hinzugekommen.
Kontinuierlich wachsend ist auch die Kundengruppe der KMU. Hier dominieren ähnliche Themen wie bei Corporate-Kunden, die Deckungen sind jedoch kleiner, die Limiten ebenfalls und viele Policen werden nicht einzeln massgeschneidert verkauft, sondern sind «ab Stange».