Cyber außer Kontrolle?
15. Februar 2022Dr. Marc Surminski |
Ist die Cyber-Versicherung außer Kontrolle? Die Wachstumshoffnungen für den deutschen Cyber-Markt sind weiter groß – aber der Anstieg der Schäden noch größer. 2021 hat sich etwa die Zahl der Schadenmeldungen beim Spezialversicherer Hiscox nahezu verdoppelt. Erpressungsversuchen mit Ransomware nahmen marktweit besonders stark zu. In Frankreich bieten große Versicherer mittlerweile keine Deckung mehr für diese Angriffe. Und in den USA stiegen die Preise für Cyber-Policen zuletzt im Marktschnitt um 130% – drastische Maßnahmen einer Branche, die nicht von den Schäden in den Abgrund gezogen werden will.
Die Schaden-Dynamik bei Cyber ist mit keiner anderen Sparte zu vergleichen, weil sie aus der Dynamik bei der Digitalisierung der Welt kommt. Erfahrungen mit Schäden können kaum in die Kalkulation einfließen, weil sich die Bedrohungslage rasant verändert. Weltweit arbeiten Heerscharen an hochprofessionellen Cyber-Kriminellen an immer neuen Angriffsmethoden. Keine andere Versicherungssparte ist mit so einer flächendeckenden Kriminalitäts-Bedrohung konfrontiert. Jedes Unternehmen ist Zielscheibe von Hackern; jedes Unternehmen kann mit dem nötigen Aufwand auch tatsächlich gehackt werden. Dazu kommt die Bedrohung durch Cyber-Terroristen, die nicht selten im engen Schulterschluss mit einzelnen Staaten agieren und die Angriffe auf das Niveau eines Cyber-Krieges heben. Und durch die oft globale Nutzung von Software sind bei den Schäden Kumule in gigantischem Ausmaß denkbar – die Attacke auf Microsoft Exchange vor einem Jahr gab einmal mehr eine Ahnung vom möglichen Risikopotential.
Vor diesem Hintergrund suchen immer mehr Unternehmen Cyber-Deckung – und immer mehr Versicherer halten sich bei dieser Deckung zurück. Die Frage ist, ob die Cyber-Versicherung tatsächlich ihrer selbstpropagierten Rolle gerecht wird und der Wirtschaft bei den elementaren Risiken der Digitalisierung Schutz bieten kann. Inzwischen hat sich die Kapazität deutlich reduziert. Für Großunternehmen gibt es im Cyber-Markt ohnehin keine Deckungssummen, die ihre Risiken auch nur annähernd adäquat abbilden würden. Ob der Kapitalmarkt einspringen kann, ist fraglich. Hier wäre zwar genug Kapazität vorhanden, aber anders als etwa bei Naturkatastrophen gibt es eben bei Cyber kaum belastbare Daten, mit denen Investoren ihr Risiko vernünftig modellieren können.
Um wieder die Kontrolle über das Risiko zu bekommen, wird sich die Cyber-Versicherung künftig deutlich ändern müssen: von einer kompletten Absicherung zu einer Katastrophendeckung. Die Kunden tragen dabei höhere Selbstbehalte – und investieren massiv in die eigene IT-Sicherheit. Die Aufrüstung gegen Cyberkriminalität und die Umsetzung umfassender Präventionsmaßnahmen werden die Grundvoraussetzung dafür sein, dass Cyberrisiken überhaupt noch versicherbar sind. Hier liegt künftig die Hauptfunktion der Cyber-Versicherer: Ihre Kunden bei der Überprüfung der IT-Sicherheit und der Schadenprävention so tatkräftig zu unterstützen, dass dann die Spitzenrisiken weiter abgedeckt werden können.
Ob das reicht, um die Cyber-Versicherung langfristig zum Erfolg zu führen, bleibt abzuwarten. Ob Cyber tatsächlich zur „Feuerversicherung des 21. Jahrhunderts“ wird, bleibt ebenfalls abzuwarten. Letztlich wird es von der künftigen Dynamik der Bedrohungslage abhängen, ob das traditionelle Versicherungsprinzip – Verteilung des Risikos auf viele Schultern über längere Zeiträume – in einer digitalisierten Welt noch funktioniert und die Versicherer für die Deckung von elementaren Risiken der Digitalisierung noch relevant bleiben. Der Ausgang ist offen.
Kategorisiert in: 202204 Cyber Titelthema Wirtschaftskommentar