Die Grenzen der Cyberversicherung

Dr. Marc Surminski |

Crowdstrike hat auch die Versicherungswelt geschockt. Zwar ist bislang noch nicht klar, wie teuer das fehlerhafte Software-Update des US-Techunternehmens für die Weltwirtschaft und die Versicherer tatsächlich wird. Experten gehen davon aus, dass es sich um einen der höchsten Einzelschäden in der noch jungen Geschichte der Cyberversicherung handeln dürfte. Dazu kommen noch Ansprüche aus vielen anderen Sparten bis hin zu D&O. Es ist zu erwarten, dass der Cyber-Markt die bislang prognostizierten Schäden in Milliardenhöhe solide bewältigen kann. Aber trotzdem wirft das Ereignis grundlegende Fragen über den Umgang mit den Risiken einer digitalisierten Welt auf.

Erstaunlich ist etwa das globale Wirrwarr in Bezug auf die Frage, inwieweit wie Cyber greift und wie die Abgrenzung zwischen Cyber und anderen Policen in diesem Fall vorzunehmen ist und welche Risiken sich hier womöglich im Bereich Silent Cyber aufgetan haben. Dazu gibt es bislang diametral unterschiedliche Meinungen im Markt. Das hängt auch damit zusammen, dass es bis heute keine Standards für die Cyber-Deckung gibt. Makler und Assekuradeure waren hier weltweit mit maßgeschneiderten Policen in den letzten Jahren sehr kreativ; selbst in Deutschland sind die GDV-Musterbedingungen nie Marktstandard geworden.

Jetzt müssen Kunden, Makler und Versicherer sortieren, was tatsächlich gedeckt ist. Wenn am Ende dabei herauskommen sollte, dass ein solch einschneidendes Schadenereignis wie Crowdstrike und seine Folgen aus verschiedenen Gründen eben nicht oder nur unvollständig gedeckt sind, dürfte das für schlechte Stimmung bei den Kunden sorgen. Zuletzt war die Nachfrage nach Cyber-Deckung hoch – weil die Risikolage sich entsprechend zugespitzt hatte. Nach Crowdstrike könnten die Kunden sich fragen, wie sinnvoll eine herkömmliche Cyber-Police tatsächlich ist, wenn sie ein fehlerhaftes Update für Windows-Systeme nicht abdeckt.

Außerdem stellt sich mit Crowdstrike erneut die Frage, ob bei Cyber das weltweite Kumul-Risiko tatsächlich beherrschbar ist. Auf einen Schlag war über Windows global eine Vielzahl von Branchen existenziell betroffen. Zwar konnte das Problem schnell behoben werden, und die Ausfälle von Systemen etwa der Fluggesellschaften waren relativ kurz. Aber wenn der Vorfall durch einen ausgefeilten Hackerangriff ausgelöst worden wäre, der die Systeme womöglich für länger in die Knie gezwungen hätte, sähe das Schadenkumul viel größer aus. Kann Cyber ein solches systemisches Risiko, das etwa durch eine weltweite Blockierung der Windows-Systeme oder auch den Ausfall großer Cloud-Anbieter möglich ist, überhaupt bewältigen? Oder kann die Branche am Ende nur Cyber-Deckung anbieten, wenn sie diese Risiken ausschließt?

Cyber boomt. Die Wirtschaft sucht nach Deckung für die Risiken, die sich aus einer immer stärker digitalisierten Welt ergeben. Es muss sich zeigen, ob die Versicherer diese Deckung angesichts der Erfahrungen mit Schäden wie Crowdstrike tatsächlich im Ernstfall liefern können, oder ob die wirklich systemische Risiken am Ende doch nur mit dem Staat als Rückversicherer zu bewältigen sind.