Cyberversicherung: Neue Anbieter und Risikofragen fordern Makler heraus

Die Gefahr durch Cyberangriffe wächst für die deutsche Wirtschaft. Laut Digitalverband Bitkom belief sich der Schaden für die deutsche Wirtschaft 2023 auf 148 Milliarden Euro. Fast jedes zweite Unternehmen befürchtet, dass im Fall eines erfolgreichen Cyber-Angriffs die eigene Existenz auf dem Spiel stehen könnte.

Der Abschluss einer Cyber-Versicherung ist somit dringend anzuraten. Die Unternehmen stoßen dabei auf einen sehr dynamischen Markt, was auch für Makler zu einer Herausforderung wird. 

Während sich Anbieter wie die Axa in Teilen aus dem Markt zurückziehen, greifen Anbieter wie Stoik oder Coalition mit neuen Produktkonzepten die etablierten Versicherer an. Dies führt zum einen zu einem breiteren Angebotsspektrum, das den Schutz suchenden Unternehmen zugute kommt. Zudem dürften die neuen Marktteilnehmer auch dafür sorgen, dass die etablierten Anbieter ihre bestehenden Produkte anpassen und überarbeiten. Laut des aktuellen Marktvergleichs des Spezialmaklers CyberDirekt, der procontra vorab exklusiv vorliegt, haben 85 Prozent der 17 untersuchten Anbieter im vergangenen Jahr ihre Produktkonzepte überarbeitet – entweder im Hinblick auf den Preis, die Zeichnungsbereitschaft oder aber die Bedingungswerke.

Ein wichtiger Aspekt, der laut der Autoren Ole Sieverding und Seyda Simsir immer noch zu kurz kommt, sind dabei die Risikofragen der Versicherer, mit denen diese die IT-Sicherheitsstandards der Unternehmen abfragen. „Aus unserer Sicht wird gerade den Risikofragen bei der Wahl einer Cyberversicherung immer noch zu wenig Beachtung geschenkt. Der Fokus liegt oft zu stark auf einem reinen Preisvergleich. Neben Preis und Leistung müssen vor allem auch die Risikofragen stärker in die Entscheidungsfindung einfließen“, sagt CyberDirekt-Geschäftsführer Sieverding. Welche Folgen falsch beantwortete Risikofragen haben können, zeigten zuletzt Urteile der Landgerichte Tübingen sowie Kiel.

Die Ausgestaltung der Risikofragen, die unter anderem die Passwortsicherheit, Datensicherung oder Notfalldokumentation umfassen, variiert dabei stark von Anbieter zu Anbieter. Das zeigt sich zum einen am Umfang des Fragenkatalogs: Während ein Anbieter lediglich eine Frage beantwortet haben möchte, stellen andere Versicherer bis zu 21 Risikofragen. „Allerdings sagt die bloße Anzahl an Fragen nichts darüber aus, wie schnell bzw. einfach diese zu beantworten sind“, warnen die beiden Autoren. Rund zwei Drittel prüfen mit einer einzelnen Frage nämlich gleich mehrere Anforderungen.

Doch auch inhaltlich gibt es große Unterschiede. So gebe es keine Risikofrage, die identisch von mehreren Versicherern gestellt wird. Beispiel Firewall: Zwar fordern fast alle Anbieter (94 Prozent) seitens ihrer Kunden eine aktive Firewall und Anti-Viren-Lösung. Rund 50 Prozent konkretisieren indes, für welche IT-Systeme Virenschutz bestehen muss. Knapp 60 Prozent spezifizieren zudem, wie häufig dieser aktualisiert werden muss. Ein knappes Drittel fordert automatisch aktualisierte Antivirenprogramme und Firewalls.

Während manche Versicherer die Fragen folglich sehr vage formulieren, haken andere Anbieter sehr spezifisch nach. Beide Modelle haben für den Versicherungsnehmer dabei ihre Vor- und Nachteile. Während vage Formulierungen beispielsweise die Flexibilität des Versicherungsnehmers erhöhen und so die Pflicht vermieden wird, unterjährige Veränderungen an den Versicherer zu melden, erlauben präzisere Fragen dem Versicherer eine präzisere Risikobewertung und eine genauere Prämienkalkulation. Zudem besteht mehr Klarheit in der Schadenbearbeitung, wodurch Streitigkeiten im Schadenfall vermieden werden können.

Vor allem jüngere Marktteilnehmer, wie beispielsweise Stoik oder Coalition, setzen verstärkt auf Sicherheitsscans, bei denen die IT-Infrastruktur der Versicherungsnehmer auf potenzielle Einfallstore hin untersucht werden. Im Gegenzug müssen die Unternehmen weniger Risikofragen beantworten. Manche Anbieter stellen die Ergebnisse den Unternehmen auch zur Verfügung, so dass diese mögliche Schwachstellen beheben können.

Zu beachten ist hierbei aber, dass aktuell noch eine rechtliche Unklarheit darüber besteht, ob negative Scan-Ergebnisse und eine ausbleibende Behebung von Schwachstellen im Schadenfall nicht zum Nachteil des Versicherungsnehmers ausgelegt werden können.

Ein weiterer Trend: Schulungen der Mitarbeiter erhalten eine immer größere Relevanz. Sieben der 17 untersuchten Anbieter schließen diese Anforderung in ihrer Risikoprüfung mit ein. Für die Kunden kann sich diese Anforderung jedoch bezahlt machen: So honorieren einige Anbieter regelmäßige Mitarbeiter-Schulungen beispielsweise mit einer Reduzierung des Selbstbehalts von bis zu 50 Prozent.

Insgesamt raten die Autoren dazu, die Risikofragen mit großer Sorgfalt zu beantworten. Denn welch gravierende Folgen eine fahrlässige Beantwortung haben kann, zeigt nicht zuletzt das Kieler Landgerichtsurteil. So kann Kunden hier nicht nur die Kündigung des Vertrags oder die Rückforderung bereits gezahlter Leistungen drohen, sondern im Falle eines Betrugsverdachts sogar strafrechtliche Konsequenzen.

Makler sind hier nicht nur in der Pflicht, den Risikofragen besondere Aufmerksamkeit zu schenken, sondern auch, ihre Kunden über die wachsende Bedeutung der IT-Sicherheit für den Abschluss einer Cyberversicherung sowie entsprechende Möglichkeiten zur Schaffung höherer IT-Resilienz aufzuklären. Angesichts der sehr differenzierten Ausgestaltung der Versicherungsbedingungen und Risikofragen sowie des sehr dynamischen Marktes dürfte die Beratung für Makler jedoch alles andere als einfacher geworden sein. Allerdings bietet sich ihnen hier auch die Chance, den Wert einer umfangreichen Beratung ihren Kunden unter Beweis zu stellen.