Cyberversicherungen: Du kommst hier (nicht) rein!

Die Zeiten, in denen Cyberangriffe als maximal ärgerlich wahrgenommen wurden, sind längst Geschichte. Bei immer mehr Unternehmen wächst die Erkenntnis: Ein elaborierter Cyber-Angriff kann nicht nur das Kundenvertrauen untergraben, den Ruf schädigen oder finanzielle Verluste hervorrufen. Cyber-Angriffe können vielmehr die Existenz des eigenen Unternehmens bedrohen.

Laut der Studie „Wirtschaftsschutz 2024“ des Digitalverbands Bitkom unterschrieben knapp zwei Drittel der Unternehmen die Aussage, dass Cyberangriffe ihre geschäftliche Existenz bedrohen. Das ist deutlich mehr als noch drei Jahre zuvor, als weniger als 10 Prozent ihre Existenz durch Hacker in Gefahr sahen. Die Ergebnisse der Bitkom-Umfrage decken sich dabei mit anderen Studien, wie dem „Global Cyber Risk and Insurance Survey 2024“ des Rückversicherers Munich Re.

Die Zahlen lassen darauf schließen, dass in vielen Unternehmen Cyber-Risiken nicht mehr auf die leichte Schulter genommen werden. Insofern überraschte die Aussage des Versichererverbands GDV, dass die Cyber-Versicherung zuletzt hinter den in sie gesteckten Erwartungen zurückblieb. So lag das Wachstum in der Cyberversicherung im vergangenen Jahr laut GDV-Präsident Norbert Rollinger nur noch im einstelligen Prozentbereich. Ein Grund hierfür: Zwei Drittel der Unternehmen in Deutschland seien laut Aussage Rollingers aufgrund des Zustands ihrer IT-Security kaum versicherbar.

Dass die Nachfrage nach Cyber-Versicherungen zuletzt nachgelassen hat, kann Ole Sieverding, Geschäftsführer von CyberDirekt, nicht beobachten. Erst kürzlich veröffentlichte der Berliner Spezialmakler aktuelle Geschäftszahlen: Nach diesen wuchs das vermittelte Prämienvolumen um 40 Prozent auf mehr als 12 Millionen Euro, die Zahl der Verträge auf mehr als 4.000.

Auch die Aussage, dass ein Großteil der Unternehmen nicht mehr versicherbar sei, teilt Sieverding nicht. Zwar stelle man fest, dass einige Versicherer bestimmte Risiken nicht zeichnen wollen. „Grundsätzlich gilt aber: Wer eine Cyber-Versicherung abschließen möchte, für den finden wir auch eine Lösung.“ Zwar kann das in bestimmten Fällen mit Einschränkungen wie geringere Entschädigungsgrenzen, höhere Selbstbeteiligung, Obliegenheiten oder höheren Prämien einhergehen, „aber in 80 bis 90 Prozent der Fälle findet sich dann doch vorbehaltsloser Versicherungsschutz“, so Sieverding.

Dafür sorgt auch eine Vielzahl neuer Assekuradeure am Markt, wie Baobab, Coalition, Stoik oder Eye Security, die mit neuen Ansätzen die Versicherbarkeit von Unternehmen erhöhen. Statt auf klassische, aber fehleranfällige Risikofragebögen setzen sie beispielsweise auf eine Risikoabfrage mittels Oberflächenscan oder stärken mit Präventionsangeboten und Penetrationstests die IT-Sicherheit ihrer Kunden.

Sieverding weist auf einen weiteren Trend hin: So bieten einige der Assekuradeure potenziellen Kunden den Kauf sogenannter MDR an, einer „Managed Detection and Response“-Lösung. Hierbei handelt es sich bildlich gesprochen um eine Art digitalen Wachschutz für die IT-Systeme. „Wer eine solche MDR-Lösung einkauft, kann den Versicherungsschutz mit einer verkürzten Risikoprüfung, in der Regel ohne Auflagen und oft auch mit einem Prämiennachlass bekommen“, so Sieverding.

Unter den Anbietern einer solchen Lösung ist der französische Cyberassekuradeur Stoïk, der seit 2023 auch in Deutschland aktiv ist. „Dabei bekommen die Kunden eine Sicherheits-Software, in unserem Fall von Crowdstrike, die auf einem Endpoint – das kann ein Laptop oder ein Server sein – installiert wird“, erklärt die Stoik-Deutschlandchefin das Prozedere. Diese Software erfasst dann, sobald installiert, ungewöhnliche Vorgänge in Echtzeit und schlägt Alarm, wenn verdächtige Aktivitäten auftreten.

Das System schickt dann eine Alarmmeldung raus. „Hier beginnt der gemanagte Teil“, merkt Geier an. Denn ein Mensch bewertet den eingegangenen Alarm und kann erkennen, ob es sich wirklich um einen Hackerangriff handelt. „Ein IT-Experte bewertet den Alarm und kann gezielt eingreifen – etwa durch das Isolieren von Servern oder das Entfernen eines Hackers aus dem System“, erläutert Geier. Ein Schaden kann auf diese Weise klein gehalten werden. „Die bislang von uns bearbeiteten Schäden zeigen, dass sogenannte Ransomware-Angriffe zwar nicht die häufigsten, wohl aber die schadensträchtigsten Attacken sind“, so Geier.

Noch haben Anbieter, die Cyberversicherungen gebündelt mit Sicherheits-Software verkaufen, nur einen kleinen Marktanteil, sagt CyberDirekt-Geschäftsführer Sieverding. „Bislang ist es eher noch exotisch, aber die Angebote werden in den kommenden Jahren an Relevanz gewinnen.“

Das glaubt auch Christopher Lohmann. Der ehemalige HDI Deutschland-Chef agiert momentan interimsweise als Chief Insurance Officer bei Eye Security, einem Unternehmen, das 2020 von Mitarbeiter der niederländischen Geheim- und Sicherheitsdienste gegründet wurde und mittlerweile auch in Belgien und Deutschland aktiv ist.

Bei Eye Security setzt man vor allem darauf, Kunden aus exponierten Branchen mittels eines für den Mittstand skalierbaren Security Operating Centers (SOC) zu schützen. Exponiert seien unter anderem Unternehmen aus den Bereichen Logistik, Handel und produzierendes Gewerbe, jedoch auch Ärztehäuser sowie staatliche Institutionen. „Im Vordergrund steht bei uns die technische Lösung Cyber Guard, während wir mit der Versicherungslösung das Angebot abrunden wollen“, beschreibt Lohmann den Unterschied des Unternehmens zur Konkurrenz.

Entsprechend kann die hauseigene Sicherheitslösung auch losgelöst von der Cyber-Versicherung erworben werden. „Wir arbeiten viel mit Maklerhäusern zusammen, die oftmals eigene Cyber-Konzepte haben“, erläutert Lohmann den modularen Ansatz des Unternehmens. „20 Prozent unserer Kunden schließen bei uns auch die entsprechende Versicherungslösung ab“, bilanziert Lohmann. Makler verwenden die Eye-Security-Lösung auch dazu, um aufgrund der Reduzierung des Risikos bei bestehenden Cyberversicherern Prämiennachlässe zu erwirken. Mit mehr als 700 Kunden ist das Unternehmen seit seiner Gründung schnell gewachsen, im vergangenen Jahr wies man allein ein Wachstum von 80 Prozent aus.

Auch bei Stoik in Köln blickt man auf eine stark steigende Nachfrage. In seinem ersten Jahr in Deutschland wuchs der Assekuradeur deutlich stärker als erwartet und kommt mit mehr als 1.000 Kunden auf ein Prämienvolumen von über fünf Millionen Euro zum Jahresende 2024. „Mit unserem Ansatz sorgen wir zum einen dafür, dass Unternehmen, die vorher als nicht versicherbar galten, es mit unserer Hilfe werden können. Zum anderen bieten wir mit unseren Zusatzleistungen echte Mehrwerte, die es so kaum auf dem Markt gibt, und die Sicht von Kunden auf Versicherung verändert.“ Der „total addressable market“ sei folglich deutlich größer als bei vielen traditionellen Versicherern. „Wir unterstützen Unternehmen aktiv dabei, ihr Risikoprofil zu verbessern - durch Echtzeit-Überwachung und gezielte Sicherheitsmaßnahmen, beispielsweise unsere gratis Präventionsplattform Stoïk Protect“, erklärt Geier. Für den Kunden lohne sich der Abschluss einer Cyberversicherung somit ab dem ersten Tag, da sie unmittelbar greifbar werde.

Kostenlos ist das natürlich nicht. Bei Eye Security werden die Kosten per Endpunkt abgerechnet, also  pro Server, Computer oder Cloudanwendung. Den Schutz gibt es – ohne Versicherung – ab 8,99 Euro pro Endpunkt und Monat. Eine Absicherung ist zwischen 15 und 5.000 Endpunkten möglich. „Der Durchschnittskunde in Deutschlandzahlt bei uns rund 40.000 Euro pro Jahr“, berichtet Lohmann. 

Im Gegenzug bekommt der Kunde jedoch ein hohes Maß an Sicherheit: Schäden gab es für die Kunden bislang keine, so Lohmann. „Jeder Angriff wurde bislang erfolgreich abgewehrt.“

Interessant seien MDR-Lösungen von Versicherungsanbietern derzeit laut CyberDirekt-Geschäftsführer Sieverding vor allem für Unternehmen interessant, die ohnehin Investitionen in die eigene IT-Sicherheit geplant haben.