Das Thema Cyber-Risiken beherrscht nach wie vor die Wirtschafts- und Assekuranzmedien. Auch wenn der aktuelle „Dieselgate“-Skandal bei VW die Directors & Officers Versicherung (D&O), also die Manager-Haftpflichtversicherung, in den letzten Wochen wieder zu einem der Topthemen der (Versicherungs-) Wirtschaft gemacht hat, sind es doch Risiken durch Hackerangriffe, Viren oder Datenverluste und entsprechenden Versicherungslösungen, die im Laufe dieses Jahres eine enorme mediale Aufmerksamkeit erhalten haben.

Cyber-Angriffe nur auf Großkonzerne?

Meist sind es noch Vorfälle bei internationalen, häufig US-amerikanischen, Großunternehmen, die die höchste Aufmerksamkeit erhalten. Beispielhaft seien hier die Angriffe auf den Technik- und Unterhaltungskonzern Sony, den US-amerikanischen Krankenversicherer Anthem oder auch das Seitensprungportal Ashley Madison genannt. Allerdings sorgten auch Vorkommnisse in Deutschland für Aufsehen. So war der Angriff auf ein deutsches Stahlwerk Ende des vergangenen Jahres einer der ersten dokumentierten Fälle, in denen ein Cyber-Angriff auf ein produzierendes Unternehmen zu einer erheblichen Betriebsunterbrechung und einem hohen Sachschaden geführt hat. Des Weiteren mehrten sich diesen Sommer die Berichte über gestohlene Laptops und Smartphones. Demnach wurden gezielt Geschäftsreisende in Zügen, Flughäfen oder Bahnhöfen bestohlen, um an geheime und sensible Daten zu gelangen, die auf den mobilen Endgeräten gespeichert waren, oder um über diese Geräte in die Firmennetzwerke der ursprünglichen Besitzer einzudringen. Ebenfalls für Aufsehen und mediales Interesse sorgte der erfolgreiche Hackerangriff auf den Deutschen Bundestag. Er führte dazu, dass das komplette Computersystem überarbeitet und mehrere Tage vom Netz genommen werden musste. Neben diesen prominenten Beispielen gibt es aber auch eine extrem hohe Anzahl an erfolgreichen Cyber-Angriffen auf kleine und mittelständische Unternehmen (KMU), ohne dass jene medial aufgegriffen würden. Experten schätzen, dass gerade KMU in drei von vier Fällen zu den Opfern von Cyber-Vorfällen zählen.

Liegen Cyber-Versicherungen im Trend?

Wie die oben aufgeführten Beispiele darlegen, sind Hackerangriffe und der Verlust sensibler Daten Risiken, denen deutsche Unternehmen ausgesetzt sind. Dementsprechend ist es nicht verwunderlich, dass Cyber-Versicherungen die wahrscheinlich am schnellsten wachsende Produktsparte im B2B-Geschäft in der deutschen Versicherungswirtschaft sind. Das aktuelle Prämienvolumen im deutschen Markt wird auf einen hohen einstelligen bis niedrigen zweistelligen Millionenbetrag geschätzt. Damit liegt der deutsche Markt zwar noch weit hinter dem US-amerikanischen zurück, der mit einem Prämienvolumen von circa $ 2 Milliarden 90 % des Weltmarktes ausmacht, hat sich aber in den vergangenen zwei Jahren enorm entwickelt.

Warum die USA Vorreiter bei Cyber-Versicherungen sind

Dass der Cyber-Markt in den USA weiterentwickelt ist als in Deutschland, ist auf verschiedene Faktoren zurückzuführen. Zum einen gibt es in den USA Versicherungslösungen für Cyber-Risiken schon seit über zehn Jahren. Dadurch setzen sich Versicherer, Makler und auch Versicherungsnehmer schon seit längerer Zeit mit diesem Thema auseinander und konnten ein gutes Verständnis für die Risiken und Bedürfnisse der Versicherungsnehmer entwickeln. In Deutschland ist der Markt für Cyber-Policen noch jünger. Versicherungen gibt es hier erst seit circa vier Jahren, so dass die hiesigen Marktteilnehmer häufig noch nicht die Erfahrung ihrer amerikanischen Kollegen haben. Trotzdem gibt es bereits einige Versicherer, die mit einer zweiten Generation von Bedingungswerken auf die Marktbedürfnisse reagiert haben – unter anderem Hiscox.

Zum anderen sind die regulatorischen Voraussetzungen in den beiden Ländern (noch) unterschiedlich. In den USA gibt es in den meisten Bundesstaaten seit geraumer Zeit strenge Gesetze dazu, wie Betroffene eines Datenschutzvorfalls informiert werden müssen. Neben den Gesetzen, die sich allgemein auf personenbezogene Daten beziehen, gibt es außerdem noch strengere Vorschriften für Unternehmen und Organisationen aus den Bereichen medizinische Versorgung, Finanzen und Bildung.

Die Gesetzeslage in der EU

Aktuell sind die Informationspflichten bei der Verletzung von Datenschutzbestimmungen in Europa noch nicht so streng wie in den USA. Dies wird sich aber mit der Verabschiedung der EU-Datenschutzverordnung ändern, mit der Ende 2016/Anfang 2017 gerechnet wird und die ebendiese Informationspflichten verschärfen wird. Da eine kurzfristige Umsetzung dieser Richtlinie in nationales Recht für die EU-Mitgliedsstaaten verpflichtend ist, sollten sich Unternehmen frühzeitig mit diesem Thema auseinandersetzen.

Es kann davon ausgegangen werden, dass die neuen rechtlichen Rahmenbedingungen zu einer Homogenisierung des deutschen Cyber-Markts beitragen und die Nachfrage nach Versicherungslösungen erhöhen.

Nicht selten wird die Entwicklung der Cyber-Versicherung in Deutschland mit jener der D&O-Versicherung verglichen. Auch diese Versicherungslösung hat ihren Ursprung in den USA, und es dauerte einige Jahre, bis auch in Deutschland der Versicherungsbedarf erkannt wurde. Mittlerweile gehört die D&O-Versicherung auch bei den meisten KMU zu den Standardversicherungen. Die jüngsten Nachfrageentwicklungen im Cyber-Markt sprechen dafür, dass hier ein ähnlicher Weg eingeschlagen wird.