CyberDirekt Marktanalyse 2023
Der Markt für Cyberversicherungen in Deutschland ist inzwischen deutlich über zehn Jahre alt. In der vergangenen Dekade sind die Prämieneinnahmen auf über 600 Mio. Euro angewachsen und weisen ein jährliches Marktwachstum von über 50% auf. Damit zeigt die Cyberversicherung die größte Wachstumsdynamik in der Versicherungsbranche. Die jüngste Vergangenheit war jedoch durch turbulente Entwicklungen geprägt. Cyberangriffe haben sich zu einem der größten Unternehmensrisiken entwickelt. Ungefähr drei Viertel der gesamten Prämieneinnahmen konzentrieren sich auf die Top 10 Anbieter des Marktes.
Deren Schadenquote lag 2022 zwischen 20,1% und 112.8% allerdings extrem weit auseinander¹. Es existieren nur begrenzt historische Daten, während sich die Bedrohungslage sehr dynamisch entwickelt. Diese Herausforderungen haben der Sparte in den vergangenen Jahren zu einer starken Professionalisierung im Underwriting und im Management der Schadenabläufe verholfen. Großen Verbesserungsbedarf kann man allerdings in den zum Teil eklatanten Unterschieden der jeweiligen Versicherungsbedingungen erkennen. Cyberversicherung ist nicht gleich Cyberversicherung. Es gibt große strukturelle und inhaltliche Abweichungen, die wir mit dieser Marktanalyse kenntlich machen wollen, um zu mehr Transparenz im Markt beizutragen.
Grundlage der CyberDirekt Analyse sind 16 Bedingungswerke von führenden Anbietern in der Versicherungsbranche. Die Tarife können über den CyberDirekt-Marktvergleich voll digital verglichen und abgeschlossen werden. Für ein VVG-konformes Angebot sind lediglich zwei Risikoangaben notwendig: die Branche und der jüngste Jahresumsatz. Bis zu einem Jahresumsatz von 20 Mio. Euro können Angebote von neun Anbietern verbindlich nach positiver Beantwortung der jeweiligen Risikofragen einfach abgeschlossen werden.
¹ Quelle: Vortrag Ramon Platt auf dem Handelsblatt Euroforum vom 19.09.2023
Kategorien
Zunächst einmal formell betrachtet: Das älteste Bedingungswerk unter den betrachteten Versicherungen ist vier Jahre alt. Im Schnitt weisen die Versicherungsbedingungen ein Alter von eineinhalb Jahren auf. Ihre Länge variiert zwischen 13 Seiten beim kürzesten und 40 Seiten beim längsten Konzept. Der Durchschnitt liegt bei knapp 24 Seiten, wobei diese interessanterweise kaum eine Korrelation zum tatsächlichen Leistungsumfang haben.
Die Unterschiedlichkeit der Bedingungen wird im Folgenden anhand von Beispielen aus den folgenden Kategorien veranschaulicht:
Spannende Unterscheide gibt es zunächst bei den Triggern, wie hier am Beispiel von Bedienfehlern, Cloud-Ausfall und technischen Problemen erkennbar ist.
Der Bedienfehler durch Mitarbeitende bzw. die Fehlbedienung des eigenen IT-Systems ist eigentlich kein klassischer Cyber-Auslöser im Sinne eines externen Hacking-Angriffs.
Trotzdem hat er sich in knapp zwei von drei (63%) Bedingungen ohne Einschränkungen etabliert und gehört damit zum Standard Leistungsumfang.
Viel diskutiert ist die Erweiterung der Cyber-Betriebsunterbrechung auf den Cloud-Ausfall. Hier wird der Ertragsausfall gedeckt, der einem selbst entsteht, wenn die genutzte Cloud (z.B. AWS, Microsoft Azure oder Google Cloud) über einen längeren Zeitraum nicht zur Verfügung steht. Lediglich zwei von 16 (13%) Anbietern bieten diese Erweiterung aktuell nicht an.
Eine interessante Erweiterung der Betriebsunterbrechung ist der Ausfall durch technische Probleme. Knapp über die Hälfte (56%) der Produktgeber bietet zusätzliche eine Absicherung von technischen Problemen, die einen Systemausfall zur Folge haben an, obwohl auch dies ähnlich dem Bedienfehler eigentlich nichts mit einem externen Cyber-Angriff zu tun hat, sondern eher in Richtung „All-Risk“ IT-Betriebsunterbrechung geht.
Der letzte Trigger ist die Medienhaftpflicht, die Unternehmen bei Abmahnungen im Zusammenhang mit eigener Werbung schützt und nicht mehr in direktem Zusammenhang mit einem Cyber-Angriff steht.
Trotzdem schließt die Hälfte (50%) der Anbieter die Medienhaftpflicht ohne Einschränkungen ein. Nur 19% bieten aktuell gar keinen Einschluss an und der Rest arbeitet mit Sublimits oder anderen Einschränkungen.
Was sich in der Praxis als wichtig herausgestellt hat, sind ein verständlicher Schadenmeldeprozess und eine unmittelbare Unterstützung über die Assistance.
Bei über zwei Drittel (69%) der Anbieter geht bei der Schadenmeldung über die Hotline zuerst ein IT-Krisendienstleister ans Telefon. Bei 19% ist die Schadenabteilung der erste Kontaktpunkt. Wohingegen bei weiteren 13% ein Assisteur der erste Ansprechpartner ist.
Bei den Eigenschäden wird besonders viel über den Cyber-Betrug diskutiert. Beim Abfluss von Vermögenswerten setzen mehr als zwei von fünf (44%) der Tarife keine Kompromittierung des IT-Systems voraus. „Fake President“-Fälle sind bei drei Viertel der Versicherer eingeschlossen.
Damit besteht in Cyber ein ähnlich weitgehender Schutz wie in der Vertrauensschadenversicherung.
Ein Viertel (25%) der Versicherer versichert Lösegeldzahlungen ohne weitere Einschränkungen.
Nur 19% bieten aktuell gar keinen Einschluss. Der Rest arbeitet mit Sublimits oder anderen Einschränkungen.
In der überwiegenden Mehrzahl ist Lösegeld aktuell also im Versicherungsschutz enthalten.
Auch wenn sich die Definition und Funktionsweise der Cyber-Betriebsunterbrechung sehr stark an den bestehenden Feuer-Konzepten orientiert hat, bestehen enorme Unterschiede in der Gestaltung.
Üblicher und freundlicher für den Versicherungsnehmer ist der Beginn ab Schadeneintritt bzw. Feststellung des Betriebsunterbrechungsschadens.
Bei jedem fünften Risikoträger (19%) beginnt die Betriebsunterbrechung erst ab Schadenmeldung.
Außerdem ist auffällig, dass bei der Hälfte (50%) der Tarife der monetäre Selbstbehalt nicht auf den Betriebsunterbrechungsschaden angerechnet wird. Bei allen anderen Tarifen werden der zeitliche Selbstbehalt bzw. die Wartezeit und zusätzlich der Policen-Selbstbehalt zum Abzug gebracht. Das kann bei hohem gewählten Selbstbehalt in der Regulierung einen signifikanten Unterschied machen.
In unserer Analyse von 18 Angeboten finden sich insgesamt 55 unterschiedliche Ausschlüsse. Nur drei davon sind immer vereinbart und damit scheinbar wirklich obligatorisch und unabdingbar.
Die anderen der durchschnittlich 16 Ausschlüsse kommen sehr unterschiedlich vor. Die Hälfte der Ausschlüsse findet sich in weniger als drei Produkten wieder. Knapp ein Viertel (24%) erscheinen in zehn oder mehr Wordings und sind damit einigermaßen häufig.
Das vergangene Jahr war geprägt von Diskussionen rund um den Cyber-Kriegsausschluss und die Notwendigkeit diesen anzupassen. Obwohl ein dedizierter Cyber-Kriegsausschluss in der Industrieversicherung bereits zum Standard geworden ist, findet sich dieser erst bei zwei der 16 (13%) Anbieter standardmäßig in den Konzepten. Alle anderen Bedingungswerke arbeiten weiterhin mit einem klassischen Kriegsausschluss.
Auch die allgemeinen Regelungen unterscheiden sich. So bieten etwa ein Viertel (25%) der Anbieter eine 2-fach Maximierung der Versicherungssumme. Bei allen anderen Konzepten steht die Summe nur einmal zur Verfügung.
Ein weiterer Punkt, bei dem sich große Unterschiede auftun, sind die Obliegenheiten. 13% der Anbieter haben leider sehr offene und damit unklare „Stand der Technik“-Obliegenheiten in den Bedingungen, die bei Deckungsstreitigkeiten schnell gegen den Versicherungsnehmer ausgelegt werden können.
31% haben eine abgemilderte Form, mit allerdings immer noch recht weitreichenden Obliegenheiten (zusammen 44%), wie der Einhaltung aller gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherungsmaßnahmen.
Dies wird insbesondere mit Blick auf die kommende IT-Compliance immer schwieriger einzuhalten, beispielhaft sind hier nur das IT-Sicherheitsgesetz, NIS-2 Richtlinie, die DSGVO oder auch vertragliche SLAs genannt. Sobald diese nicht zu 100% erfüllt wurden, hat der Versicherer das Recht, im Schadenfall entsprechend kausal die Leistung zu kürzen. Deutlich transparenter ist da, wenn wie bei einem Viertel (25%) der Risikoträger eine klar abgeschlossene Anzahl an Obliegenheiten definiert wird, an die sich gehalten werden muss. Weitere 31% verzichten weiterhin komplett auf Obliegenheiten, was die freundlichste Regelung für Versicherungsnehmer ist.
Darüber hinaus interessant ist die vertragliche Regelung der Gefahrerhöhung. Mit 44% verzichtet fast die Hälfte auf eine Regelung in den Bedingungen. Damit findet die gesetzliche Grundlage §23 VVG Anwendung, die leider sehr offen und damit für den Versicherungsnehmer unklar ist.
Um weniger Unsicherheit in der Auslegung zu haben, nennen 31% der Anbieter beispielhaft typische Gefahrerhöhungen.
Ein Viertel (25%) der Risikoträger nutzt eine abschließende Aufzählung von Gefahrerhöhungen und legt mit dieser Definition auch fest, dass nichts anderes außer dem benannten eine Gefahrerhöhung im Sinne des §23 VVG sein kann.
Die beschriebenen Erhebungen beziehen sich nur auf einen kleinen Auszug der insgesamt 125 Tarifmerkmale, auf denen der CyberDirekt Marktvergleich aufgebaut ist. Wir haben uns hierbei auf Auffälligkeiten konzentriert, die wesentliche Unterschiede zwischen den Konzepten hervorheben. Hier nochmal ein Überblick:
