Aktuelle Trends im Cyberversicherungsmarkt

Insgesamt lässt sich beobachten, dass immer mehr Versicherer ihre Mindestanforderungen für den Versicherungsabschluss verschärfen und ihre Produkte an die Schadenerfahrungen der vergangenen Jahre zunehmend anpassen.

Der Markt für Cyberversicherungen wächst rasant, angetrieben durch einen starken Anstieg der Cyber-Angriffe und Datenschutzverletzungen bei Unternehmen. Hinzu kommt eine gesteigerte Sensibilisierung der Unternehmen im Hinblick auf die aktuelle Bedrohungslage durch Cyber-Kriminalität und den damit verbundenen möglichen finanziellen Folgen, was auch in den kommenden Jahren ein starkes Wachstum erwarten lässt.

Wie eine Erhebung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zeigt, hat sich das Versicherungsgeschäft mit Cyber-Policen zwischen 2020 und 2022 mehr als verdoppelt. So stieg die Summe der gebuchten Bruttobeiträge allein in Deutschland von 149,7 Millionen auf 336,1 Millionen Euro. Die Hauptkunden sind der Erhebung zufolge Industrieunternehmen, die etwa 80% des Geschäfts ausmachen (Quelle: BaFin).

Die Statistiken zur deutschen Versicherungswirtschaft des Gesamtverbandes der Versicherer (GDV) zeichnen ein ähnliches Bild von der Geschäftsentwicklung in der Cyberrisikoversicherung. Den Erhebungen des GDV zufolge lag die Bruttobeitragssumme in 2023 bei rund 309 Millionen Euro.

Was die Statistiken der GDV allerdings auch zeigen: Die Summe der erbrachten Leistungen für Versicherungsfälle lag 2023 bei 180 Millionen Euro, was einer Schadenquote von 58,2% entsprach. Die Schaden-Kosten-Quote lag unterdessen bei 97% - im Vorjahr waren es noch 77,7%.

Angesichts der Tatsache, dass die Summe der Schadenzahlungen und Abwicklungskosten die Prämieneinnahmen im letzten Geschäftsjahr fast vollständig aufgezehrt haben, ist es wenig überraschend, dass der Großteil der Versicherer 2024 Anpassungen an ihren Produkten vorgenommen hat.

Die Entwicklung des Cyberversicherungsmarktes wird stark durch die dynamische Bedrohungslage durch Cybercrime beeinflusst. Hier ist ein Überblick aktueller Entwicklungen bei den Cyber-Bedrohungen für Unternehmen, die einen Einfluss auf das Versicherungsgeschäft haben:

• Verschärfte Risikolage: 58% der deutschen Unternehmen wurden 2023 mindestens einmal Opfer einer Cyber-Attacke (Quelle: Statista).
• Höhere Schäden: Dem Digitalverband Bitkom zufolge belief sich der Gesamtschaden durch Cybercrime für die deutsche Wirtschaft 2024 auf 178,6 Milliarden Euro (Quelle: Wirtschaftsschutz 2024).
• Hauptbedrohungen: Ransomware gilt weiterhin als prominenteste Cyber-Bedrohung für Unternehmen, gefolgt von Phishing.
• Wachsende Gefahr durch KI: Die Anzahl der Cyber-Angriffe mit Künstlicher Intelligenz steigt und KI macht etablierte Angriffsarten wie Phishing und Social Engineering noch gefährlicher.
• KMU im Fokus: Kleine und mittelständische Unternehmen stehen zunehmend im Fokus der Cyber-Kriminellen
• Immer mehr Supply-Chain-Angriffe: Die vermehrte Nutzung und zunehmende Abhängigkeit von Cloud-Diensten führt zu einer wachsenden Bedrohung durch Angriffe auf die Lieferkette.

Die sich verändernde Bedrohungslandschaft und die Schadenerfahrungen der vergangenen Jahre zwingen Versicherer dazu, ihre Produkte anzupassen. Wie die aktuelle Marktanalyse von CyberDirekt zeigt, war 2024 das Jahr der Produktanpassungen. So haben insgesamt 85% der Versicherer im erfassten Zeitraum Anpassungen an ihren Produkten vorgenommen - entweder hinsichtlich Prämienberechnung, Versicherungsbedingungen oder Risikoprüfung.

Hier ist ein Überblick, welche Anpassungen verschiedene Versicherer vornehmen, um auf die veränderte Bedrohungslage zu reagieren:

• Neugestaltung der Versicherungsbedingungen mit Fokus auf die spezifischen Anforderungen von KMU
• Vereinfachung der Anträge und pauschale Absicherungen für Betriebsunterbrechungen durch Cyber-Vorfälle für KMU
• zunehmende Absicherung von Schäden durch Cloud-Ausfälle
• erweiterte Policen für Ransomware-Schäden mit zunehmender Absicherung von Lösegeldzahlungen
• teils strengere Underwriting-Kriterien aufgrund steigender Schäden
• zunehmende Aufnahme von präventiven Dienstleistungen zur Verbesserung der Cyber-Sicherheit, wie Mitarbeiterschulungen oder Bereitstellung von Notfallplänen, in den Leistungsumfang der Versicherer
• Ausweitung der Risikoprüfung der Versicherer, um das Risikoprofil von Unternehmen vor Vertragsabschluss besser bewerten zu können

Die CyberDirekt-Marktanalyse für 2024 zeigt, dass Mindestanforderungen an die IT-Sicherheit für den Abschluss einer Cyberversicherung immer wichtiger werden, und betont die Bedeutung der Risikofragen bei der Versicherungswahl. Da die Beantwortung der Risikofragen Makler und Unternehmen gleichermaßen vor Herausforderungen stellt und IT-Sicherheitstrainings für Beschäftigte zunehmend relevant werden, um gute Versicherungskonditionen zu erhalten, wollen wir auf die Themen Risikoprüfung und Mitarbeiterschulungen genauer eingehen.

Risikofragen rücken zunehmend in den Fokus

Wie bereits gesagt, stellen Versicherer extrem unterschiedliche Anforderungen an die IT-Mindeststandards von Unternehmen. Diese Mindeststandards werden vor Vertragsabschluss in Form von Risikofragen überprüft. Während Unternehmen sich bei der Auswahl einer Cyberversicherung nach wie vor stark an den Kriterien Preis und Leistung orientieren, werden auch die Risikofragen zu einem zunehmend wichtigen Kriterium.

Allerdings zeigt sich auch bei den Risikofragen eine sehr starke Heterogenität. So gibt es deutliche Unterschiede zwischen den verschiedenen Versicherungsanbietern hinsichtlich Anzahl, Umfang und Detailgrad der gestellten Fragen.

Hier sind einige zentrale Erkenntnisse aus dem aktuellen Marktvergleich von CyberDirekt zum Thema Risikofragen in der Cyberversicherung:

• Die Anzahl der Risikofragen schwankt zwischen lediglich einer und 21 Fragen.
• Rund zwei Drittel der Anbieter decken mit einer Frage mehrere Anforderungen ab. Somit sagt die reine Anzahl an Fragen nichts darüber aus, wie schnell oder leicht diese zu beantworten sind. 
• 35% der Versicherer differenzieren ihre Risikoprüfung anhand von Umsatzbändern. Hinzu kommt eine weitere Differenzierung hinsichtlich der Branche, in der das Unternehmen tätig ist.
• Es gibt keine Risikofrage, die einheitlich von allen Versicherern in der Risikoprüfung gestellt wird.
• Die Art und Weise, wie die Risikofragen gestellt sind, variiert zwischen sehr spezifisch und sehr vage.

Die sorgfältige Beantwortung der Risikofragen ist ein Aspekt, den Makler ihren Unternehmenskunden gegenüber stark betonen sollten, um negative Konsequenzen wie die Kündigung des Vertrags oder die Rückforderung bereits gezahlter Leistungen zu verhindern.

Immer mehr Versicherer setzen bei der Risikoprüfung Schwachstellen-Scans ein

Eine weitere Entwicklung, die sich im Cyberversicherungsmarkt abzeichnet, ist der zunehmende Einsatz von Schwachstellen-Scans bei der initialen Risikoprüfung durch die Versicherer. Bei diesen externen Sicherheitstests werden die IT-Systeme des Unternehmens auf Schwachstellen überprüft, die Cyber-Kriminelle mögliche Einfallstore bieten könnten.

Schwachstellen-Scans sind ein Hilfsmittel für Versicherer, einen besseren Eindruck von der Cyber-Sicherheit eines neuen potenziellen Kunden zu erhalten. Gleichzeitig bieten sie Unternehmen die Chance, bei der Sicherheit ihrer IT-Infrastruktur Nachbesserungen vorzunehmen und sich dadurch eine bessere Position bei der Verhandlung ihrer Versicherungsbedingungen zu verschaffen. Zudem führen Schwachstellen-Scans häufig zu einer geringeren Anzahl an Risikofragen, die beantwortet werden müssen.

Steigende Relevanz von Mitarbeiterschulungen

Der Mensch gilt weiterhin als größte Schwachstelle in der Cyber-Sicherheit von Unternehmen, und Cyber-Betrugsmaschen wie Phishing und andere Social-Engineering-Methoden nehmen weiter zu. Aufgrund des zunehmenden Risikos, dass es durch unachtsam handelnde Mitarbeitende zu einem Cyber-Vorfall kommt, legen die Versicherer immer mehr Wert darauf, dass Unternehmen ihre Mitarbeitenden für Cyber-Risiken sensibilisieren.

Wie die CyberDirekt Marktanalyse 2024 zeigt, setzen 41% der Versicherer regelmäßige IT-Sicherheitsschulungen für Mitarbeitende als Anforderung für den Abschluss einer Cyberversicherung voraus. Einige Anbieter honorieren Sensibilisierungsmaßnahmen sogar mit Rabatten auf den Selbstbehalt.