Alles was Sie jetzt über Cyber-Versicherungen wissen sollten – Teil 2: Das Gespräch mit dem Experten

Ja. Unternehmen, welche die Versicherung nicht als Substitut für weitere technische oder organisatorische Investitionen sehen, sondern als eine Art der Restrisikofinanzierung einsetzen, eignen sich besonders gut. Dazu gehören auch Firmen, die ein gutes Verständnis der eigenen Risiken haben.

Von den rund 1’250 Kunden, die Kessler & Co AG betreut, haben bereits viele eine Cyber-Versicherung oder befinden sich zumindest in der Evaluationsphase für einen Abschluss. Dies auch vor dem Hintergrund, dass gemäss einer aktuell veröffentlichten Studie vom weltgrössten Rückversicherer, 35% der Gesellschaften interessiert sind, eine entsprechende Versicherung abzuschliessen.

Wir gehen davon aus, dass sich unser Bestand der Cyber-Versicherungen bis Ende 2021 im Vergleich zu Ende 2018 etwa verdreifacht hat.

Bei unseren Kunden ist die Marktdurchdringung im Gesundheitswesen gefolgt von der Infrastruktur- und Finanzbranche am höchsten. Das hängt unter anderem damit zusammen, dass diese Branchen in der Vergangenheit besonders stark betroffen waren. Was die Unternehmensgrösse anbelangt, zeigt unsere Erfahrung, dass dies ab 2021 kein Kriterium mehr ist, ob eine Cyber-Versicherung abgeschlossen wird oder nicht.

Die Gründe sind sehr unterschiedlich. Leider setzen sich viele Unternehmen erst mit der Thematik intensiv auseinander, wenn sie einen Schaden erlitten haben. Andere Gesellschaften haben Cyber-Risiken als ein Top 1-3 Risiko identifiziert und sind daher der Ansicht, dass eine entsprechende Versicherung notwendig ist. Wieder andere Firmen werden gar von ihren Kunden verpflichtet, eine Cyber-Versicherung abzuschliessen.

Die Unterschiede sind enorm. Hierzu eine Zahl: Drei Viertel des weltweiten Prämienvolumens für Cyber-Versicherungen werden nach wie vor in den USA generiert. Die Versicherer, die dort aktiv sind, haben mittlerweile ein sehr umfassendes Verständnis, welche Versicherungsdeckungen sich für die Kunden am besten eignen. Damit spreche ich zum Beispiel Schäden aus Cloud-Dienstleistungen an. In diesem Bereich sehen wir bei Versicherern, die mehrheitlich in der Schweiz agieren, ein noch nicht vollständig ausgeschöpftes Potenzial.

In Sachen Prämienniveau und Versicherungssumme divergieren die Strategien und Ansätze der Versicherer nach wie vor stark. Wir erwarten aber eine gewisse Konsolidierung in etwa zwei bis drei Jahren, wobei sich in unseren Hauptmärken ein Trend zu einer maximalen Versicherungssumme von CHF 5 bis CHF 10 Mio. und einer Prämie von rund 1% rate on-line (Prämie dividiert durch Versicherungssumme) abzeichnet.

Doch, in diesen Fällen müssen weitere Versicherer, sogenannte Exzedenten-Märkte, hinzugezogen werden. Diese stellen zusätzliche Kapazität auf Grundlage der Grunddeckung (Primary) zur Verfügung. Es sind im weltweiten Kontext Kunden bekannt, die eine Deckungssumme von rund USD 500 Mio. abgeschlossen haben.

Das Wichtigste ist, seine eigenen Risiken zu kennen. Wir empfehlen daher eine saubere Bedarfsermittlung mit 4-5 negativen Extremszenarien (Worst Cases) und deren bestmöglichen Quantifizierung, sodass der Deckungsumfang entsprechend gespiegelt werden kann. Darüber hinaus sollte ein genauer Blick auf die Obliegenheit und Ausschlüsse geworfen werden, die im Versicherungsvertrag stehen.

Es wird derzeit noch kein extern durchgeführtes Cyber-Assessment verlangt, wie wir es teilweise aus der Sachversicherung mit Risikobesichtigungen kennen. Das wird sich aber meines Erachtens mittelfristig ändern. Was hingegen für die meisten Versicherer jetzt schon als «Dealbreaker» angesehen wird, ist, wenn beispielsweise End-of-Life-Systeme im Einsatz sind oder keine Multi-Faktor-Authentifizierung, Mitarbeiterschulung, Netzwerktrennung oder rollenbasierter Zugriff umgesetzt wurden. Die Anforderungen unserer Hauptmärkte für einen «uneingeschränkten» Versicherungsschutz sind mittlerweile sehr streng.

Absolut. Eine Gesellschaft, die viel in das Thema IT-Sicherheit – sowohl in quantitativer wie auch qualitativer Hinsicht, sprich Mitarbeiterschulungen oder eine gesunde Risikokultur – investiert hat, hat es definitiv einfacher auf dem Versicherungsmarkt, ein prämienmässig attraktives Angebot zu bekommen.

Die Einflussfaktoren auf die Preisgestaltung sind vielfältig: So spielen etwa Branche, Betriebsart und Grösse, Abhängigkeiten von IT-Sicherheitssystemen, Schadensprophylaxe-Massnamen und Prävention, Zugang zu personenbezogenen Daten und darauf resultierenden Gefahren in Sachen Datenschutz und natürlich auch bisherige Cyber-Attacken und Schäden eine preisbildende Rolle. Ein bereits erlittener Schaden hat sehr wohl einen Einfluss auf das Prämienniveau, wobei dieser Faktor nicht Cyber-spezifisch ist, sondern für allen Versicherungssparten eine wichtige Rolle spielt.

Ganz klar Ransomware und die damit verbundenen unmittelbaren und mittelbaren Schäden.

Hierzu ist wichtig zu verstehen, dass nicht das Lösegeld per se versichert sein soll, sondern die erpresste Zahlung nur Mittel zum Zweck ist. Die Erpressungszahlung soll ja lediglich dazu dienen, dass eine Wiederherstellung der Datenverfügbarkeit und somit eine geringere Betriebsunterbrechung herbeigeführt oder eine drohende Datenveröffentlichung vermieden werden kann. Das allfällige Überweisen von einem bestimmten Betrag, trägt demnach auch zur Schadensminderung bei. Das Thema ist aber, wie Sie richtig anmerken, ethisch und rechtlich umstritten. In den USA können die Unternehmen sogar rechtlich belangt werden, sofern staatliche angeordnete Sanktionsbestimmungen von der Zahlung betroffen sind. Wichtig ist festzuhalten, dass kein Unternehmen, auch wenn eine Cyber-Versicherung abgeschlossen wurde, ein Interesse hat, eine Erpressungszahlung zu leisten. Das hat mit dem Reputationsschaden zu tun, der in der Regel nicht versichert ist. Bei einer allfälligen Zahlung handelt es sich also meistens um eine ultima ratio Handlung.

Es gibt einzelne Versicherer, die auch eine Deckung für Reputationsschäden anbieten, aber wie Sie korrekt anmerken, sind diese enorm schwierig zu quantifizieren. Anderseits gibt es auch messbare Schäden, die nicht versicherbar sind, wie z.B. wenn die kritische Infrastruktur ausfällt oder bei sogenannten Rückwirkungsschäden, sprich wenn der Lieferant vom Lieferanten vom IT-Dienstleister gehackt wird und daraufhin ein Schaden resultiert.

Neben dem Reputationsschaden und dem Infrastrukturausschluss wird das Thema Krieg und Terrorismus ausgeschlossen. Es muss allerdings gesagt werden, dass auch diese Themen versichert werden können, aber zu einer unverhältnismässig hohen Prämie. Ansonsten stehen wir vor der Herausforderung, dass die Versicherer anfangen, Cyberrisiken in Sparten, wie beispielsweise der Sachversicherung, pauschal auszuschliessen. Das kann unter Umständen problematisch sein, da zum Beispiel nur Teile eines Sachschadens durch eine Cyber-Versicherung gedeckt werden können.

Da haben wir als Broker einen guten Einblick. Es kann festgestellt werden, dass der Ablauf grundsätzlich gut, wenn auch nicht immer reibungslos, funktioniert. Das liegt sehr oft an einer suboptimalen Kommunikation. Der Versicherer wird erst spät informiert oder es werden andere Krisenmanager als in der Police vereinbart, beigezogen. Auf der anderen Seite fehlt es den verantwortlichen Personen in den Schadenabteilungen mangels kompetenter Ausbildung oft am nötigen Fachwissen, was die Schadensabwicklung verkomplizieren und verzögern kann. Es handelt sich offensichtlich um eine neue Domäne und da ist es natürlich schon so, dass alle involvierten Parteien – auch wir als Broker – noch viel Erfahrung sammeln müssen. Es gilt aber auch hier, je höher der Schaden, desto länger dauert üblicherweise die Abwicklung. Das gilt allerdings für alle Versicherungssparten gleichermassen.

Dazu muss zwischen Primär-, Sekundär- und Tertiärprävention unterschieden werden. In der Schweiz ist es die Aufgabe des Versicherers, bei der Risikoevaluation – im Versicherungsjargon Underwriting genannt – die richtigen Fragen zum Risikoprofil zu stellen. Daher muss im Schadenfall in der Regel das Thema Vorkehrung nicht nochmals durchexerziert werden. Es gibt allerdings neu einen Trend, dass es beispielsweise Obliegenheiten zum Thema Patching gibt und diese müssen natürlich eingehalten werden. Wir als Broker versuchen diese natürlich möglichst gering zu halten. In Bezug auf das Verhalten im Schadensfall wird in der Phase der Risikoevaluation eingegangen. Dort wird entweder der eigene Krisenmanager oder derjenige des Versicherers beigezogen. Somit sollte das Verhalten vor und während des Schadenfalls vorab mit dem Versicherer definiert sein und demnach, sofern man sich an das Vereinbarte gehalten hat, nicht zu Uneinigkeiten führen. Der Krisenmanager verfasst anschliessend einen Bericht zum Vorfall, welcher in der Regel dann als Basis für die Schadenabwicklung dient.

Sofern keine Obliegenheit des Vertrags verletzt wurde, spielt es grundsätzlich keine Rolle, ob menschliches Versagen für den Schaden ursächlich war. Ansonsten kann es tatsächlich zu Kürzungen oder gar Ablehnung der Deckung kommen.

Ja. Die Kosten für die Forensik und die Unterstützung im Krisenfall ist eine der zentralsten Deckungen, die auf den Versicherer abgewälzt werden können. Es gibt sogar eine Vielzahl von Versicherern, die für das Krisenmanagement für eine gewisse Zeitspanne keinen Selbstbehalt anwenden.

Meist ja, sofern es sich nicht um ein C-Level oder einen anderen zentralen Entscheidungsträger handelt. Der effektiv erlittene Schaden muss allerdings geprüft werden.

Ja, dafür ist eine Vertrauensschadenversicherung (Crime) zuständig, die explizit für Wirtschaftskriminalität aller Art entworfen wurde.

Die Policen werden meist in Krisenmanagement, Eigen- und Drittschäden unterteilt. In der Kategorie Drittschäden werden auch Schäden in Hinblick auf GDPR oder das neue Datenschutzgesetz in der Schweiz subsumiert. Die Deckungen dazu sind sehr weitgehend. Einzig Bussen sind gemäss diversen Studien nicht versicherbar, wobei bis jetzt kein Präjudiz vorliegt und die Versicherer in ihre Policen schreiben: «sofern versicherbar». Ob das eine lautere Art ist, bleibe dahingestellt. Die Kosten, die der Gesellschaft ansonsten anfallen, sind indes versichert.

Das ist die Schwierigkeit, mit welcher wir derzeit konfrontiert sind: Es fehlen historische Daten, die Bedrohungen entwickeln sich stetig, die Technologien entwickeln sich sehr schnell, angesichts der COVID-19 Pandemie verstehen die Kunden das Thema Digitalisierung nicht mehr als Trend, sondern als Imperativ. Alle diese Faktoren führen dazu, dass sich die Deckungen und Prämien in den nächsten Jahren wohl noch stark entwickeln werden. Aber es kann davon ausgegangen werden, dass inskünftig die Risikoparameter viel genauer auf die einzelnen Gesellschaften angewendet werden können und auch den Investitionen, die in die IT-Sicherheit investiert werden, besser Rechnung getragen werden kann.

Die Themen, welche noch nicht gelöst sind und daher besonders aktiv angeschaut werden müssen, sind Kumulschäden, Doppelversicherungen zu bestehenden Versicherungen und das Thema Silent Cyber – also die Frage, ob Versicherungsverträge ausserhalb der Sparte Cyber möglicherweise ungewollt bereits Schäden in Verbindung mit Cyber-Attacken decken.
Wir als Broker müssen zudem bemüht sein, dass Lösungen für die Cyber-Thematik von den Kunden nicht als ein Produkt angeschaut werden, welches einfach gekauft werden kann, sondern als etwas, das vorzugsweise mit einem externen Spezialisten erarbeitet wird, mit dem Fokus auf den Schutz, den der Kunde effektiv benötigt. Um in einem belastbaren Markt mit genügend Kapazitäten und den richtigen Produkten operieren zu können, müssen nicht zuletzt auch die Versicherer ihren Teil beitragen und anstehende Probleme lösen.