Klasse statt Masse

Auf dem Weg zum Cybermassenmarkt sind für Kunden und Versicherer gleichermaßen tragfähige Konzepte gefordert.
60 Prozent aller Cyberattacken lassen sich im Ursprung auf Teile der Lieferketten zurückverfolgen; in 92 Prozent der Fälle sind kleine Unternehmen dafür verantwortlich. Kein Wunder, dass deutsche Unternehmer neben Cybervorfällen Betriebs- und Lieferkettenunterbrechungen als größte Gefahren für ihr Geschäft ansehen und verstärkt Versicherungsschutz nachfragen. Die meisten Versicherer agieren vorsichtig, gleichwohl treibt die Goldgräberstimmung im noch jungen Cyberversicherungsmarkt mitunter auch zweifelhafte Produktblüten. Auf dem Weg zum Cybermassenmarkt sind für Kunden und Versicherer gleichermaßen tragfähige Konzepte gefordert.
Die Cyberversicherung wächst und wächst. Rund 20.000 dieser Spezialpolicen sind in Deutschland an Unternehmen verkauft, auf rund 50 Mio. Euro sollen sich die Prämieneinnahmen belaufen, schätzte der Versichererverband GDV. Vor fünf bis sechs Jahren kamen die ersten Produkte auf den Markt, heute sind etwa 15 Anbieter in Deutschland aktiv, Tendenz steigend. Parallel hat sich Cyber zum Mainstream-Risiko für Unternehmen entwickelt und liegt im Allianz Risk Barometer erstmals gleichauf mit Betriebsunterbrechung auf dem ersten Platz.

Kernelement der meisten Cyberpolicen ist die Deckung von Erst- und Drittschäden für ein betroffenes Unternehmen plus die Bereitstellung von Krisendienstleistern, wenn es aufgrund eines Hackerangriffs oder technischen Fehlers zu einem Systemausfall oder Datenverlust kommt. Einige Policen wie Allianz Cyber Protect sichern einen Betriebsunterbrechungsschaden (BU) des betroffenen Unternehmens infolge eines Cyberangriffs, einer behördlicher Stilllegungsverfügung, einer Fehlbedienung oder unvorsehbarer technischer Probleme ab. Jenseits dieser gängigen Produktelemente sehen wir jedoch auch spezielle Cyber-Deckungskonzepte auf dem Markt.

Ein gutes Beispiel sind Deckungen, die für Rückwirkungsschäden (Contingent Business Interruption/CBI) aufkommen. Sie entstehen, wenn ein Zulieferer infolge eines Cybervorfalls ausfällt und einen Abnehmer nicht mehr beliefern kann. Sprich: Ein Zulieferer hat zwar keinen Sachschaden erlitten, kann aber nicht mehr produzieren, weil beispielsweise ein Schadprogram die Industriesoftware verschlüsselt hat oder Daten aus einer Cloud nicht verfügbar sind. 

Infolgedessen kann der Zulieferer einen Abnehmer nicht mehr beliefern, der deshalb ebenfalls Störungen erleidet und finanzielle Schäden unter seiner entsprechenden Police geltend machen kann. Sofern es sich dabei um Cloud-Services oder IT-Outsourcing handelt, ist ein Risikotransfer durchaus  zu rechtfertigen. Teilweise schließen solche Cyber-CBI-Komponenten aber auch die komplette Lieferkette eines Unternehmens mit teilweise tausenden Zulieferern mit ein. 
Ein solches Underwriting sollte wohlüberlegt sein. Denn  bereits klassische, mit Sachschaden verbundene Betriebs- und Lieferkettenunterbrechungen sind für Versicherer ein schwer zu greifendes Risiko – und noch dazu ein sehr teures: Laut Berechnungen der AGCS übersteigen BU-Schäden heute in ihrer Dimension die eigentlichen Sachschäden um mehr als ein Drittel, Tendenz steigend. In der Spitze sind sie um ein Vielfaches höher. Ein Beispiel ist der milliardenschwere Rekordschaden beim koreanischen Halbleiterhersteller SK Hynix, der durch einen Fabrik-Großbrand 2013 in China ausgelöst wurde. Aufgrund der zentralen Marktstellung von SK Hynix als zweitgrößtem Hersteller nach Samsung gab es viele Ausfälle bei Technologie-Abnehmern rund um den Globus, neben einem Anstieg der Preise für Speicherchips um satte 42 Prozent. Der Fall zeigt, wie immer komplexere, vernetzte und automatisierte Lieferketten zwangsläufig zu weitreichenden Produktionsengpässen und -ausfällen bei Dritten führen können – und zu hohen Rückwirkungsschäden.

Auch wenn sich solche Szenarien und Ausfallrisiken mittlerweile mit moderner Datenanalyse und künstlicher Intelligenz besser greifen lassen: Sie bleiben eine versicherungstechnische Herausforderung. Ein gezielter Angriff auf den Schlüsselzulieferer einer Branche kann zudem nicht nur zu einem einzelnen Betriebsstillstand führen, sondern weltweit eine sehr große Anzahl versicherter Firmen gleichzeitig in die Knie zwingen. Vergleichbare Folgen hätte auch ein Cyberangriff auf kritische Infrastrukturen wie auf die Stromversorgung oder Telekommunikationstechnologie. Versicherer, die solche Akkumulationen in ihren Portfolien nicht klar identifizieren und umsichtig managen, könnten schnell eine böse Überraschung erleiden – zumal sich laut einer Untersuchung von Accenture Strategy 60 Prozent der Cyberattacken im Ursprung auf Teile der Lieferketten zurückverfolgen lassen und kleine Unternehmen für 92 Prozent der Cybervorfälle verantwortlich sind.

Auch für die potenziellen Kunden solcher Cyber-CBI-Policen gibt es ein verstecktes Risiko – nämlich die in den Bedingungen schlummernde Beweislast. Stellen wir uns dazu einen großen Maschinenbauer vor, der wichtige Bestandteile seines Endproduktes von seinem Zulieferer erhält.

Fällt dieser zentrale Zulieferer durch einen Cybervorfall aus, so dass auch der Geschäftsbetrieb des Maschinenbauers in Mitleidenschaft gezogen wird, käme durch diesen Rückwirkungsschaden schnell ein Millionen-Betrag zustande, der unter Umständen nicht vom Versicherer erstattet werden müsste. Wie kommt es zu dieser versteckten Deckungslücke?

Tritt ein Schaden ein, hat der Kunde gemäß herkömmlicher Schadenregulierungspraxis zwei Dinge zu tun: Zum einen muss er die Höhe des eigenen Betriebsunterbrechungsschadens nachweisen. Zum anderen muss er die Ursache des Schadens aufzeigen. Klingt einfach. Ist es aber nur bedingt. Zwar lässt sich die Höhe des eigenen Schadens durch den Produktionsausfall in aller Regel noch recht einfach ermitteln. Ganz anders verhält es sich aber bei der Ursachenforschung, wenn der Cybervorfall eben nicht im eigenen Betrieb, sondern bei einem Zulieferer stattgefunden hat, auf dessen IT-Systeme jenseits der vernetzten Lieferketten-Netzwerke kein direkter Zugriff besteht.

Da die meisten Unternehmen Cybervorfälle lieber nicht öffentlich machen, ist keine große Bereitschaft zu erwarten, Einblicke in vertrauliche IT-Systeme und -Probleme zu erhalten. Sollte der betroffene Zulieferer eine Cyberpolice abgeschlossen haben, könnte er seinem Abnehmer immerhin den Schadenbericht seines Versicherers zur Verfügung stellen, um dadurch die Schadenursache aufzuzeigen. Da heute aber gerade erst einmal etwas mehr als ein Prozent der rund 3,7 Millionen deutschen Unternehmen über einen solchen Schutz verfügt, ist auch dieser Nachweis eher unwahrscheinlich – erst recht dann, wenn es sich bei dem Ausfall um einen nachgelagerten Sublieferanten handelt. Der Unternehmer steht also schlimmstenfalls mit leeren Händen da und kann seiner Beweispflicht nicht nachkommen.

Wie kann eine Lösung für ein sicherlich relevantes Geschäftsrisiko aussehen? Hier gibt es verschiedene Wege. Auf Basis dieser Erfahrungen und den Gesprächen mit unseren Versicherungsnehmern sind wir aktuell dabei, Klauseln für unsere Cyberpolicen auszuarbeiten, die für beide Seiten volle Transparenz und Rechtssicherheit gewähren, wenn unseren Versicherungsnehmern durch cyberbedingte Zulieferausfälle Schäden entstehen. 

Wer sich als langfristiger Player im noch jungen Cyberversicherungsmarkt etablieren möchte, sollte genau prüfen, welche Produktangebote mit einer gesunden, nachhaltigen Wachstumsstrategie in Einklang zu bringen sind. Zu groß sind die Unwägbarkeiten auf Seiten der Risikomodellierung angesichts der rasanten Entwicklung immer neuer Cyberbedrohungen. Relevante Schadenerfahrungen entwickeln sich gerade erst. Bei der AGCS können wir mittlerweile auf über 15 Jahre Erfahrung in der Versicherung von Daten und IT-Risiken – heute „Cyber“ genannt – zurückblicken. Im  Vergleich zu den traditionellen Sparten ist das immer noch wenig. In diesem Zeitraum haben wir spezialisierte Underwriter und Schadenexperten ausgebildet und natürlich auch erste Schäden verzeichnet. Bei jeder zehnten Cyberpolice, die wir weltweit verkaufen, wurde im Schnitt ein Schaden gemeldet.
Gerade bei einem jungen Produkt wie Cyberpolicen sind Transparenz und Rechtssicherheit von hoher Bedeutung. Nur wenn übergreifend ein gewisses Grundverständnis über die Zusammenhänge von Cyberrisiken, Geschäftsmodellen, Schadenszenarien und deren Widerspiegelung in den jeweiligen Versicherungsbedingungen gegeben ist, kann die Versicherungswirtschaft auch in einer digitalen Welt die Stabilität der Unternehmen unterstützen und sich als langfristig vertrauensvoller Partner beweisen. Denn eins ist klar: Der nächste Cyberangriff kommt bestimmt.
AGCS Deutschland
Dieser Beitrag ist eine gekürzte Fassung des ursprünglich am 15. März 2019 im Versicherungsmonitor veröffentlichten Textes. 
Jens Krickhahn
ist als Practice Leader Cyber & Fidelity, Financial Lines bei der Allianz Global Corporate & Specialty (AGCS) in Central & Eastern Europe für die Cyberversicherung zuständig. 
Sign up to e-update
Allianz operates as an international insurer on almost every continent. Find Allianz in your own country/region.
With the Allianz network AGCS provides services in over 200 countries and territories.