So schätzten gemäß der Studienergebnisse noch 57 Prozent der Befragten, deren Unternehmen in den zwölf Monaten vor der Befragung angegriffen wurde, das Angriffsrisiko für das eigene Unternehmen als „hoch“ oder „sehr hoch“ ein. „Bereits ein Jahr nach dem Angriff sinkt dieser Wert auf 34 Prozent und halbiert sich nach drei Jahren auf 27 Prozent“, so Gallus.
„Gemessen an der Bedrohungslage und den damit verbundenen Risiken ist die Nachfrage nach Cyberversicherungen, gerade im Bereich der Kleinst- und Kleinunternehmen, noch zu gering ausgeprägt. Auch in der Vermittlerschaft und im Beratungsgespräch hat die Cyberversicherung noch nicht den Stellenwert, den sie haben sollte. Es ist vergleichbar mit der Pflegezusatzversicherung: Das Risiko ist allen bewusst – aber es wird nicht ausreichend abgesichert. Vielleicht auch aus der Hoffnung heraus, verschont zu bleiben“, sagt Kai Waldmann, Vorstand der Alte Leipziger Versicherung.
Nach Aussage von Jan Lagodny-Schlegel, Produktmanager Cyberversicherung bei der Barmenia Gothaer, hängt der Bedarf stark vom Unternehmenssegment ab. „Unternehmen, die unter die NIS-2-Richtlinie fallen, sowie Large Corporates haben unseres Erachtens die strategische Bedeutung erkannt und investieren zunehmend mehr in Cybersecurity. Entsprechend ist die Marktdurchdringung bereits gut. Im KMU-Bereich besteht weiterhin eine deutliche Absicherungslücke“, so Lagodny-Schlegel. Laut Hiscox-Mann Lemke verfügen nur 40 Prozent der KMU über eine eigenständige Cyberversicherung, weitere 14 Prozent planen den Abschluss.
Rund 50 Anbieter und 120 Prozent Prämienspanne
Aktuell konkurrieren rund 50 Anbieter von Cyberversicherungen im Markt. Die Prämienspanne zwischen dem günstigsten und teuersten Angebot liegt laut Sieverding im Schnitt bei rund 120 Prozent. Dabei besteht nicht unbedingt eine Korrelation zwischen Preis und Leistung. „Es kann oft sein, dass günstige Angebote viel Leistung und umgekehrt teure Angebote nur eine stark eingeschränkte Leistung bieten. Wobei die Versicherungsbedingungen unterschiedlich aufgebaut und zwischen 14 und 45 Seiten lang sind“, weiß der Experte.
„Aufgrund der derzeitigen Marktentwicklung sowie des zunehmenden Risikos durch Cyberbedrohungen prüfen die Versicherer die zu versichernden Risiken genauer. Es besteht häufig nur wenig Spielraum für die Annahme des Risikos, wenn die IT-Sicherheitsvorkehrungen des zu versichernden Unternehmens nicht ausreichend sind. Umso wichtiger ist es, dass Unternehmen vor der Antragstellung eine ausführliche Risikoprüfung anhand der Vorgaben des jeweiligen Versicherers durchführen“, sagt Christine Schönteich, Geschäftsführerin der Fonds Finanz. Vema-Vorstand Dr. Johannes Neder schätzt, dass etwa 30 bis 40 Prozent aller Risikovoranfragen abgelehnt werden, da nicht alle notwendigen Sicherheitsvorkehrungen von den Firmen eingehalten werden können.
Eine große Herausforderung ist dabei die Komplexität des Produkts. „Um glaubwürdig beraten zu können, muss man Schadenszenarien nachvollziehbar und kompetent darstellen können. Einen Brand oder eine Überschwemmung kann sich fast jeder vorstellen – einen Cyberangriff mit seinen möglichen Folgen aber nicht. Daher muss ein Berater schon sicher im Thema sein“, betont Neder. Daher biete die Maklergenossenschaft ihren Maklerkollegen eine ganze Reihe an Schulungen zum Thema an, wie auch erklärende Unterlagen, die beim Kunden eingesetzt werden können.
Auch Fonds Finanz setzt angesichts des sehr technischen und komplexen Themas sowie des damit einhergehenden Beratungsaufwandes auf ein umfassendes Schulungsangebot, das sowohl Vermittler mit umfassender als auch mit geringer Erfahrung im Bereich Cyberversicherungen anspricht.
Was eine gute Cyberversicherung ausmacht
Bleibt abschließend die Frage, was die wichtigsten Assets eines guten Cybertarifs sind: „Das zentrale Kriterium ist ein exzellenter Schadenprozess. Er entscheidet darüber, wie schnell und effektiv ein Unternehmen nach einem Vorfall wieder handlungsfähig ist – und reduziert nicht nur die finanziellen Auswirkungen, sondern schützt auch vor folgenschweren Reputationsschäden. Schnelle Assistance-Leistungen mit sofort verfügbaren Experten für IT, Datenschutz und Krisenkommunikation sind dafür unverzichtbar. Eine gute Police sollte Eigenschäden, Haftpflicht und idealerweise auch Betriebsunterbrechung einschließen“, rät Hiscox-Mann Lemke.
Ebenso wichtig seien klare, transparente Bedingungen ohne versteckte Klauseln, damit der Versicherungsnehmer genau weiß, was abgedeckt ist und was nicht. Zudem spiele der Preis eine Rolle. „Aber entscheidend sind Servicequalität, Deckungsumfang und Prävention. Eine Cyberversicherung sollte nicht als reiner Kostenpunkt gesehen werden, sondern als strategisches Sicherheitsinstrument, das Unternehmen hilft, Risiken aktiv zu managen und im Ernstfall handlungsfähig zu bleiben“, resümiert Lemke.
