Eine große Mehrheit der deutschen Manager hält das eigene Unternehmen für nicht ausreichend gegen Cyberrisiken geschützt und ist angesichts drohender Attacken besorgt (Munich Re Survey 2024) -zurecht, wie die steigende Zahl von Cyber-Attacken auf Unternehmen zeigt. Diese verursachten bei steigendem Trend in Deutschland einen geschätzten Gesamtschaden von mehr als 200 Milliarden Euro (Bitkom 2025). Besonders kritisch dabei ist, dass Cyber-Angreifer vermehrt die gesamte Lieferkette ins Visier nehmen und automatisiert Ziele in großer Zahl angehen. Damit geraten auch kleine und mittelgroße Unternehmen (KMU) direkter in den Fokus der Kriminellen.
Treffen Cyber-Angriffe große Firmen, dann schlagen Betriebsunterbrechungen oder finanzielle Einbußen daraus oft auch in der Kaskade auf kleinere Zulieferer und Dienstleister durch. In einem aktuellen Cyber-Schadenfall in Großbritannien wird ein staatlich verbürgter Milliarden-Kredit bereitgestellt, um wirtschaftliche Auswirkungen bis hin zu Insolvenzen in der Fläche zu mindern.
KMUs sind verwundbar aufgrund ihrer potenziell geringeren verfügbaren Ressourcen für Schutz- und Schulungsmaßnahmen, im Ernstfall werden Wiederherstellung der Systeme, Wiederaufnahme des Betriebs und Erholung vom Schaden oft zu einer Herkulesaufgabe für die Opfer. So hatte etwa ein Rheinland-Pfälzer Versandhändler als Folge einer Attacke sogar nach Entschädigung durch den Versicherer selbst noch rund 1 Million Euro an Ertragsausfall und Kosten für Dienstleister und Wiederaufbau der IT-Systeme zu verkraften. Diese Dimension verdeutlicht, wie existenziell die Bedrohung werden kann, die von einer Cyberattacke ausgeht.
Nichtsdestotrotz ist ein hoher Anteil der Cyberrisiken besonders bei KMU unversichert. Laut Gesamtverband der Versicherer (GDV) bieten über 50 Versicherungsunternehmen Cyber-Deckung an. Munich Re schätzt die Bruttobeiträge in Deutschland auf rund 600 Millionen Euro. Insgesamt darf wohl von größerer Kapazität der deutschen Assekuranz für Cyber ausgegangen werden, Hauptkunden sind Industrieunternehmen. Die große Deckungslücke besteht bei den über drei Millionen kleinen und mittelgroßen Unternehmen mit mehr als 38 Millionen Arbeitnehmern, die über 40 Prozent der Bruttowertschöpfung in Deutschland erwirtschaften.
Versicherer in der Pflicht
Damit auch deren steigendes Risikobewusstsein noch stärker in effektiven Versicherungsschutz münden kann, sind die Versicherer gefordert. Cyber-Produkte müssen so gestaltet sein, dass sie für Versicherte und Vertriebskräfte gut verständlich sind. Der Abschluss einer Police muss unkompliziert funktionieren, die Police orientiert sich an den Bedürfnissen der Versicherten, der Deckungsumfang ist transparent. Im Grund geht es darum, Komplexität zu reduzieren, und Kooperation aller Beteiligten hochzufahren: Die Versicherungslücke gemeinsam mit den un- oder unterversicherten Unternehmen zu schließen ist vor dem Hintergrund einer schnell wachsenden Bedrohung durch aggressive Cyberkriminelle, neue Technologien sowie geopolitische Krisen besonders für KMUs substanziell wichtig.
Die Situation der KMU ist herausfordernd – und unterscheidet sich von großen Unternehmen deutlich. Für viele Mittelständler ist eine stete Auslastung erfolgskritisch, da sie oft mit begrenzten Ressourcen arbeiten, Ausfälle von Maschinen sind schwer auszugleichen. Fachkräfte sind schwer zu finden und zentral für den Geschäftserfolg, während IT und Bürokratie häufig als Belastung empfunden werden, die kaum zum Erfolg beitragen.
Schlank und bedarfsgerecht, sollte die Cyberversicherung im richtigen Zuschnitt künftig bestenfalls der Schlussstein in der stabilen Sicherheitsarchitektur der KMU werden: Zu diesemwirksamen Cyber-Risiko-Management gehört es, gemeinsam vermeidbare Risiken zu verringern, potentielle Bedrohungen zu überwachen, die eigene Abwehr- und Reaktionsfähigkeit für den Ernstfall auch mit Hilfe Dritter hochzufahren und schließlich das unvermeidbare Restrisiko zu versichern.
Welche Cyber-Risiken kann eine Police abdecken?
Werden Versicherte Opfer von Schadsoftware, Datenschutzverletzungen oder Hackerangriffen, deckt eine Standardpolice sowohl eigene Schäden und Aufwände, etwa aus der Unterbrechung der Betriebstätigkeit oder für die Wiederherstellung von Systemen und Daten, als auch Schäden Dritter. Oftmals umfasst die Deckung zudem Kosten etwa für Rechtsbeistand, Forensik und Krisenmanagement. Wichtig aus Unternehmenssicht ist, alle potentiell substanziellen Risiken abzudecken; dafür sind Transparenz und Kooperation zwischen Versichertem und Versicherern die Grundlage.
Welche Rolle kann ein Rückversicherer übernehmen?
Seit 15 Jahren investiert Munich Re als einer der Marktführer kontinuierlich in Risiko-Expertise: Datenanalyse, Kumulmodellierung, und Kooperation mit Tech-Firmen sind für die Cyber-Marktexpansion unverzichtbar und bereiten den Boden für die Zusammenarbeit von Erst- und Rückversicherer. Munich Re sieht das gemeinsame Ziel des Marktes darin, das komplexe Geschäftsfeld nachhaltig zu erschließen, um die Cyber-Resilienz der Unternehmen und Organisationen und damit in der Konsequenz der Wirtschaft insgesamt zu stärken. Der Beitrag der Rückversicherung konzentriert sich aus Sicht von Munich Re dabei auf drei Säulen:
1. Risikotransfer und Kapazitätsbereitstellung: Das Fundament der Versicherbarkeit und Marktexpansion
Solide Rückversicherungskapazität auf der Basis umsichtiger Risikomodelle und Diversifizierung erlaubt es Erstversicherern, Cyber-Risiken von jenen Unternehmen zu übernehmen, die zuvor unversichert oder unterversichert waren. Die Branche trägt in gemeinsamer Risiko-Tragung aller Beteiligten maßgeblich dazu bei, die Lücke zwischen versicherten und wirtschaftlichen Schäden zu schließen und den Markt nachhaltig zu entwickeln.
2. Expertise und Modellierung: Fundierte Entscheidungen in einer dynamischen Bedrohungslandschaft
Munich Re setzt im Underwriting auf eigene Expertise und investiert deshalb kontinuierlich in interdisziplinäre und kooperative Studien, um Wissen für Versicherbarkeit und Modellierung weiter auszubauen. Erkenntnisse aus Studien und dem Monitoring der Bedrohungslage sind Teil des Risikodialogs mit unseren Kunden; allgemeine Einschätzungen aus Studien und Markt teilen die Experten mit interessierten Kunden und Beobachtern.
3. Markt- und Vertriebsunterstützung: Gemeinsam die Deckungslücke schließen
Munich Re sieht die weitere Entwicklung des Cybergeschäfts als gemeinsame Aufgabe aller Markt-Player, mit dem Ziel starker Resilienz der Versicherten und hoher Penetration des Marktes. Erstversicherer schätzen Munich Re dabei als stabilen Partner mit zuverlässiger Kapazität und außerordentlicher Expertise etwa in der Produktentwicklung, in Underwriting und in der Vertragsgestaltung, die sie als Grundlage für sich nutzen können. Rückversicherer schätzen umgekehrt das Fachwissen der Zedenten, ihre Vertriebskraft, als auch Einblick in die Erfahrungen und Bedürfnisse der Versicherten.
Europa ist schon jetzt der zweitgrößte Cyber-Versicherungsmarkt weltweit und rangiert hinter Nordamerika, weltweit ist der Cyber-Versicherungsmarkt auf aktuell rund 16 Milliarden US-Dollar gewachsen. Für Erst- und Rückversicherer stellt die Notwendigkeit, den deutschen Cyber-Versicherungsmarkt besser zu erschließen eine Herausforderung und einen Anreiz dar: Versicherer können aktiver und überzeugender Cyber-Policen und zugehörige Services verkaufen, denn es geht um eine bessere Absicherung von vielen mittelgroßen und kleineren Unternehmen. Sie stellen mit zielgerichtetem und bedarfsorientierten Angebot großen Mehrwert her für Kunden, die bisher noch keinen Zugang zu Cyberversicherung haben.
Angesichts der stetig wachsenden Bedrohungen benötigen alle Unternehmen, Organisationen und Privatkunden Angebote, um sich für den Fall schwerwiegender Cyber-Angriffe und Ausfälle finanziell absichern zu können. Analog zur Entwicklung des globalen Markts sieht Munich Re vor diesem Hintergrund auch für das Cyber-Versicherungsgeschäft in Deutschland definitiv das Potential, dass sich das Prämienaufkommen bis 2030 verdoppeln kann.
Bengt von Toll ist Leiter Cyber-Underwriting Europa/Lateinamerika bei Munich Re
