„Der Markt wird sich sehr dynamisch entwickeln!“

• IN

Der Gesamtverband der Versicherungswirtschaft hat seine neue Cyberrisiko-Versicherung vorgestellt. Die IISW sprach darüber mit Sabine Krummenerl, Mitglied des Vorstandes der Provinzial Rheinland Versicherung AG:

Hacker und IT-Experte Linus Neumann berichtete, dass es „keine sicheren Programme“ gibt. Ist es nicht ein unkalkulierbares Risiko für die Branche, Dinge zu versichern, bei denen selbst Hersteller und Experten keine Garantie für die sicherheitstechnische Leistungsfähigkeit ihrer Produkte übernehmen wollen?

Grundsätzlich kann Versicherungsschutz nur einen gewissen Teilschutz bzw. einen gewissen Teil an Risikotransfer bieten. Kunden müssen die technischen, organisatorischen und personellen Grundvoraussetzungen zur Absicherung gegen Cyber-Risiken schaffen, damit ein Risikoausgleich i.S. des versicherungstechnischen Risikos gelingen kann. Versicherungsschutz kann nicht vor Hackerangriffen schützen. Vielmehr muss es durch den Risikotransfer gelingen, dieses verbleibende Risiko bei den Kunden abzusichern.

Derzeit scheint die Bereitschaft, Cyberrisiken zu versichern, in Wirtschaft und Bevölkerung unterentwickelt zu sein. Wie hoch ist das Marktpotential für die Versicherung gegen Cyberrisiken in Deutschland? Wie ist die Projektion für die Marktentwicklung in den nächsten zehn Jahren?

Der Markt ist noch sehr jung und insbesondere die Versicherung von Cyberrisiken im Mittelstand steht erst ganz am Anfang. Das liegt zum einen an noch nicht überall vorhandenem Risikobewusstsein der Wirtschaft. Das muss sich ändern und ändert sich auch bereits. Dies ist auch ein maßgebliches Anliegen der Bundesregierung. Andererseits kommen viele Versicherer auch jetzt erst mit entsprechenden Versicherungsprodukten auf den Markt. Auch deswegen hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) unverbindliche Musterbedingungen für eine Cyberrisiko-Versicherung entwickelt, die den Versicherern als Konzept für eigene Versicherungsprodukte dienen können. Der Markt für Cyberrisiko-Versicherungen dürfte sich auch deshalb in den kommenden Jahren sehr dynamisch entwickeln. Wir erwarten als Branche und als Provizial Rheinland in den kommenden Jahren ein exponentielles Wachstum in diesem Segment. Wo genau wir in 10 Jahren stehen werden, kann ich aber natürlich nicht vorhersagen.

Welche Kommunikationsmaßnahmen planen Sie, mit wem wollen Sie kooperieren, um die Öffentlichkeit zu sensibilisieren?

Jedes Versicherungsunternehmen nutzt eigene Vertriebs- und Kommunikationskanäle. Gemeinsam sind wir aber auch über unseren Verband, den GDV, aktiv. Dieser hat z.B. am 28. März eine Cyber Security Konferenz in Berlin durchgeführt, um mitzuhelfen, die Wirtschaft und Öffentlichkeit weiter für die Gefahr durch Cyberrisiken zu sensibilisieren und deutlich zu machen, dass es kein Unternehmen gibt, das nicht zu den potenziellen Angriffszielen der Hacker gehört und dass IT-Sicherheit Voraussetzung für Versicherungsschutz ist.

Die Schätzungen bei Schäden durch Cyberrisiken gehen stark auseinander. Von welchen Daten geht der GDV aus. Wie ist die Prognose für die nächsten Jahre?

Schätzungen beziffern den jährlichen wirtschaftlichen Schaden durch Cyberkriminalität auf über 50 Milliarden Euro im Jahr. Versicherer werden aber nur Risiken zeichnen, die sie im Fall der Fälle auch schultern können und für die unsere Kunden bereit sind, die erforderlichen Beiträge zu zahlen. Natürlich ist gerade bei neuen Produkten wie der Cyberversicherung eine sorgfältige Produktgestaltung und eine genaue Beobachtung der Schadenentwicklungen erforderlich. Aber: Das Erkennen, Bewerten, Vermeiden und Managen von Risiken ist seit Hunderten von Jahren unsere Kernkompetenz.

Die neue Cyberrisiko-Versicherung wendet sich an Mittelständler. Inwieweit gibt es Angebote für Privatleute und Kommunen? Diese sind ja zunehmend gefährdet, wie der Fall des Krankenhauses in Neuss gezeigt hat.

Die unverbindlichen Musterbedingungen des GDV richtet sich zunächst an den Mittelstand und die dazugehörigen kleinen- und mittleren Unternehmen. Dass auch andere Zielgruppen den Bedarf an einer Cyber-Versicherung haben, ist bekannt und deren Bedarf wird von den Versicherungsunternehmen auch nach und nach mit Versicherungsschutz gedeckt werden. Auch Privatkunden können sich mit verschiedenen Policen vor Cyber-Risiken schützen. In der Privathaftpflichtversicherung ist der Schutz vor Schäden durch elektronische Datenübertragung im Internet, per E-Mail oder mobiler Datenträger mittlerweile ein Standardbaustein. In der Rechtsschutzversicherung und der Hausratversicherung werden zudem Bausteine zum Schutz vor Cybermobbing, Hilfe bei Identitätsdiebstahl, Zahlungsmitteldatenmissbrauch, Konflikten mit Online-Händlern oder bei privaten Urheberrechtsverstößen angeboten.

Massenschädigungen sollen bei der Cyberrisiko-Versicherung ausgenommen werden. Wie sind in Zukunft Schäden durch Massenattacken abgesichert?

Grundsätzlich sind auch Schäden durch solche Massenattacken, wie z.B. durch E-Mail-Würmer, versichert, auch dann, wenn sie eine Vielzahl von Unternehmen treffen und zu Schäden führen. Wir sprechen dann von Kumulen. Die Herausforderung der Kumulrisiken bei Cyberangriffen ist der Branche bewusst. Die Risikoeinschätzung mittels geeigneter Fragen zum Cyberrisiko des zu versichernden Unternehmens und die Obliegenheiten der Kunden können das Kumulrisiko begrenzen, ebenso wie die vereinbarten Deckungssummen.

Der GDV schlägt nun einen Standard für die Branche vor. Wann wird sich dieser Standard in der Branche durchgesetzt haben?

Die unverbindlichen Musterbedingungen des GDV für die Cyberversicherung sollen Versicherern die Entwicklung eigener Angebote erleichtern. Für Unternehmen und Makler sind sie gleichzeitig ein Vergleichsmaßstab, um Versicherungsangebote zu bewerten. Ziel ist es nicht, nur gleichförmige Angebote am Markt zu schaffen, sondern die Musterbedingungen haben das Ziel, das Angebot am Versicherungsmarkt insgesamt zu verbreitern. Bereits heute sind einige Versicherer mit eigenen Cyber-Versicherungslösungen im Markt. Es ist davon auszugehen, dass durch die Musterbedingungsentwicklung weitere Anbieter mit eigenen Bedingungswerken hinzukommen.

Die Haftpflichtversicherung für Kfz ist verpflichtend. Wäre es von Seiten der Versicherungsbranche nicht auch wünschenswert, wenn eine gesetzliche Verpflichtung für Privat- und Firmen-Computer bestünde, die ein aktuelles Virenschutzprogramm und eine Cyberrisiko-Versicherung obligatorisch machen?

Wir setzen als Branche auf die Freiwilligkeit – sowohl bei der IT-Sicherheit als auch beim Versicherungsschutz. Die Unternehmen, Geschäftsfelder, genutzte IT-Landschaft, unternehmerischen Interessen, individuellen Risiken und Absicherungsbedarfe sind so unterschiedlich, da wären einheitlich verpflichtende Vorgaben nicht sinnvoll.

Frau Krummenerl, vielen Dank für das Gespräch!