24. Februar 2023 Allgemein
Einwände gegen eine Cyber-Versicherung – Teil 2
Wir werden uns in diesem Artikel die häufigsten Einwände ansehen und ihre Berechtigung diskutieren.
Mehr Informationen +
Im letzten Monat ging es darum, inwiefern es sinnvoll ist, die Entscheidung, ob eine Cyberversicherung abgeschlossen werden soll, mit den IT-Verantwortlichen abgestimmt werden soll oder nicht. Aus technischer Sicht ist aber die Abstimmung mit der IT-Abteilung oder dem eigenen IT-Dienstleister meist unumgänglich und dann kann es durchaus passieren, dass man als Vermittler mit Einwänden konfrontiert wird.
Wir werden uns in diesem Artikel die häufigsten Einwände ansehen und ihre Berechtigung diskutieren. Bei einzelnen Einwänden werden wir aber auch mögliche andere Motive beleuchten, die dafür verantwortlich sein können, dass der Abschluss einer Cyberversicherung kritisch betrachtet wird:
Hohe Prämie einer Cyberversicherung
Wie auch jede andere Versicherung kostet eine Cyber-Versicherung Prämie. Dass der Versicherungsbeitrag im Bereich der Cyberversicherung für exponierte Risiken auch durchaus hoch sein kann, ist kein Geheimnis. Dem gegenüber steht allerdings auch das hohe Risiko, von einem Cyber-Angriff oder einer Datenschutzverletzung betroffen zu sein. Die hohe Anzahl an Cybervorfällen hat die Versicherer in den letzten Jahren dazu gezwungen, die Prämien anzupassen. Auch die durchschnittliche Schadenshöhe hat natürlich einen Einfluss auf die Prämienhöhe. Die Kosten für einen Cybervorfall, auch wenn dieser glimpflich ausgefallen ist, summieren sich schnell auf 5-stellige Beträge – insofern ist die Prämienhöhe immer im Verhältnis zur Schadenswahrscheinlichkeit und der Schadenshöhe zu sehen.
Fehlende Deckungen für bestimmte Risiken
Cyber-Versicherungen sind im Vergleich zu anderen Versicherungssparten ein sehr junges Absicherungsinstrument. Ein Standard für Cyberversicherungen ist am Markt noch nicht zu sehen. Musterbedingungen für Cyberversicherungen sind ebenfalls erst seit wenigen Jahren verfügbar, werden aber von den Produktanbietern zurzeit kaum berücksichtigt. Aufgrund der vielen unterschiedlichen Deckungsbausteine, die im Rahmen einer Cyberversicherung gebündelt werden, sind Ausschlüsse unumgänglich – insbesondere um die Abgrenzung zu anderen Sparten herzustellen.
Diese teils unübersichtliche Situation führt dazu, dass man für den Abschluss von Cyberversicherungen auf spezialisierte Vermittler zurückgreifen sollte, welche einen Überblick über den Markt bieten können.
Lange Bearbeitungszeit von Schadensfällen
Schadensfälle in der Cyberversicherung ziehen sich meist über mehrere Wochen, während anfänglich immer die Wiederherstellung eines Notbetriebs im Vordergrund steht. Nachdem der Betrieb wieder aufgenommen wurde, wird meist nach Prioritäten in der Wiederherstellung vorgegangen und die Systeme nach und nach wieder aufgesetzt. Dies erfordert bei komplexen Systemen oft eine Vielzahl an externen Dienstleistern. Auch die Erstellung der Schadensdokumentation benötigt Zeit, damit die Kosten dem Versicherungsunternehmen zur Prüfung vorgelegt werden können. Für die Bearbeitung von Betriebsunterbrechungsschäden ist darüber hinaus die gesamte Haftzeit zu berücksichtigen, damit auch Wiederaufholeffekte berücksichtigt werden können.
Ablehnungen aufgrund der Verletzung vorvertraglicher Anzeigepflichten
Anbieter von Cyberversicherungen stellen Anforderungen an die Versicherungsnehmer hinsichtlich der IT-Standards – sei es durch einen Risikofragebogen und/oder technische Obliegenheiten in den Versicherungsbedingungen. Wenn diese Anforderungen vom Versicherungsnehmer nicht eingehalten werden, wird es im Zuge der Schadensabwicklung zu Problemen kommen. Daher ist eine gewissenhafte Beantwortung der Risikofragebögen notwendig und auch die Aufrechterhaltung der Sicherheitsmaßnahmen während der Vertragslaufzeit.
Obliegenheiten und Risikofragebögen sind auch in anderen Versicherungssparten durchaus üblich – und sind hier teilweise an die Einhaltung von Normen geknüpft. Wir sind der Meinung, dass sich dies auch in der Sparte Cyber in diese Richtung entwickeln wird und sich somit der Prozess für die Risikoprüfung wieder verkürzen wird. Dazu wird es notwendig sein, Standards für Cybersicherheit zu erarbeiten, welche objektiv geprüft werden können – was durchaus keine triviale Aufgabe ist.
Niedrige Haftungsgrenzen für einzelne Bausteine
Versicherer versuchen Ihre Leistungspflichten durch Haftungsgrenzen für einzelne Bausteine zu begrenzen. Dass diese Haftungsgrenzen für Bereiche eingezogen werden, welche die Versicherungsunternehmen als besonders kritisch erachten, ist nicht weiter überraschend. Auch hier sind allerdings noch keine Branchenstandards zu erkennen, daher ist ein gewissenhafter Vergleich über mehrere Anbieter notwendig.
Haftungsgrenzen im Bereich der Cyber-Haftpflichtversicherung sind jedenfalls als kritisch zu erachten, da die Schadenssummen schwer abschätzbar sind. Auch geringe Sublimits für die Bezahlung von Erpressungsgeldern oder auch der gänzliche Ausschluss dieser sind genau zu betrachten, da man auf diese Forderungen als Versicherungsnehmer nur geringen Einfluss hat. Im Bereich der Haftpflichtversicherung hat es sich bewährt, insbesondere die Art und den Umfang der im Unternehmen verwalteten personenbezogenen Daten zu bewerten, um für den Fall eines Data Breaches eine ausreichende Versicherungssumme zur Verfügung zu haben. Eigene Kosten im Falle eines Cybervorfalles wie beispielsweise Wiederherstellungskosten lassen sich hingegen unternehmensintern für verschiedene Szenarien mit einem kompetenten IT-Dienstleister gut abschätzen. Bei der notwendigen Versicherungssumme für die Cyber-Betriebsunterbrechung kann man sich an den üblichen Bemessungsgrundlagen für die die Sach-BU orientieren, wobei man berücksichtigen muss, dass ein Cyber-Vorfall tendenziell eine kürzere Betriebsunterbrechung verursacht, welche allerdings oft das gesamte Unternehmen betrifft und nicht wie in der Sach-BU nur einen Standort. Je nach Branche sind auch mögliche Wiederaufholeffekte zu berücksichtigen.
Ständig neue Anforderungen
Im Rahmen der Cyberversicherung ist es durchaus üblich, dass sich die Anforderungen für die Beibehaltung des Versicherungsschutzes im Laufe der Zeit ändern. Dies ist dem starken Anstieg und der Professionalisierung der Cybervorfälle in den letzten Jahren geschuldet. Sicherheitsmaßnahmen, welche vor wenigen Jahren noch als „Stand der Technik“ bezeichnet werden konnten, sind heutzutage in vielen Fällen für die Angreifer kein großes Hindernis mehr. Daher wird von den Versicherungsunternehmen auch eine Weiterentwicklung der Schutzmaßnahmen eingefordert, um den Versicherungsschutz aufrechtzuerhalten.
In Bezug auf IT-Sicherheitsmaßnahmen bedeutet Stillstand einen stetigen Rückgang der eigenen Cybersicherheit. Dies haben auch die Versicherer erkannt und treffen diesbezüglich Maßnahmen, welche nicht nur das Neugeschäft betreffen. Auch im Bestandsgeschäft sehen die Versicherer die Notwendigkeit sicherzustellen, dass die Versicherten ihre Sicherheitsvorkehrungen aktuell halten. Die Stand-der-Technik-Klauseln, welche in vielen früheren Bedingungswerken enthalten waren und noch sind – und auch Anlass zu Kritik gegeben haben – waren im Schadensfall hier wohl nicht ausreichend.
Es kann durchaus vorkommen, dass Anforderungen der Cyberversicherung die IT-Abteilung unter Druck setzen und die Verschiebung von Prioritäten erfordert, insbesondere wenn der Versicherungsschutz dadurch in Gefahr ist. Da die IT-Abteilungen meist projektbezogen am Anschlag und damit sehr unter Druck stehen, kann es durchaus sein, dass man hier auf etwas Gegenwehr stößt. Hier kann eine Geschäftsleitungen, die die Prioritäten unterstützt, durchaus hilfreich sein.
Fazit
Da sich der Markt hinsichtlich der Schadens- und Risikosituation in den letzten Jahren sehr zu Ungunsten der Versicherer entwickelt hat, ist es aktuell nicht überraschend, dass die Versicherungsunternehmen hier auf verschiedenen Ebenen gegensteuern müssen. Erschwerend dazu kommt, dass die Wettbewerbssituation durchaus ebenfalls gegeben ist und daher eine starke Erhöhung der Prämien auch nicht immer infragekommt. Wir sehen es daher aktuell als unsere Aufgabe, dass wir für den Versicherungsnehmer – trotz dieser erschwerten Marktbedingungen – immer noch einen sehr umfassenden Versicherungsschutz bei verlässlichen Partnern zu einer akzeptablen Prämie zur Verfügung stellen können.
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Ein perfekter Angriff: Wie ich fast mein GMail-Konto verloren hätte
Die Zeit, in der man Cyberkriminelle an schlechter Grammatik oder offensichtlichen technischen Fehlern erkennen konnte, ist vorbei. Die neue Generation von KI-gestützten Angriffen ist raffiniert, überzeugend und hochprofessionell.
WEITERLESEN
News
Der EU AI Act: Regulierung für Künstliche Intelligenz
Am 1. August 2024 trat der "AI Act" der Europäischen Union in Kraft.
WEITERLESEN
News
Fehleinschätzungen zu NIS2: Wie Unternehmen die Richtlinie unterschätzen!
Über die EU-Richtlinie NIS2 wurde in den letzten Monaten viel berichtet. Sie stellt viele Unternehmen vor große Herausforderungen und zahlreiche Fehleinschätzungen und Missverständnisse erschweren die effektive Umsetzung.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
