Die besten Cyber-Versicherungen

Franke und Bornberg untersuchte für das erste Rating für gewerbliche Cyber-Policen im deutschen Markt 35 Tarife und Bausteinlösungen von 28 Anbietern.

Die Ergebnisse des Ratings zeigen, dass die Leistungsunterschiede noch groß sind und es nur wenige Top-Tarife gibt.

Hintergrund zu Cyber-Versicherungen

Am deutschen Markt sind Cyber-Versicherungen für Unternehmen seit gut acht Jahren präsent, zunächst für Industrie-Risiken und auf Basis anglo-amerikanischer Deckungskonzepte. Spätestens mit den Cyber-Attacken auf den Deutschen Bundestag und militärische Einrichtungen im Jahr 2015 ist das Risikobewusstsein deutlich gestiegen.

Für Vermittler und generell Finanzdienstleister ist es allerdings schwer, sich gegen Cyber-Risiken abzusichern. Sie gelten offenbar als gefahrenträchtig und nur wenige Versicherer sind bereit, ihnen Schutz zu bieten, was der Gewinnung von Vermittlern für den Vertrieb von Cyber-Produkten nicht gerade dienlich ist.

Ansonsten gibt es kaum Einschränkungen. So ist eine Million Euro Versicherungsschutz je nach Branche und Geschäftsmodell schon für weniger als 1.000 Euro Jahresprämie erhältlich. Da die Assekuranz allerdings kein einheitliches Verständnis von KMU kennt, verläuft die Grenzlinie zwischen Gewerbe- und Industriebetrieben zwischen fünf und 50 Millionen Euro Jahresumsatz.

Keine einheitlichen Standards

Der Deckungsumfang unterscheidet sich von Versicherer zu Versicherer erheblich.

Michael Franke, geschäftsführender Gesellschafter der Franke und Bornberg Research GmbH, sagt:

„Wir beobachten deutliche Unterschiede in Aufbau und Umfang der Cyber-Bedingungen. Vom großen Komplettpaket über Baukastensysteme bis hin zu eng gefassten Kern-Deckungen ist alles vertreten. Was der eine Versicherer über eine Rechtsschutzversicherung löst, die an den Cyber-Hauptvertrag angedockt wird, webt der andere in Cyber-Drittschadendeckung und Krisen-Dienstleistungen ein. Die Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen können gravierend sein. Unser Rating bietet erstmals Orientierung in diesem jungen und dynamischen Markt.“

So gibt es keine einheitlichen Standards, wie das Beispiel der „versicherten Gefahren“ zeigt. Es herrsche laut Michael Franke eine fast babylonische Sprachverwirrung. Versicherer verwenden unterschiedlichste Begriffe, die sie mehr oder weniger klar definieren.

Als versicherte Gefahren werden genannt: Netzwerksicherheitsverletzung, IT-Sicherheitsverletzung, Hacker-Angriff, Cyber-Angriff, Cyber-Einbruch, Cyber-Attacke, Cyber-Rechtsverletzung, Cyber-Sicherheitsvorfall

Auch wenn die meisten Begriffe zwar einen ähnlichen Zustand beschreiben, steckt der Teufel im Detail – und dies bedeutet unabsehbare Konsequenzen für Vermittler und Kunden.

Wenig Erfahrung führt zur Mogelpackung

Da der Markt noch recht jung ist und darum wenig Erfahrung vorliegt, entstehen die Bedingungen entweder auf der grünen Wiese oder durch Kopieren von US-Wordings.

Weil Versicherer die sich dynamisch entwickelnden Cyber-Risiken nicht einschätzen können, versuchen sie, das Risiko an vermeintlich besonders kritischen Stellen in den Bedingungen zu begrenzen. Das Ergebnis ist nicht selten eine Mogelpackung, ergab die Analyse von Franke und Bornberg.

So werben einige Angebote damit, den Cloud-Ausfall zu versichern. Beim Blick ins Kleingedruckte zeigt sich jedoch, dass beispielsweise SaaS-Dienste (Software as a Service) ausgeschlossen oder nur DoS-Angriffe (Denial of Service = Nichtverfügbarkeit) auf den Cloud-Anbieter versichert sind. Zudem sublimitieren die meisten Anbieter Angriffe auf den Betreiber einer Cloud – und in deren Folge Betriebsunterbrechungsschäden beim Versicherungsnehmer – stark oder schließen diese Gefahr vom Versicherungsschutz gleich vollständig aus.

Herausforderung für Vermittler

Vermittler müssen das Geschäftsmodell des Kunden verstehen und in Verbindung mit dem technischen und organisatorischen Setup das tatsächliche Risiko ermitteln. So ist das Cyber-Risiko einer lokalen Boutique völlig anders als das eines (auch kleinen) Onlinehändlers, auch wenn beide Kundendaten sammeln, Kreditkartendaten verarbeiten, ihre Daten und Systeme selbst betreiben oder vollständige durch Dritte betreiben lassen.

Kein Produkt erreicht Höchstrating

Für das aufwändige Ratingverfahren nutzt Franke und Bornberg ausschließlich selbst recherchierte Daten. Die Bewertungen stützen sich nur auf das, was in den rechtlich bindenden Unterlagen geregelt ist und bewertet, was Versicherer standardmäßig bieten. Die Basis bilden die Haus-Wordings der Versicherer, inklusive standardisierter Klauselbögen und Sideletter. Untersucht wurden Kompaktprodukte, einzeln wählbare Leistungsbausteine sowie Zwischenformen inklusive aller angebotenen Bausteine / Optionen.

Für das Rating wurden insgesamt 34 Cyber-Tarife für KMU von 28 Gesellschaften durchleuchtet. Herangezogen wurden exakt 115 Ratingkriterien in 21 Bereichen.

Franke und Bornberg analysiert für das Rating vor allem Merkmale, die für die Mehrheit der KMU relevant sind und typischerweise in bisherigen Haftpflicht- und Sachversicherungen nicht gedeckt sind.

Während viele Tarife im durchaus positiv zu bewertenden Mittelfeld landen, ist die Leistungsspitze noch dünn – kein Produkt hat das Höchstrating FFF+ erreicht.

Michael Franke dazu:

„Hier gibt es noch Luft nach oben. Erfahrungsgemäß haben unsere Ratings spürbaren Einfluss auf die Produktqualität. Produktentwickler orientieren sich an den Bewertungskriterien. Ich bin deshalb optimistisch, dass sich das Leistungsniveau und die Präzision der Formulierungen in dieser noch jungen Sparte in den nächsten Jahren spürbar verbessern werden. Aus anderen Produktbereichen wissen wir, dass gerade bei jungen Produktkonzepten die Bildung von Standards in Kernbereichen Voraussetzung für Umsatzwachstum ist. Hierzu tragen wir mit unserem Cyber-Rating bei.“

Leistungen eines Top-Tarifs

  • Betriebsunterbrechung: Deckung von Ertragsausfällen
  • Drittschäden: Deckung für auch für immaterielle Schäden
  • Mehrere Versicherungsverträge: keine Subsidiarität der Cyber-Deckung
  • Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen / Schäden (nicht für solche, die hätten bekannt sein müssen)
  • Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als 12 Monate nach Schadenfeststellung

Ergebnisse im Detail

Die Höchstnote FFF+ erreichte auf Anhieb keines der angebotenen Cyber-Produkte. Die zweitbeste Note FFF wurde von den stärksten Produkten denkbar knapp verpasst.

Die mit FF+ stärksten Policen:

  • AIG CyberEdge 3.0, Stand 06.2018
  • HDI Cyberversicherung für Firmen und Freie Berufe, Stand 10.2018
  • Hiscox CyberClear, Stand 01.2018
  • Markel Pro Cyber, Stand 01.2018

 

Bild: © alphaspirit / fotolia.com