Marktvergleich legt Heterogenität der Cyber-Tarife offen

Der Markt für Cyberversicherungen in Deutschland ist inzwischen deutlich über 10 Jahre alt. Nicht nur weist er heute das größte Vertriebspotenzial der Branche auf, er glänzt mittlerweile auch mit einer starken Professionalisierung im Underwriting und im Management der Schadenabläufe. Großen Verbesserungsbedarf kann man allerdings in den zum Teil eklatanten Unterschieden in den jeweiligen Versicherungsbedingungen erkennen. Cyberversicherung ist nicht gleich Cyberversicherung.

Die großen strukturellen und inhaltlichen Abweichungen möchte CyberDirekt nun mit einer Marktanalyse auf Basis eines Marktvergleichs kenntlich machen.

Was sich in der Praxis als besonders relevant herausgestellt hat, ist ein verständlicher Schadenmeldeprozess mit unmittelbarer Unterstützung durch Experten. Bei zwei Drittel (69 Prozent) der Anbieter geht bei einer Schadenmeldung über die angegebene Hotline ein IT-Krisendienstleister ans Telefon. Bei 19 Prozent der Konzepte ist die eigene Schadenabteilung des Versicherers der erste Kontaktpunkt. Wohingegen bei weiteren 13 Prozent ein Assisteur ans Telefon geht. 

Durch die fortschreitende Digitalisierung und Verlagerung von Geschäftsprozessen in die Cloud wird die Erweiterung der Cyber-Betriebsunterbrechung auf den Cloud-Ausfall zu einem immer wichtigeren Baustein. Dieser deckt den Ertragsausfall, der einem selbst entsteht, wenn die genutzte Cloud, wie AWS, Microsoft Azure oder Google Cloud über einen längeren Zeitraum nicht zur Verfügung stehen. 13 Prozent der Anbieter bieten diese Erweiterung aktuell nicht an.

Lösegeldzahlungen und Kriegsausschluss

Ein weiterer besonders spannender Aspekt ist der Einschluss von Lösegeldzahlungen in den Cyberversicherungsschutz. Ein Viertel (25 Prozent) der Versicherer deckt Lösegeldzahlungen ohne weitere Einschränkungen ab. 19 Prozent hingegen bieten aktuell gar keinen Einschluss an. Der Rest arbeitet mit Sublimits oder anderen Einschränkungen. In der überwiegenden Mehrheit ist Lösegeld aktuell also vom Versicherungsschutz umfasst.

Das vergangene Jahr war geprägt von Diskussionen rund um den Cyber-Kriegsausschluss und die Notwendigkeit diesen anzupassen. Obwohl ein dedizierter Cyber-Kriegsausschluss in der Industrieversicherung bereits zum Standard geworden ist, findet sich dieser mit 13 Prozent nur bei einer Minderheit der Anbieter standardmäßig in den Konzepten. Alle anderen Bedingungswerke arbeiten weiterhin mit einem klassischen Kriegsausschluss.

Obliegenheiten

Ein weiterer Punkt, in dem sich große Unterschiede auftun, sind die Obliegenheiten. 13 Prozent der Anbieter haben leider sehr offene und damit unklare „Stand der Technik“-Obliegenheiten in den Bedingungen vereinbart, die bei Deckungsstreitigkeiten schnell gegen den Versicherungsnehmer ausgelegt werden können.

31 Prozent haben eine mildere Form, mit allerdings immer noch recht weitreichenden Obliegenheiten (zusammen 44 Prozent), wie der “Einhaltung aller gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherungsmaßnahmen”. Dies wird insbesondere mit Blick auf die kommende IT-Compliance immer schwieriger einzuhalten. Beispielhaft sind hier nur das IT-Sicherheitsgesetz, NIS-2 Richtlinie, die DSGVO oder vertragliche SLAs genannt.

Sobald diese nicht zu 100 Prozent erfüllt sind, hat der Versicherer das Recht im Schadenfall entsprechend kausal die Leistung zu kürzen. Eine deutlich klare Regelung stellen Deckungen dar, bei denen der Risikoträger eine abgeschlossene Anzahl von Obliegenheiten definiert. Dies ist nur bei einem Viertel (25 Prozent) der Fall. Weitere 31 Prozent verzichten weiterhin komplett auf diese Art der Versicherungsbedingungen, was die freundlichste Regelung für Versicherungsnehmer ist.

Die hier beleuchteten Punkte stellen nur eine kleine Auswahl der 125 Tarifmerkmalen dar, die in das CyberDirekt-Rating einfließen. Das Ziel der Plattform ist es, Cyberversicherungen intuitiv verständlich und leicht vergleichbar zu machen.