CyberDirekt-Analyse 2024: Heterogene IT-Sicherheitsstandards bei Cyberversicherungen

Die CyberDirekt Marktanalyse 2024 hat die Risikoprüfungen von 17 führenden Anbietern von Cyberversicherungen untersucht und herausgearbeitet, welche IT-Sicherheitsstandards für Unternehmen besonders wichtig sind, um optimalen Versicherungsschutz zu erhalten. Ein besonderer Fokus lag auf den Risikofragen, da diese bei der Auswahl der passenden Cyberversicherung eine zentrale Rolle spielen. 2024 ist das Jahr der Produktanpassungen im Cyber-Versicherungsmarkt. Etwa 85 Prozent der Anbieter haben ihre Tarife aktualisiert, wobei sich unterschiedliche Trends abzeichnen. Einige ziehen sich nahezu vollständig vom Markt zurück oder verschärfen ihre Zeichnungspolitik, während andere durch günstigere Preise und bessere Bedingungen ihre Marktposition stärken. Dies führt zu einer noch größeren Heterogenität auf dem Markt für Cyberversicherungen. Versicherungsprodukte unterscheiden sich nicht nur in Leistungen und Preisen, auch die Risikofragen der Versicherer stellen sehr unterschiedliche Anforderungen an die IT-Mindeststandards von Unternehmen.

„Aus unserer Sicht wird gerade den Risikofragen bei der Wahl einer Cyberversicherung zu wenig Beachtung geschenkt, obwohl dies entscheidend für eine reibungslose Regulierung im Schadenfall ist”, sagt Ole Sieverding, Geschäftsführer von CyberDirekt.

„Aktuelle Gerichtsentscheidungen haben gezeigt, dass die Falschbeantwortung zu großen Haftungsrisiken führen kann. Der Fokus liegt meist zu stark auf einem reinen Preisvergleich. Mit unserer Analyse wollen wir erreichen, dass neben Preis und Leistung vor allem auch die Risikofragen stärker in die Entscheidungsfindung einfließen”, so Sieverding weiter.

Wichtige Erkenntnisse der Analyse zeigen, dass keine Risikofrage von allen Versicherern identisch gestellt wird, was die Vielfalt der Risikobewertung unter den Anbietern verdeutlicht. Allerdings gibt es fünf Risikofragen, die von der Mehrheit gestellt werden. Diese betreffen Themen wie Firewall und Antiviren-Lösungen, Datensicherung, Patch-Management, Berechtigungskonzepte und Fernzugriffe, wobei die konkreten Anforderungen signifikant variieren. Einige Anbieter bleiben in ihren Fragen vage, während andere ins Detail gehen. Beide Ansätze haben Vor- und Nachteile für Versicherer und Versicherungsnehmer und sollten entsprechend abgewogen werden. Die Anzahl der Risikofragen allein bestimmt nicht, wie schnell oder einfach diese zu beantworten sind, sondern variiert von einer bis zu 21 Fragen für denselben Kunden. 64 Prozent der Versicherer stellen mit nur einer Frage mehrere Anforderungen.

Automatisierte Schwachstellen-Scans etablieren sich zunehmend als Instrument zur Risikoprüfung. Besonders neue Marktteilnehmer setzen neben bekannten Risikoaudits und Fragebögen auch auf Scan-Technologien. Regelmäßige Mitarbeiterschulungen und IT-Sicherheitstrainings werden von 41 Prozent der Anbieter gefordert, wobei deren Umsetzung von einigen Versicherern mit Rabatten auf die Prämie oder den Selbstbehalt belohnt wird. 35 Prozent der Anbieter differenzieren ihre Risikoprüfungen anhand von Umsatzbändern, wobei die Anforderungen tendenziell mit dem Jahresumsatz eines Unternehmens steigen, es aber auch Ausnahmen gibt. Besonders in den Branchen Produktion und Handel werden spezifische Anforderungen gestellt. So ist für 41 Prozent der Anbieter entscheidend, wie viel Online-Umsatz Handelsunternehmen im Verhältnis zum Gesamtumsatz erzielen.