Der Cyber-Versicherungsmarkt zeigte in Deutschland erste Anläufe ab den Jahren 2010 bis 2012. Es gab eine überschaubare Anzahl an Risikoträgern, standardisierte Versicherungsbedingungen sowie erste zaghafte Vertragsabschlüsse. Der folgende Wettlauf um Marktanteile entwickelte sich zu einem Sprint bis in das Jahr 2020. In dieser Zeitspanne waren die Versicherungsnehmer relativ verhalten beim Abschluss derartiger Verträge, wohingegen die Versicherer unter anderem durch Ausweitung der Versicherungsbedingungen und reduzierte Versicherungsprämien versuchten, das Produkt zu vermarkten. Ab Mitte des Jahres 2020 erfolgte eine plötzliche und extreme Verhärtung des Marktes, die bis heute andauert. Die Gründe: Versicherer haben in dieser kurzen Zeitspanne viele Schäden aufgrund von Cyber-Angriffen bezahlen müssen, zu niedrige Marktprämien angesetzt und im Vorfeld der Vertragsanbahnung eine unzureichende Risikoanalyse durchgeführt.
Betriebsunterbrechungen, Lücken im Datenschutz und Schadprogramme, die durch Cyber-Vorfälle ausgelöst werden, können inzwischen ausschließlich über eine Cyber-Versicherung abgesichert werden. Dieser Umstand rückt die Versicherung verstärkt in den Fokus. Gleichzeitig ist der Cyber-Versicherungsmarkt 2022 so hart wie nie zuvor. Durch die Verluste der Vergangenheit getrieben, versuchen die Versicherer das Produkt „Cyber“ wieder profitabel zu gestalten. Dazu nutzen sie die bekannten versicherungstechnischen Hebel wie Reduktion der Kapazitäten oder Erhöhung der Selbstbehalte und Prämien. Mehr als 10 Mio. Euro an Kapazität für ein einzelnes Risiko bietet fast kein Versicherer mehr an.
Aufgrund der Vielzahl unterschiedlicher Versicherungsbedingungen und Schwerpunkte in der Akzeptanz von Risiken, gibt es außerdem noch hohe Hürden bei einer Layerung von Versicherungsprogrammen zu überwinden. Selbst innerhalb eines Exzedenten wollen die Versicherer ihre eigene Risikopolitik durchsetzen. Es wird – abweichend zu anderen Sparten – nicht immer dem führenden Anbieter gefolgt. So kann ein Exzedentenversicherer eine Vielzahl an Inhalten des Grundversicherers als „nicht zeichenbar“ klassifizieren und Einschränkungen vornehmen.
Zudem haben sich im Markt Mindestanforderungen an die IT-Sicherheit der Versicherungsnehmer etabliert, wie zum Beispiel Mehrfaktorauthentifizierung oder regelmäßige Backups. Sofern ein Kunde auch nur eine der Mindestanforderungen nicht erfüllt, ist es für ihn nahezu unmöglich, Versicherungsschutz zu erhalten. Darüber hinaus hat jeder Versicherer individuelle Anforderungen an die Sicherheit beim Kunden und führt ein sehr detailliertes, zeitaufwendiges und kritisches Underwriting eines jeden Risikos durch.
In Anbetracht der hohen Hürden und Anforderungen ist es empfehlenswert, dass Unternehmen nicht ausschließlich auf die Cyber-Versicherung setzen und nach dem Grundsatz „Risikovorsorge vor Absicherung“ handeln.
