Hanno Pingsmann ist Gründer der Versicherungsvergleichs- und Vertriebsplattform CyberDirekt. Der Betriebswirt hat sein Unternehmen 2017 gegründet und ist seither auf das Geschäft mit Maklern und Firmenkunden spezialisiert.
WirtschaftsWoche: Herr Pingsmann, IT-Sicherheitsexperten berichten von einer nie gekannten Flut von Hackerattacken auf deutsche Unternehmen im vergangenen Jahr. Das müsste das Geschäft mit Cyberversicherungen doch beflügeln.
Hanno Pingsmann: Cyberversicherungen gibt es seit rund einer Dekade. Anfangs haben viele Versicherer solche Policen angeboten, aber die Nachfrage vonseiten der Unternehmen war lange ziemlich überschaubar. Vor etwa fünf Jahren begann sich das zu ändern. Und in den vergangenen gut zwei Jahren hat sich das komplett gedreht.
Was heißt das?
Die Versicherer sind ziemlich zurückhaltend mit Zahlen, aber eine Erhebung der Bundesanstalt für Finanzdienstleistungen zeigt den Trend doch recht deutlich. Lag die Prämiensumme sogenannter alleinstehender Cyberversicherungen 2019 noch bei rund 125 Millionen Euro bundesweit, waren es 2020 schon rund 180 Millionen Euro. Ein Plus von fast 45 Prozent in einem Jahr.
Und wie sah es im vergangenen Jahr aus?
Für 2021 liegen noch keine Zahlen vor. Aber die Branche schätzt, dass die Prämiensumme wohl bei 240 bis 250 Millionen Euro liegen wird. Das wären weitere knapp 40 Prozent Zuwachs.
Wie sieht die Kundschaft für diese Versicherungen aus?
Das Volumen verteilt sich zu etwa zur Hälfte auf Konzerne und ansonsten auf den großen Rest der Unternehmen. Kleine und mittlere Firmen, den größeren Mittelstand. Da sind Cyberversicherungen bis heute eher kein großes Thema. Nach Branchenschätzungen sind allenfalls etwa 15 Prozent der mittelständischen Firmen überhaupt gegen Cyberattacken abgesichert.
Lange flogen die ja sozusagen unter dem Radar der Hacker ...
Ja, aber heute stehen sie mitten im Fokus. Der Versicherer Hiscox hat kürzlich Zahlen zum Schadensverlauf und den Schadenssummen veröffentlicht. Danach hat sich die Häufigkeit von Cyberangriffen auf die versicherten Unternehmen allein von 2018 auf 2020 fast vervierfacht, die Schadenssummen sind um knapp 260 Prozent gestiegen. Und da sind die Masse der Cyberattacken des vergangenen Jahres noch gar nicht berücksichtigt.
(Lesen Sie hier die große WiWo-Titelgeschichte, wie der gesamte deutsche Mittelstand gerade ins Visier einer boomenden Hackerindustrie gerät.)
Sind die Versicherer überhaupt darauf vorbereitet?
Manche wurden von der Entwicklung genauso überrollt wie die Firmen von den Cyberattacken. Und bei einigen Anbietern liegen die Schadensquoten In den vergangenen zwei Jahren über 100%.
Das bedeutet: Die zahlen mehr aus, als sie an Prämien einnehmen?
Richtig. Und das kann selbstverständlich kein dauerhafter Zustand sein.
Wenn es sich nicht mehr rechnet, könnten dann Unternehmen, die jetzt noch eine Cyberpolice abschließen wollen, gar keine Angebote mehr bekommen?
Nein, das nicht. Aber die Konditionen, zu denen sie sich versichern können, werden deutlich härter. Und das gleich in dreierlei Hinsicht.
Inwiefern?
Zum einen steigen die Prämien deutlich an. Das gilt übrigens für alle Cyberversicherungen, die immer eine Laufzeit von zwölf Monaten haben und dann vielfach zu neuen Konditionen verlängert werden. Dann sinken oftmals die Leistungen. Beispielsweise haben manche Versicherer inzwischen eine Eigenbeteiligung der Versicherten bei Schäden durch Erpressungsangriffe eingeführt. Die kann bis zu 50 Prozent betragen.
Ausschließlich für Ransomware-Attacken?
Genau, so als würden KFZ-Versicherer beispielsweise einen Selbstbehalt der Versicherten von 50 Prozent nur für Verkehrsunfälle auf Autobahnen einführen.
Und das schlucken die Unternehmen?
Unternehmen mit einem guten Risikoprofil können versuchen, den Versicherer zu wechseln. Einigen bleibt jedoch nichts anderes übrig.
Sie sprachen von drei Schrauben, an denen die Versicherer drehen …
Der dritte Punkt sind die Voraussetzungen, unter denen überhaupt versichert wird. So ähnlich wie beispielsweise bei Feuerversicherungen für Unternehmen die Existenz einer Sprinkleranlage vorgeschrieben sein kann, gibt es auch konkrete Vorgaben zur Absicherung der IT in Unternehmen, die von den Versicherern in größerem Umfang eingefordert werden.
Was wird da gefordert?
Beispielsweise, dass die Unternehmen eine Zwei-Faktor-Authentifizierung für den Zugriff auf Server oder E-Mail-Systeme verpflichtend vorschreiben. Oder, dass ein Zugriff von außen auf die IT nur noch über gesicherte und verschlüsselte Verbindungen möglich sein darf, dass Sicherheitsschulungen für die Beschäftigten verpflichtend und dokumentiert sein müssen.
Ist das nicht ohnehin längst selbstverständlich?
In großen Konzernen mit umfangreichen IT-Sicherheitsregularien ist es das auch meist. Aber im Mittelstand sind viele Verantwortliche noch immer davon überzeugt, dass sie zu klein und unbedeutend sind, um ins Visier von Cyberkriminellen zu geraten. Da sind solche Selbstverständlichkeiten vielfach bis heute nicht etabliert. Hier besteht an vielen Stellen Handlungsbedarf.
