Ein Risiko kommt selten allein: Auch Cyberrisiken sind heute zunehmend miteinander verzahnt und stellen nicht nur eine Gefahr für Unternehmen, sondern auch für deren gesamte Wertschöpfungskette dar. Doch auch im Bereich Cybersicherheit gibt es erhebliche Fortschritte. So können Folgen von Hackerangriffen inzwischen intelligent vorausgesagt und zielgerichtet versichert werden. Dabei lässt sich die Cyberversicherung passgenau ausgestalten, sodass Policen mit Versicherungssummenhöhen auf Basis bloßer Schätzungen oder nach dem zur Verfügung stehenden Budget der Vergangenheit angehören sollten. Im Interview sprechen die SÜDVERS-Cyberexperten Bernd Eriksen (Leiter Professional Lines) und Dirk Wenning (Cyber Risk Consultant) über vielversprechende Entwicklungen und neue Möglichkeiten.
Laut Risikobarometer 2025 der Allianz haben sich Cyberattacken in den vergangenen Jahren zum größten Geschäftsrisiko für Unternehmen entwickelt. Wie beurteilen Sie dieses Ergebnis aus eigener Erfahrung?
Dirk Wenning: Tatsächlich besteht in den meisten Unternehmen trotz massiver Verbesserungen der IT-Sicherheit weiterhin ein erhebliches Risiko, Ziel von Hackerattacken zu werden. Ein Grund dafür ist, dass die Angreifer immer professioneller agieren und sich auch die Möglichkeiten von Künstlicher Intelligenz zu Nutzen machen können.
Mit welchen Herausforderungen sehen sich Unternehmen bezüglich einer Cyberversicherung konfrontiert?
Bernd Eriksen: In den letzten zehn Jahren haben immer mehr Unternehmen eine Cyberversicherung abgeschlossen, um das stetig wachsende Cyberrisiko zügig abzusichern. Allerdings wurde der Versicherungsschutz nicht selten wegen des Zeit- oder Kostendrucks lediglich im Umfang des in dem betreffenden Jahr noch zur Verfügung stehenden Kostenbudgets eingekauft.
Ein erhöhtes Schadenaufkommen führte dann seit 2020 dazu, dass Versicherer zusätzliche Sicherheitsanforderungen als Voraussetzung für den Versicherungsschutz einführten. Gleichzeitig reduzierten sie vielfach die Versicherungssummen, führten deckungsschädliche Sublimits ein und hoben die Prämien massiv an. Die Restriktionen wurden in den vergangenen Jahren zwar teilweise wieder zurückgeschraubt; um Cyberversicherungsschutz zu bekommen bzw. die bestehende Deckung zu erhalten, müssen Unternehmen jedoch weiterhin zum Teil erhebliche Investitionen für die von den Versicherern geforderten Sicherheitsmaßnahmen erbringen.
Was ist aus Ihrer Sicht im Cybermarkt in der Vergangenheit schiefgelaufen?
Bernd Eriksen: Leider stand das eigentliche Risiko lange nicht im Fokus. Die Entwicklung der vorangegangenen Jahre hatte zur Folge, dass im Cybermarkt zusehends die Belange der Cyberpolicen und die Befindlichkeiten der Versicherer in den Vordergrund gerückt sind, wohingegen das eigentlich abzusichernde Risiko der Unternehmen deutlich weniger Beachtung fand. Dadurch ist aus dem Blick geraten, dass die Versicherungssummen in vielen Policen – meist aus den genannten Budgetgründen – von Vertragsbeginn an zu niedrig bemessen waren. Auch decken einige Policen inhaltlich das tatsächliche Risiko des Unternehmens noch nicht passgenau ab, um wirksam eine Absicherung auch bei tage- oder gar wochenlangem Betriebsstillstand zu bieten, weil die umfangreiche Bedingungsentwicklung der letzten Jahre mit neuen Deckungsdetails nicht berücksichtigt wurde. Bei SÜDVERS waren wir uns all dieser Problemstellungen bewusst. Daher ist es uns gelungen, trotz der vielfältigen Turbulenzen im Markt unsere Kunden weiterhin risikofokussiert zu beraten und die Reichweite der von uns betreuten Policen stets nach den sich bietenden Möglichkeiten an die Bedürfnisse unserer Kunden anzupassen.
Wie können Unternehmen sich und ihren Fortbestand gegen Cyberangriffe umfassend absichern?
Dirk Wenning: Um Unternehmen für den Ernstfall umfassend absichern zu können, ist es unverzichtbar, das drohende Schadenszenario vorab individuell und realistisch zu quantifizieren. In den vergangenen Jahren wurden hierzu vielfältige Instrumente entwickelt, die den potenziellen Schaden aus Cyberangriffen für Unternehmen spezifisch kalkulierbar machen. Wir bei SÜDVERS können Unternehmen hier eine wertvolle Hilfe sein, da wir Zugang zu validen Berechnungsmethoden haben.
Wie sehen solche Berechnungsmethoden aus?
Dirk Wenning: Heute gibt es diverse Rechentools, die gespeist durch die Vielzahl von Schadenfällen der vergangenen Jahre belastbare Werte vor allem für den zu erwartenden Ertragsausfallsschaden des jeweiligen Unternehmens bieten können. Zusätzlich lässt sich auch das Kostenrisiko infolge eines Datenschutzvorfalls, der häufig eine Begleiterscheinung eines Cyberangriffs darstellt, näherungsweise bemessen. Aus diesen beiden Schadenkomplexen können im nächsten Schritt die daneben anfallenden Wiederherstellungskosten hergeleitet werden, sodass sich daraufhin recht spezifisch berechnen lässt, von was für einem Kostenvolumen das Unternehmen im Angriffsfall mindestens ausgehen sollte. Im Umkehrschluss ergibt sich hieraus eine belastbare Bemessungsgrundlage für die im Rahmen der Cyberversicherung benötigte Mindestdeckungssumme.
Welche Möglichkeiten bieten die modernen Berechnungsmethoden im Markt der Cyberversicherung?
Bernd Eriksen: Sie ermöglichen die Nutzung völlig neuer Formen der Versicherung. Der Zuschnitt der benötigten Versicherungsleistung kann beispielsweise im nächsten Schritt noch passgenauer erfolgen, etwa mittels der neuartigen parametrischen Cyberversicherung, die noch nicht jedem bekannt ist: Sie bietet eine gezielte Absicherung für die Folgen von Hackerattacken, und zwar mittels einer zuvor berechneten Versicherungsleistung.
Das klingt interessant. Wie funktioniert die parametrische Cyberversicherung?
Bernd Eriksen: Bei der parametrischen Cyberversicherung wird die benötigte Versicherungsleistung pro Tag für die Zeit der Betriebsunterbrechung im Umfang des zu erwartenden Ertragsausfalls und der Wiederherstellungskosten vorab berechnet und mit dem Versicherer vereinbart. Sobald das auslösende Ereignis eintritt, erfolgt nach einem zeitlichen Selbstbehalt kurzfristig die Auszahlung der zuvor festgelegten Summe, solange die Betriebsunterbrechung andauert – und zwar unabhängig vom tatsächlich entstandenen Schaden. Auf diese Weise erspart sich das Unternehmen unter anderem die manchmal mühsamen Verhandlungen mit dem Versicherer über die Höhe des zu regulierenden Betriebsunterbrechungsschadens.
Dirk Wenning: Aktuell stellt das Eindringen eines Angreifers jedoch (noch) das einzige im Rahmen der parametrischen Versicherung versicherbare Risiko dar, wobei es sich hierbei um das für Unternehmen mit Abstand bedrohlichste Schadensszenario handelt. Die parametrische Versicherung kann als alleinstehende Versicherungslösung oder als Differenzdeckung neben einer klassischen Cyberversicherung mit den bekannten Dienstleistungselementen gewählt werden, um deren Leistung zu ergänzen.
Wo liegen die Vorteile für Unternehmen?
Bernd Eriksen: Das Besondere an der parametrischen Versicherung ist zum Beispiel, dass gezielt für unterschiedlich sensible Unternehmensteile differenzierte Tagessätze als Versicherungsleistung festgelegt werden können. Dort, wo ein besonders hoher Ausfallsschaden zu erwarten ist, wird der Tagessatz für die Erstattung entsprechend hoch angesetzt, ansonsten individuell niedriger. Dieselbe Flexibilität besteht auch in zeitlicher Hinsicht: Besonders umsatzstarke Zeitabschnitte im Jahr, wie etwa das Weihnachtsgeschäft, können mit angepassten erhöhten Schadenleistungen pro Tag ausgestattet werden, um das bestehende Risiko versicherungstechnisch angemessen zu spiegeln.
Das hilft insbesondere auch Unternehmen, die aktuell keinen Gewinn erzielen und daher Schwierigkeiten haben, den Ausfallschaden zu beziffern, um im Schadenfall gleichwohl kurzfristig an die vordefinierte Absicherung zu gelangen.
Welchen weiteren Mehrwert bietet die parametrische Cyberversicherung im Vergleich mit herkömmlichen Lösungen?
Dirk Wenning: Parametrische Cyberversicherungen bieten zusätzlich die Möglichkeit, auch solche Schadenpositionen, für die klassische Cyberpolicen keinen Versicherungsschutz bieten, in die Absicherung einzubeziehen. Dies betrifft z. B. Kosten des betroffenen Unternehmens, die sich aus Abnahmeverpflichtungen für Waren wie Lebensmittel ergeben, die in Anbetracht des Cyberangriffs nicht rechtzeitig verarbeitet werden können. Auf diese Weise kann die Absicherung des Unternehmens maximal individualisiert werden.
In unserer aktuellen Webinar-Reihe lernen Sie alles rund um Cyberrisiken und wie Sie diesen vorbeugen können. Hier diskutieren jeweils zwei Experten im Live-Gespräch spannende Cyberthemen. Am Ende jeder Veranstaltung beantworten unsere Cyberexperten zudem gerne Ihre individuellen Fragen. Melden Sie hier kostenlos an.