Laut des Bundesamts für Sicherheit in der Informationstechnik bleibt die Cybersicherheitslage in Deutschland angespannt. Durch Datendiebstahl, Spionage und Sabotage entstehen der Wirtschaft hierzulande jährlich Schäden von über 200 Milliarden Euro, so der Branchenverband Bitkom.
Zweite Untersuchung des Cybermarktes als Vollabfrage
In der Folge wächst der Markt für Cyberversicherungen weiter rasant. Das zumindest hat die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) anhand einer Befragung von 200 Versicherungsunternehmen festgestellt, die potenziell Cyberversicherungen anbieten. Darunter sind 178 Erstversicherer, zwölf Niederlassungen und zehn Rückversicherer. In der ersten Auflage der Untersuchung 2021 lag die Zahl bei gerade einmal 60. In der Folge sei die Datenqualität jetzt auch deutlich besser.
Ziel der Untersuchung ist laut der Behörde, einen aussagekräftigen Überblick zur Lage des gesamten Markts zu bekommen. Was diesen für die Aufsicht nach eigener Aussage besonders related macht, sind die für den Markt typischen hohen Kumulrisiken. Das bedeutet: Ein einzelnes Cyberereignis kann weltweit eine große Zahl von Einzelschäden hervorrufen. Die Ergebnisse der Befragung wurden nun im „BaFin Journal“ vorgestellt.
Geschäft hat sich mehr als verdoppelt
So hat sich das Geschäft mit reinen Cyberpolicen (Stand-Alone) im selbst abgeschlossenen Geschäft von Erstversicherern von 2020 bis 2022 über alle Regionen und Kundengruppen mehr als verdoppelt. Im Jahr 2022 betrug es auf Foundation der gebuchten Bruttobeiträge circa 700 Millionen Euro, gegenüber 2020 ein Anstieg um 144 Prozent. Ähnliches gilt für das in Rückdeckung übernommene Stand-Alone-Geschäft. Es wuchs auf circa 1,57 Milliarden Euro, ein Anstieg um 138 Prozent gegenüber dem Vergleichsjahr. Auf Beitragsebene hat die Cyberversicherung damit in beiden Fällen kleinere berichtspflichtigen Versicherungszweige überholt.
Die Beitragseinnahmen der befragten Unternehmen sind laut Bafin größtenteils überproportional stark gewachsen, wenn man sie mit den Vertragszahlen vergleicht. Das deutet auf Prämienanpassungen hin, insbesondere zwischen 2021 und 2022. Die Finanzaufsicht geht davon aus, dass die gebuchten Bruttobeiträge im selbst abgeschlossenen Geschäft bald die Schwelle von einer Milliarde Euro überschreiten, im übernommenen Geschäft die Zwei-Milliarden-Euro-Marke.
Die Umfrage zeigte zudem: Versicherer haben nur in sehr seltenen Fällen Lösegeld gezahlt, wenn Kunden von Ransomware-Attacken betroffen waren. Im Zeitraum zwischen 2020 und 2022 haben Versicherer in Deutschland Summen im niedrigen zweistelligen Millionen-Euro-Bereich ausgezahlt.
Marktkonzentration leicht gesunken
Im Vergleich zur Untersuchung aus dem Jahr 2021 ist die Marktkonzentration leicht gesunken. Die High-10-Anbieter beim selbst abgeschlossenen Stand-Alone-Geschäft in Deutschland hatten 2022 einen an den gebuchten Bruttobeiträgen gemessenen Marktanteil von 75 Prozent. 2020 lag der noch bei 86 Prozent. Die Bandbreite der Schadenquote brutto, die das Verhältnis der Versicherungsleistungen zu den eingezahlten Prämien beschreibt, ist auffällig groß. Sie lag bei den High-10-Unternehmen im Jahr 2022 zwischen 20,1 Prozent und 112,8 Prozent.
Industriekunden verzeichnen weiterhin höchsten Marktanteil
Hauptkunden im Cyberversicherungsgeschäft sind laut der Bafin Industrieunternehmen, ihr Anteil beträgt über alle Betrachtungscluster hinweg stets intestine 80 Prozent auf Foundation der Beitragseinnahmen. Kleine und mittelständische Unternehmen (KMU) machen zwischen 15 Prozent und 20 Prozent der Kunden aus, Privatkunden in der Regel nur circa ein Prozent. Tendenziell sind auch weltweit Wachstumsentwicklung und Marktverteilung ähnlich.
Weltweit hohe Wachstumsraten
Im selbst abgeschlossenen Stand-Alone-Geschäft lag die Wachstumsrate der gebuchten Bruttobeitragseinnahmen über allen geografischen Regionen 2021 und 2022 bei jeweils über 50 Prozent. Besonders ausgeprägt ist sie im außereuropäischen Geschäft mit circa 118 Prozent im Jahr 2021 und circa 68 Prozent im Jahr 2022. Sowohl in Europa (ohne Deutschland) als auch weltweit ist der Marktanteil des Kundensegmentes Industrie von noch größerer Bedeutung, während in Deutschland KMU-Kunden einen etwas höheren Marktanteil im Stand-Alone-Geschäft besitzen.
Das selbst abgeschlossene Geschäft mit traditionellen Policen, bei denen sich die Deckung auch auf Cyberrisiken erstreckt (Endorsement), blieb seit der Erhebung 2021 konstant. Die Ergebnisse der jüngsten Untersuchung zeigen laut der Bafin, dass es derzeit nur in Deutschland wesentliche Beiträge erzielt. Die gebuchten Bruttobeitragseinnahmen liegen hier bei circa 61 Millionen Euro. Privatkunden kommen – im Vergleich zum Stand-Alone-Geschäft – auf einen deutlich höheren Marktanteil von circa 10 Prozent.
Cyberversicherungsgeschäft oft nicht auskömmlich
Aufgrund vermehrter Cyberattacken fielen 2021 in Deutschland hohe Schadenaufwendungen an. Sie spiegeln sich in der Schaden-Kosten-Quote brutto von über 100 Prozent deutlich wider, so die Aufsichtsbehörde. Ein solcher Wert bedeutet, dass Schadenaufwendungen plus Betriebskosten die Prämieneinnahmen übersteigen. Im Jahr 2022 sank die Schaden-Kosten-Quote brutto etwas, gleichzeitig stieg jedoch die Quote netto deutlich. Diese berücksichtigt auch die Rückversicherung. Der Selbstbehalt der Erstversicherer sank im Beobachtungszeitraum weiter und lag im Jahr 2022 bei 26,5 Prozent.
Wegen besserer Schadenverläufe im selbst abgeschlossenen Geschäft außerhalb Deutschlands sank die Brutto-Mixed-Ratio im Betrachtungszeitraum stetig. Im Vergleich zum Deutschlandgeschäft verringerte sich der Selbstbehalt hier hingegen nur leicht. Die Schaden-Kosten-Quoten des in Rückdeckung übernommenen Geschäfts liegen quick ausschließlich über 100 Prozent. Der Selbsthalt stieg im Beobachtungszeitraum leicht an.
Umsichtige Tarifierung und angemessener Rückversicherungsschutz
Laut der Bafin-Experten können die Anbieter für Cyberversicherungen bisher noch nicht vollständig auf aussagekräftige Schadendaten zurückgreifen. Die potenziellen Schadenszenarien könnten zudem sehr dynamisch sein, beispielsweise wegen hoher Kumulrisiken. Die Bafin erwartet von den Versicherern eine umsichtige Zeichnungspolitik, eine Tarifierung, die der hohen Unsicherheit Rechnung trägt, und einen angemessenen Rückversicherungsschutz. Für eine angemessene Tarifierung der Produkte hält die Finanzaufsicht eine Aufteilung nach den Deckungsbausteinen Eigenschäden, Drittschäden und Kosten/Service für erforderlich, heißt es in dem Beitrag.
Cyberversicherung künftig als separate Sparte
Zur Wahrung einer effektiven Aufsicht sei es für die Bafin unerlässlich, einheitliche Daten zum stark wachsenden Markt für Cyberversicherungen zu erheben. Sie plant nach eigenen Angaben daher, in der Versicherungs-Berichterstattungsverordnung den neuen „Versicherungszweig 26 Cyberversicherung“ einzuführen. Dieser umfasst das selbst abgeschlossene Geschäft und das in Rückdeckung übernommene Geschäft bei Erst- und Rückversicherungsunternehmen im nationalen Berichtswesen. Auf europäischer Ebene erfolgt parallel die Einführung eines „Cybertemplates“ mit der Jahresmeldung zum Geschäftsjahr 2023. Die erstmalige Nutzung des neuen Templates stehe somit für April 2024 an.