Es ist schon fast ein Gemeinplatz: für Verbraucher, Unternehmen und Institutionen lautet die Frage nicht, ob, sondern wann sie Opfer einer Datenschutzverletzung werden. Cyberversicherungen versprechen wenigstens einen Teil des potenziellen Schadens – vor allem den finanzieller Natur – abzufedern.
Es greift allerdings zu kurz, wenn man Cyberversicherungen auf das Abschließen einer Police zum Kompensieren finanzieller Schäden beschränkt. Vielmehr wirkt sie nur verbunden mit der unternehmensweiten Verpflichtung fundamentale Sicherheitspraktiken umzusetzen und ein umfassendes Risikomanagement zu betreiben. Die katastrophalen Angriffe vor allem im vergangenen Jahr haben gezeigt:
Neben den entstandenen finanziellen Schäden hat der Ruf der betroffenen Unternehmen ebenso gelitten wie das Vertrauensverhältnis zu den Kunden.
Beim Thema Cyberversicherungen haben viele Makler große Fragezeichen im Kopf. Etwa in welchen Fällen genau eine Cyberversicherung tatsächlich die Deckung übernimmt. Oder sie kennen lediglich die Angebote einiger weniger Spezialanbieter. Der Markt für Cyberversicherungen ist ein relativ junger Markt in den ständig neue Anbieter und Angebote hineindrängen. Es herrscht dementsprechend viel Bewegung und die Preisdynamik heizt das Segment zusätzlich an. Festhalten lässt sich jedenfalls: Wenn eine Firma erwägt eine derartige Versicherung abzuschließen, ist das der erste Schritt Risiken abzuwehren und IT-Sicherheit als geschäftskritische Komponente zu sehen. Und nicht ausschließlich als Kostenfaktor.
Trotzdem gibt es einige wesentliche Faktoren, die Makler, Versicherungsträger und Regulierer, aber auch potenzielle Kunden gleichermaßen verwirren:
- Cyberbedrohungen entwickeln sich kontinuierlich weiter. Es besteht folglich ein Mangel an versicherungsmathematischen Daten und finanztechnischen Modellierungen, aber auch an einem strukturierten Austausch dieser Daten. Dazu kommt die Frage wie belastbar diese Daten eigentlich sind.
- Es existiert ein fundamentaler Mangel an Expertise im Bereich Cybersicherheit. Und das sogar an entscheidenden Schnittstellen innerhalb des Marktes.
- Widerstreitende regulatorische Bedenken in Bezug auf potenziell missbräuchliche Verkäufe und systemische Risiken als solche, behindern zusätzlich die Weiterentwicklung des Marktes.
- Bisher gibt es zu wenige beispielhafte Gerichtsverfahren um zuverlässige Prognosen zu einem Verfahrensausgang treffen zu können.
Bild: Chancen und Risiken bei Cyberversicherungen (Quelle Globalsign).
Risikoanalyse
Noch ist es ausnehmend schwer Prognosen zu treffen. Trotzdem hält der Markt für Cyberversicherungen beides bereit, Chancen und Risiken. Inzwischen zeichnet sich in der Haltung vieler Firmen zum Thema Cybersecurity so etwas wie eine Trendwende ab. Statt der bisherigen eher reaktiven Herangehensweise, versucht man Sicherheitsrisiken proaktiv zu adressieren. Dazu trägt nicht zuletzt die im Mai 2018 wirksam gewordene EU-Datenschutz-Grundverordnung. Potenziell hohe Strafen, aber auch Befürchtungen hinsichtlich Rufschädigung und eventuell nachfolgender gerichtlicher Auseinandersetzungen haben zu einer deutlich stärkeren Nachfrage als bisher geführt.
Nicht zuletzt, weil IT-Sicherheitsfragen damit endgültig auf der Vorstands- und Geschäftsführungsebene angekommen sind. Diese veränderte Geschäftsstrategie bietet Maklern große Chancen. Noch immer betrachten Firmenlenker Cybersecurity vorwiegend als Teil der IT und weniger aus der Perspektive eines kommerziellen Risikos. Hier besteht ein immenser Beratungsbedarf dazu, wie Firmen langfristig mit bestehenden Risiken umgehen sollten. Gerade weil die Folgen eines Rufschadens oder von Gerichtskosten im Schlepptau einer erfolgreichen Cyberattacke kaum kalkulierbar sind.
Existierende Policen decken überwiegende Mehrzahl der Schäden nicht
Eine von Lloyds veröffentlichte Studie (Zitiert nach Insurance Business 6.Juli 2017) legt zudem nahe, dass der Bedarf an Cyberversicherungen zwar grundsätzlich steigt, dass aber die überwiegende Mehrzahl der Schäden von existierenden Policen nicht gedeckt ist und sich daraus eine Versicherungslücke in Milliardenhöhe allein im Vereinigten Königreich ergibt. Zudem, so die Ergebnisse der Studie, sei die Nachfrage trotz etlicher schwerwiegender Angriffe gegen das Gesundheitswesen, auf Fluglinien und Universitäten nicht signifikant angestiegen.
Das wird sich aber angesichts der steigenden Zahl von Datenschutzverletzungen und durch die Entwicklung der Cyberkriminalität auf absehbare Zeit ändern und der Markt wachsen. Dafür sorgen auch die steigenden Bedenken von Firmen angesichts der DSGVO/GDPR. Viele Unternehmen sind verunsichert angesichts drohender Strafen. Und nicht nur das. Umfragen belegen, dass gerade die deutschen Verbraucher durchaus willens sind ihre Rechte juristisch durchzusetzen, sollten Unternehmen den DSGVO-Vorgaben nicht entsprechen. Die EU-DSGVO honoriert ganz eindeutig die Anstrengungen von Versicherern, die vorausschauend handeln und selbst initiativ werden. Für diejenigen Unternehmen, die willens sind, in Cyberversicherungen zu investieren, aber nicht so recht wissen wo sie beginnen sollen, ist ein Versicherungsmakler potenziell der richtige Ansprechpartner.
Beide, die steigende Zahl von Cyberkriminalität und die Vorgaben der EU-Datenschutz-Grundverordnung, haben Einfluss darauf, wie sich der Markt für Cyberversicherungen entwickeln wird. Das gilt gleichermaßen für die Gestaltung von Policen im Einzelnen. Gerade wegen der steigenden Komplexität sollten Unternehmen sich zunächst auf bekannte Schwachstellen konzentrieren, da diese möglicherweise mit vergleichsweise geringem Aufwand zu beheben sind. Stichwort Automatisierung. In vielen Fällen ist allerdings der Endbenutzer das Einfallstor für einen Angriff. Auch dieses Phänomen wird sich in der Konzeption von Policen wiederfinden.
Im Hinblick auf die DSGVO werden Unternehmen Policen den Vorzug geben, die es erleichtern, Datenschutzverletzungen intern zu veröffentlichen. Und ganz allgemein wird sich der Fokus technologisch auf Lösungen verlagern, die Datenschutzverletzungen frühzeitig erkennen. Bei dem was dazu technologisch vorgeschrieben ist bleibt die DSGVO letzten Endes vage: Sie schreibt vor, dass Unternehmen Maßnahmen zu ergreifen haben, die auf dem aktuellen Stand der Technik sind, und die Maßnahmen im Verhältnis stehen zu den Risiken denen das Unternehmen respektive das Geschäftsmodell ausgesetzt sind.
EU-DSGVO hat das Potenzial, den Markt für Cyberversicherungen gründlich durchzurütteln
Die EU-DSGVO hat also durchaus das Potenzial, den Markt für Cyberversicherungen gründlich durchzurütteln. Und, davon ist definitiv auszugehen, es werden sich parallel dazu neue Potenziale erschließen. Ja, die Datenschutz-Grundverordnung stellt Firmen und Einzelpersonen vor neue Herausforderungen. Aber sie sorgt gerade im Versicherungswesen für mehr Profitabilität und – was man kaum hoch genug bewerten kann – sie wird für mehr Glaubwürdigkeit zwischen Kunden und Versicherern und zwischen Versicherern und ihren eigenen Beschäftigten sorgen.
Im Wesentlichen sind es drei große Bereiche in denen die DSGVO sich direkt auf das Versicherungswesen im Allgemeinen und den Markt für Cyberversicherungen im Besonderen auswirken wird:
- Die Preise – Kunden sind heutzutage noch preisbewusster als noch vor wenigen Jahren. Das gilt auch für die Auswahl von Versicherungen. Nicht selten fällt die Entscheidung für eine bestimmte Police ausschließlich aufgrund der Preise. Diese Entwicklung hat Versicherer gezwungen ihre Modelle sehr viel schneller und flexibler anzupassen als in der Vergangenheit. Einerseits um Bestandskunden zu halten und andererseits um neue Geschäftsfelder zu erschließen. Das hat dazu geführt, dass Versichern und eine präzise Preisfindung mehr denn je von der tiefgehenden Analyse der zur Verfügung stehenden Daten abhängig sind.
- Digitalisierung und Kundenerlebnis – Die Digitalisierung hat auch die Versicherungsbranche tiefgreifend verändert. Das Kundenerlebnis tritt in einer Branche, die früher praktisch ausschließlich auf ihre Produkte fokussiert war, mehr und mehr in den Vordergrund. Im Mittelpunkt stehen Kunde und Kundenbindung und nicht das Produkt als solches. In einem stark wettbewerbsorientierten Markt, kommt es darauf an möglichst interaktiv mit seinen Kunden zu kommunizieren. Nur wenn Versicherer nah an ihren Kunden sind, lässt sich eine Next-Best-Action-Strategie überhaupt umsetzen. Das gilt für Akquise und Neukundengeschäft ebenso wie für die Loyalität zu bestehenden Kunden. Dazu müssen Versicherer auf präzise, aktuelle und kontextuelle Daten ihrer Versicherungsnehmer zurückgreifen können.
- Betrug – Versicherungsbetrug betrifft jede Versicherung. Generell lässt sich dabei eine steigende Tendenz beobachten, insbesondere bei intelligenten und ausgefeilten Betrugsfällen. Der Kampf gegen Versicherungsbetrug wird traditionell an mehreren Fronten gleichzeitig geführt. Versicherer müssen sich daran gewöhnen, verstärkt Technologien, einschließlich Big Data, einzusetzen, um mit opportunistischem wie organisiertem Versicherungsbetrug Einhalt zu gebieten. Und zwar in allen Geschäftsbereichen. Das kann sich allerdings negativ auf die Preisfindung auswirken. Und das wiederum weckt beim Endkunden nicht selten den Verdacht hier wolle sich der Versicherer auf Kosten des Versicherungsnehmers bereichern.
Das Transparenzgebot der DSGVO zwingt die Industrie dazu, offener mit ihren Kunden zu kommunizieren, schon als vertrauensbildende Maßnahme. Kunden müssen wissen wie und warum ihre Daten weiterverarbeitet werden. Das kann im Umkehrschluss durchaus dazu führen, dass eventuell verloren gegangenes Vertrauen in die Branche wieder zurückgewonnen wird. Und über das schon fast traditionelle Misstrauen gegenüber Versicherern und ihren Methoden siegt.
Im zweiten Teil des Beitrags beschäftigt sich Dawn Illing von GlobalSign mit Fragen rund um das was im Hinblick auf die DSGVO versicherbar sein kann.
Dawn Illing, GlobalSign