Nun versuchen die Versicherer einerseits ihren Kunden separate Deckungen schmackhaft zu machen, andererseits haben zumindest einige ihre Intention bekräftigt, bestehende Verträge auf eben solche „non-affirmative“ Cyber-Risiken zu überprüfen und den Kunden danach mitzuteilen, ob diese weiterhin so bestehen können oder nicht.
Dieses Vorgehen erinnert sehr stark an das doch umstrittene zu den Themen Umwelt- bzw. Terrorversicherungen in der Vergangenheit, wobei natürlich auch klar wird, dass die jetzt noch verfügbaren Haftungssummen für stand-alone Cyber-Deckungen in vielen Fällen nicht ausreichen, derzeit bestehende integrierte Deckungen komplett abzulösen.
Daher plädiert der GVNW für eine offene, transparente Vorgehensweise und ein gemeinsames Vorgehen zusammen mit der versicherungsnehmenden Wirtschaft, um eine für alle Marktteilnehmer tragfähige Lösung zu finden.
Reiner Siebert,
Geschäftsführer,
Gesamtverband der
versicherungsnehmenden Wirtschaft e.V.
Die Versicherung von Cyberrisiken –
Zeit für einen marktweiten Dialog!
Längere Zeit wurde die separate Versicherung von Cyberrisiken von Versicherern und Maklern als eine neue, zusätzliche Einnahmen versprechende Versicherungssparte gesehen und auch entsprechend beworben. Über einen längeren Zeitraum stiegen die für Cyberversicherungen angebotenen Kapazitäten kontinuierlich an, während die hierfür kalkulierten Preise, von vornherein schon attraktiv, sich immer weiter reduzierten.
Diese Situation scheint sich zu ändern. Es lässt sich feststellen, dass die Angebotslage im „neuen“ Markt Cyberversicherung aus Sicht der versicherungsnehmenden Wirtschaft unter Druck gekommen ist. Ohnehin schon beschränkte Kapazitäten werden derzeit von den Anbietern reduziert, und das hierfür kalkulierte Prämienniveau steigt. Darüber hinaus wird in diesem Umfeld von den anbietenden Versicherern zurzeit ein Thema adressiert, nämlich „silent cyber“, das den Umfang und die Qualität sowie das Gesamtpreisgefüge der angebotenen Versicherungslösungen für Cyberrisiken nachhaltig beeinflussen kann.
Was ist „silent cyber“?
Erst- und Rückversicherer sehen sich derzeit nämlich einer aus ihrer Sicht offenbar neuen Herausforderung ausgesetzt. Der Präsident der deutschen Versicherungsaufsicht BaFin, Dr. Frank Grund, hat anlässlich der BaFin-Jahreskonferenz in seiner Rede am 13.11.2018 in Bezug auf die Versicherung von Cybergefahren Folgendes ausgeführt: „Gefahren gehen nicht nur von Hackern aus, die Daten stehlen und Institutionen lahmlegen können. Gefahren schlummern möglicherweise auch im eigenen Versicherungsbestand – und zwar auf der Deckungsseite. Risiken aus Verträgen, in denen eine Deckung von Cyber-Risiken nicht explizit ein- oder ausgeschlossen wird, nennt man non-affirmative Cyber-Risiken. Im Jahr 2019 wollen wir die Branche hierfür besonders sensibilisieren.“ Die Ernsthaftigkeit dieser Ansage erkennt man auch daran, dass als einer der Schwerpunkte der Versicherungsaufsicht für 2019 festgelegt wurde: „Prüfung von ‘versteckten‘ (sog. non-affirmative) Cyber Risiken in Versicherungspolicen.“
Unter „non-affirmative (oder auch silent) Cyber Deckungen“ verstehen Versicherer die nicht intendierte und vor allem auch nicht in der Prämie kalkulierte Mitversicherung von Cyberrisiken in einer oder in mehreren der traditionellen Versicherungssparten, also außerhalb einer eigenständigen Cyberversicherung. Oder wie es ein Experte eines großen deutschen Rückversicherers ausdrückt, verbergen sich hinter diesem Begriff solche Risiken aus der Cyber-Exponierung von Unternehmen, die vom Erstversicherer „entweder noch gar nicht erfasst oder aber nicht ausreichend eingeschätzt wurden. Es geht dabei um eine Vielzahl von konventionellen Policen, in denen Cyberrisiken beispielsweise nicht erwähnt oder nicht explizit ein- oder ausgeschlossen sind und somit auch zu einer Exponierung in Sach- und Haftpflichtportfolios führen können [1]. Sind in einem Schadenfall mehrere Deckungen eintrittspflichtig oder sind von einem Schadenereignis über eine Lieferkette hinweg eine Vielzahl unterschiedlicher Unternehmen betroffen, können sich die eintrittspflichtigen Versicherer Kumulrisiken in bedeutendem Ausmaß ausgesetzt sehen.
Wie ist die Sicht der Versicherer?
Interessant ist, dass die Ratingagenturen sich schon länger mit diesem Thema zu beschäftigen scheinen, verlangen sie doch von Versicherern „proaktiv und verbindlich in ihrer eigenen Analyse und Bewertung der Exponierung und Kumulierung ihres Cyber Haftungspotenzials [2] zu sein. Insofern können hierdurch auch das Rating eines Versicherers und damit verbunden seine Bonität, Reputation und daraus folgend Handlungsfähigkeit am Finanzmarkt beeinflusst werden. Somit kann das Thema „non affirmative“-Cyberrisiken Auswirkungen haben, die über die reine versicherungstechnische Bedeutung hinausgehen.
Das Verständnis dieser vielleicht gar nicht so überraschenden Risikolage scheint sich bei den Erstversicherern derzeit zu verdichten, zumal bei unseren Mitgliedern neuerdings Mitteilungen von Erstversicherern eingehen, mit dem Hinweis, dass bestehende Versicherungsverträge auf eben solche „non-affirmative Cyber Risiken“ überprüft werden sollen. Nach einer solchen Prüfung und für den Fall, dass aus Sicht der Versicherer „versteckte“, also bislang nicht bekannte und mitkalkulierte Risiken offenbar werden, werde man dem versicherungsnehmenden Kunden dann mitteilen, ob die betroffenen Risiken in Zukunft von ihren bestehenden Verträgen (weiter)gedeckt werden sollen oder nicht. Wobei das „oder nicht“ nur bedeuten kann, dass in die bestehenden Deckungen dann ein Ausschluss für Cyberrisiken formuliert werden müsste. Interessant ist dabei, so wurde auf der Podiumsdiskussion zum Thema „Trifft Industrie 4.0 auf Versicherung 2.0?“ bei der GVNW-Veranstaltung Cyber und Financial Lines am 27. März in Köln klar, dass die Versicherer es besonders herausstellen, wenn Sie bei Policen, in denen kein Ausschluss für Cyberrisiken geregelt ist, eine Deckung positiv bestätigen („affirmative“-Cyber-Deckung) und dafür keine Zusatzprämie verlangen. Dabei ist durchaus die Frage erlaubt, warum bei Bestätigung einer bestehenden Deckung überhaupt an eine zusätzliche Prämie gedacht werden kann.
Weiter wird argumentiert, dass für den Fall des ganzen oder teilweisen Ausschlusses von Cyberrisiken aus den bestehenden Deckungen über den Abschluss zusätzlicher, also „stand-alone“-Cyberversicherungen gesprochen werden könne. Denn diese Deckungen seien ihrer Versicherungsabsicht nach häufig besser dazu geeignet, das Risiko Cyber abzudecken, als z.B. Haftpflicht-, Sach-/BU- oder Transportversicherungen traditionellen Zuschnitts.
Wie ist die Sicht der versicherungsnehmenden Wirtschaft?
Dies erinnert aus versicherungsnehmender Sicht an die Diskussion über die Versicherung von Umweltrisiken nach Einführung des Umwelthaftpflichtgesetztes 1991. Damals wurden die Umwelthaftpflichtversicherungsrisiken in der herkömmlichen Haftpflichtversicherung weitestgehend ausgeschlossen und in eine neue Versicherungsdeckung, die Umwelthaftpflichtversicherung, verwiesen. Im Ergebnis führte dies bei vielen versicherungsnehmenden Unternehmen zu Prämienmehraufwendungen, denn mit den Prämien für die neuen Deckungen gingen zumeist keine Reduzierungen in der traditionellen Haftpflichtversicherung einher. Ein solche „versteckte“ Prämienerhöhung gilt es aus Sicht unserer Mitglieder ebenso zu verhindern, wie ein mit dem Verhalten der Versicherer im Umgang mit dem Terrorrisiko nach dem 9. September 2001 vergleichbares Vorgehen, als die Terrorgefahren breit ausgeschlossen und zunächst nur eingeschränkt separater Terrorversicherungsschutz, natürlich gegen Neuprämie, angeboten wurde.
Natürlich ist vor dem Hintergrund der dargestellten Interessen und der Zwangslage, in der sich viele Erstversicherer mit ihren (bekannten oder auch nicht bekannten) Cyberversicherungsbeständen inzwischen befinden, nachvollziehbar, dass die Betroffenen die von ihnen versicherten Cyberrisiken verstehen und mit Blick auf die von ihnen angebotenen Versicherungsdeckungen wissen wollen, wo und in welchem Umfang sie Versicherungsschutz zur Verfügung stellen. Dies muss so sein und liegt ausdrücklich auch im Interesse der Versicherungsnehmer, nicht zuletzt, weil nur so sichergestellt werden kann, dass im Schadenfall keine Diskussion über die Intention des vereinbarten Versicherungsschutzes entbrennt. Und aus versicherungsnehmender Sicht ist die Durchführung eines „technischen Underwritings“ unter Berücksichtigung allfälliger Kumule immer begrüßenswert.
Gleichwohl muss aus unserer Sicht jeder Ansatz in Frage gestellt werden, der zur Folge hat, dass aus einem Problem der Versicherer, ein (ausschließliches) Problem der versicherungsnehmenden Wirtschaft gemacht wird. Insbesondere werden wir im Interesse unserer Mitglieder jedem pauschalen Ansatz eines Re-Underwritings und Ausschlusses von Cyberrisiken in (Allgefahren-) Deckungen deutlich entgegentreten, die ein solches, neu entstehendes Risiko eben gerade mitversichern sollen. Und ebenfalls werden wir nicht akzeptieren, dass eine Erhöhung von nicht auskömmlich gehaltenen Cyberversicherungsprämien durch die Hintertür einer Diskussion über „non affirmative“-Cyber stattfindet. Es kann schließlich nicht sein, daß Versicherer über pauschales Ausschließen vorhandenen Versicherungsschutzes und den „Vertrieb“ separater Cyberversicherungen gegen erhebliche zusätzliche Prämien versuchen, ihres Kumulproblems und dessen Folgen Herr zu werden. Im Übrigen sähen sich die Versicherer dem Risiko eines drastischen Vertrauensverlustes seitens ihrer Kunden ausgesetzt, und zwar potenziell die gesamte Industrieversicherungslandschaft und damit wird dieses Thema viel weiterreichend, als „non affirmative“-Cyber eigentlich reichen sollte. Auch mit Blick hierauf ist aus unserer Sicht Vorsicht und maßvolles Verhalten seitens der Versicherer angebracht.
Vor diesem Hintergrund appelliert der GVNW an die Versicherer, das Thema „non affirmative“-Cyber mit offenem Visier und transparent zu adressieren und gemeinsam mit uns Möglichkeiten zu erörtern, die bestehenden, teils miteinander kollidierenden Interessenlagen zu diskutieren und für alle Marktparteien tragfähige Lösungen zu erarbeiten. Aus Sicht des GVNW ist eines klar: Die bisher angebotenen „stand-alone“-Cyberversicherungen bieten in den meisten Fällen keinen adäquaten Ersatz für die in den vielen der traditionellen Industrieversicherungspolicen bereits enthaltenen Deckungen von Cyberrisiken. Denn einfach Deckungsbausteine zu entfernen und zusätzliche Versicherungslösungen zu verkaufen ist keine Lösung und läuft das Risiko, dass der in der versicherungsnehmenden Wirtschaft empfundene Wertbeitrag von Industrieversicherung an Relevanz einbüßen könnte.
[1] Siehe Stefan Golling, „Wie versicherbar sind Cyberrisiken?“ vom 24.7.2018
[2] siehe www.capsicumre.com/addressing-non-affirmative-Cyber