Datendiebstahl, Sabotage oder Industriespionage – die Bedrohung aus dem Internet nimmt zu: Jedes zweite Unternehmen in Deutschland war zwischen 2015 und 2017 schon einmal Opfer eines Cyber-Angriffs. Das ermittelte eine gemeinsame Studie des Branchenverbands Bitkom und des Bundesamts für Verfassungsschutz. Systemausfälle und Betriebsunterbrechungen, Schadenersatzansprüche von Kunden und Kosten für Spezialanwälte können eine solche Attacke richtig teuer werden lassen.

Cyber-Versicherungen haben somit im gewerblichen Bereich großes Potenzial, doch noch ist der Markt für Policen überschaubar und das Prämienvolumen gering: Erst ein Drittel der deutschen Unternehmen hat überhaupt eine Versicherung gegen Cyber-Attacken abgeschlossen. Gerade kleine und mittlere Unternehmen (KMU) verlassen sich allzu oft auf ihren technischen Basisschutz und hoffen, mit Back-ups, Virenscannern und Firewalls schon auf der sicheren Seite zu sein.

Risikoeinschätzung mit Hürden

Ein Grund für die Zurückhaltung im Geschäft mit Cyber-Policen ist die für die Versicherungen anspruchsvolle und von Kunden oft als intransparent empfundene Risikoeinschätzung. Für Versicherer ist es sehr aufwendig, das Schadenrisiko objektiv zu beurteilen. Es gibt bislang nur wenig verlässliche Schadendaten als Kalkulationsgrundlage für Aktuare. Zugleich muss die Police individuell auf die Bedürfnisse und die Situation des jeweiligen Unternehmens angepasst sein. Alles zusammen treibt die Kosten für eine Risikoeinschätzung nach oben.

Derzeit nutzen Versicherer – gerade für die Risikoanalyse von KMU – umfangreiche Fragebögen. Diese können jedoch nur eine Basiseinschätzung liefern, da sie vor allem die Selbstwahrnehmung des Unternehmens wiedergeben und zudem fehleranfällig sind: Unvollständige oder unklare Angaben der Kunden, Verständnisprobleme und Rückfragen erhöhen Kosten, Dauer und Aufwand. Oft werden die Fragebögen kombiniert mit Risikodialogen, um den Stand der IT-Sicherheit im Unternehmen bewerten zu können.

IT-Audits oft zu zeit- und kostenintensiv

Viele Versicherer führen zudem Risikodialoge mit potenziellen Kunden, um so die notwendigen Informationen zur Bedeutung von IT-Anwendungen und über den Status der IT-Sicherheit im Unternehmen zu erhalten.

Ein weiteres Instrument sind IT-Audits. Diese bieten den Versicherungen zwar viel Risikotransparenz, sind jedoch zeit-, personal- und kostenintensiv. Für kleine Betriebe und Mittelständler mit Jahresumsätzen unter 10 Millionen Euro ist ein solches Verfahren schlicht nicht rentabel.

Digitalisierung als des Problems Lösung

Fragebogen, Dialog, Audit – die bisherigen Prozedere sind für KMU oft unzureichend: Gerade mittelständische Unternehmen sind mitunter zu groß, als dass ein simpler Fragebogen zur Risikoanalyse genügen könnte – aber wiederum nicht groß genug für ein ausführliches Audit. Versicherer brauchen somit eine effektive Möglichkeit, um IT-Risiken eines Unternehmens zeitnah und präzise bewerten zu können.

Einen möglichen Ausweg bietet die Digitalisierung. Sie macht ein vollautomatisiertes Echtzeit-Rating möglich, mit dem Versicherungen Cyber-Risiken von KMU schnell und zuverlässig einschätzen können – ohne dabei den Vertriebs- oder Antragsprozess in die Länge zu ziehen.