Cybervorfälle gelten im zweiten Jahr in Folge neben Betriebsunterbrechungen als das grösste Geschäftsrisiko für Unternehmen weltweit, gemäss dem Allianz Risk Barometer 2023. Dieser Furcht zum Trotz investieren viele Unternehmen noch immer nicht genug in die IT-Sicherheit. Ohne eine IT-Sicherheits-Infrastruktur, die die Netzwerke vor Hackerangriffen schützt, winken aber auch die Versicherer ab. «Die Cyberversicherung ist kein Ersatz für den Aufbau einer IT-Sicherheit, sie ist da, um das Restrisiko und einen potenziell hohen Schaden abzudecken», erklärt Carlos Casián, Unternehmensberater Cyber Risk der Allianz Suisse. Die Anforderungen, die ein Versicherer dafür an den Versicherungsnehmer stellt, seien machbar und umsetzbar und liessen zudem erkennen, dass das Thema im Unternehmen ernst genommen werde, so Casián.
Denn für die Versicherer sind die Risiken im Zusammenhang mit Cyberkriminalität schwer bis kaum kalkulierbar. Es fehlt an Erfahrungswerten, Messreihen, Daten und anderen Parametern, mit denen das Risk Management der Versicherungsunternehmen gefüttert werden könnte.
Private-Public-Pool-Lösung angedacht
Besonders prekär könnte es enden, wenn Angriffe das ganze Land und die sogenannte kritische Infrastruktur lahmlegen würden. «Die Folgen solcher Kumulschäden könnten nicht von den Gesellschaften allein getragen werden», erklärt David Ribeaud, CEO Specialty Markets und Member of the Executive Management bei Helvetia. Daher habe Helvetia einen alternativen Lösungsvorschlag zur Diskussion gestellt, ähnlich jener Pool-Lösung, wie sie die Schweiz schon für Elementarschäden entwickelt hat und über die alle Versicherer solidarisch für Überschwemmungen oder Flächenbrände einstehen. Solche Naturereignisse sind jedoch regional begrenzt und über ihr Auftreten gibt es lange Messreihen und Wahrscheinlichkeitsberechnungen. «Bei Cyberrisiken betreten wir aber Neuland, deshalb sollten auch die Wissenschaft insbesondere für Präventionsfragen und der Staat als subsidiärer Risikoträger ins Boot geholt werden», so Ribeaud.
Die Idee wäre die Einrichtung einer Private-Public-Plattform innerhalb eines gesetzlichen Rahmens, die stark auf Prävention basiert und durch das Zusammentragen und die Analyse der Cybervorfälle zu einer Erhöhung der Sicherheit und der Resilienz des ganzen Landes führen könne. «Alle Länder suchen derzeit nach einer Lösung, hier könnte sich die Schweiz mit einem tragfähigen Konzept einen weiteren Wettbewerbsvorteil sichern», ist Ribeaud überzeugt. Die ersten gemeinsamen Gespräche zwischen Bund, Assekuranz, Verbänden und der Wissenschaft sind bereits terminiert.
Nische mit Wachstumspotenzial
Denn – ob mit staatlicher Rückendeckung in einer Pool-Lösung oder ohne – das Nischenprodukt Cyberversicherung ist ein attraktiver Wachstumsmarkt für die Anbieter. «Vor allem in den letzten zwei Jahren verzeichnen wir zweistellige Wachstumsraten bei den Abschlüssen von Cyberpolicen», sagt Carlos Casián von Allianz Suisse. Helvetia meldet eine Erhöhung der Abschlüsse von Cyberversicherungen um den Faktor zehn seit 2018.
Parallel dazu sind jedoch auch die Prämien im Markt deutlich gestiegen, aber auch die Anforderungen, die ein Unternehmen erfüllen muss, bevor die Police ausgestellt wird. Die meisten Versicherer (siehe Tabellen) bieten KMU jedoch auch Unterstützung bei der Analyse der IT-Sicherheit und der Durchführung präventiver Massnahmen, wie beispielsweise die Schulung der Mitarbeitenden. Denn «da sie weniger Ressourcen in die eigene IT-Sicherheit investieren als Konzerne, rücken vor allem KMU vermehrt ins Visier von Internetkriminellen», sagt Thomas Greub, Experte Cyberversicherung Unternehmensgeschäft der Axa.