Je größer die Gefahr durch Cyberkriminalität wird, desto höher ist die Nachfrage nach Versicherungen, die für Schäden etwa aus Hackerangriffen aufkommen. So weit, so bekannt. Die BaFin wollte genau wissen, wie sich das Geschäft mit Cyberversicherungen entwickelt, und hat dazu Anbieter solcher Policen befragt (siehe BaFinJournal September 2021). Die Auswertung dieser Abfrage ist nun abgeschlossen. Ein Überblick über die wesentlichen Erkenntnisse: Die BaFin hat 55 Erst- und Rückversicherer mit Sitz in Deutschland und fünf Niederlassungen von EU -Versicherern in Deutschland in ihre Umfrage einbezogen. Die Aufsicht hat die Versicherungsunternehmen gebeten, Kennzahlen der Gewinn- und- Verlust-Rechnung zum Cyberversicherungsgeschäft im Zeitraum 2016 bis 2020 bereitzustellen. Dabei sollten die Anbieter einerseits zwischen dem Geschäft mit Privatpersonen, kleinen und mittleren Unternehmen (KMU) und der Industrie unterscheiden, andererseits zwischen Stand-Alone- und Endorsement-Verträgen. Bei den Stand-Alone-Verträgen handelt es sich um reine Cyberpolicen. Endorsement-Verträge sind traditionelle Policen, bei denen sich die Deckung auch auf Cyberrisiken erstreckt. Abgefragt wurden Daten zu Beiträgen und Schadenaufwendungen. Dabei mussten die Versicherer unterscheiden nach Kundengruppen – privat, kleine und mittlere Unternehmen, Industrie – und nach den drei Komponenten Eigenschaden, Haftpflicht (Drittschaden) und Service (zum Beispiel Krisenkommunikation). Die Erfassung der Schadenaufwendungen nach einzelnen Komponenten ist aus Sicht der BaFin notwendig, um diese schrittweise anhand eigener Schadendaten bepreisen zu können. Neben den quantitativen Fragen stellte die Aufsicht auch qualitative Fragen zu den Produkten, zur Tarifierung und zum Risikomanagement. Im Zentrum der Umfrage standen die in Deutschland gezeichneten Policen. Daneben hat die BaFin aber auch Daten und Angaben zu EU -weit und weltweit gezeichnetem Versicherungsgeschäft abgefragt. Die Umfrage hat gezeigt, dass nicht alle Versicherer in der Lage waren, die abgefragten Daten in der verlangten Granularität zu liefern. Die größten Lücken gab es bei den Schadenaufwendungen für die einzelnen abgefragten Komponenten Eigenschaden, Haftpflicht und Service (siehe Infokasten). Nur wenige Versicherer konnten diese Angaben vollständig zur Verfügung stellen. Andere wiederum hatten Daten für die Eigenschadenkomponente parat, nicht aber für die übrigen Komponenten. Aber auch wenn das Zahlenmaterial nicht vollständig war und die Unternehmen Schätzungen vorgenommen haben: Die BaFin hat wertvolle Einblicke in das bislang nicht einer gesonderten Berichterstattung unterliegende Segment der Cyberversicherungen gewonnen. Zudem muss anerkannt werden, dass sich die Datenqualität in den vergangenen Jahren bereits verbessert hat. In der Ergebnisbox 1 sind die wesentlichen Erkenntnisse kurz zusammengefasst. Vor allem in den vergangenen beiden Jahren ist das Segment der Cyberpolicen dynamisch gewachsen. Tabelle 1 zeigt die Entwicklung der in Deutschland gezeichneten Policen für das selbst abgeschlossene Versicherungsgeschäft, also das von Erstversicherern mit ihren Versicherungsnehmerinnen und Versicherungsnehmern abgeschlossene Versicherungsgeschäft. Tabelle 1: Überblick über selbst abgeschlossenes Geschäft in Deutschland © BaFin © BaFin Danach sind die gebuchten Bruttobeitragseinnahmen deutlich gestiegen, nämlich auf rund 240 Millionen Euro im Jahr 2020. Diese dynamische Entwicklung war angesichts der zunehmenden Bedrohung aus dem Cyberraum zu erwarten. Und dennoch ist dieses Segment im Verhältnis zu anderen Versicherungszweigen nach wie vor als klein zu bezeichnen. Etwas überraschend sind die relativ moderaten Bruttoschadenquoten (zuletzt 42,1 Prozent). Allerdings sind die Daten der einzelnen Versicherer sehr breit gestreut. 2020 wurden beispielsweise Schadenquoten zwischen 0 und rund 275 Prozent gemeldet. Das Industriegeschäft verlief zudem regelmäßig schlechter als das Versicherungsgeschäft mit kleinen und mittleren Unternehmen und Privatkunden. So lag die Bruttoschadenquote für das Industriegeschäft 2020 in Deutschland mit 53,0 Prozent über den 42,1 Prozent über alle Kundengruppen hinweg. Die Daten spiegeln wider, dass sich das Segment in der Entwicklung befindet und die Schadenverläufe noch nicht stabil sind. Der Selbstbehalt ist demnach mit 40,9 Prozent auch eher gering, was bedeutet, dass Rückversicherer entsprechend stärker an Cyberschadenfällen beteiligt sind. Ein ähnliches Bild ergibt sich aus der Umfrage zum EU -weit und weltweit gezeichneten Geschäft der befragten Versicherer, das in Tabelle 2 dargestellt ist. Tabelle 2: Überblick über selbst abgeschlossenes Geschäft in Deutschland, Europa und weltweit © BaFin © BaFin Auch hier ist eine deutliche Dynamik der Beitragsentwicklung zu erkennen: Die gebuchten Bruttobeiträge sind von 2018 bis 2020 auf 362,6 Millionen Euro gestiegen. Die Bruttoschadenquote stellt sich 2020 mit 67,5 Prozent weniger günstig dar als in Deutschland. Es zeigen sich zudem starke Schwankungen im Nettoergebnis, wobei es sich hierbei um Durchschnittswerte handelt. Betrachtet man dagegen die einzelnen Versicherungsunternehmen, sind deren Werte breit gestreut. Der Selbstbehalt weicht nicht wesentlich von dem im rein deutschen Versicherungsgeschäft ab. Wesentliche Erkenntnisse zur Entwicklung und der allgemeinen Marktsituation in Deutschland sind in Ergebnisbox 2 aufgelistet. In Tabelle 3 wird die Entwicklung des übernommenen Cyberversicherungsgeschäfts in Deutschland, der EU und weltweit dargestellt. „Übernommen“ bedeutet das in Rückdeckung übernommene Versicherungsgeschäft. Tabelle 3: Überblick über übernommenes Geschäft in Deutschland, Europa und weltweit © BaFin © BaFin Auch hier zeigen sich ein starkes Beitragswachstum und eine steigende Schadenquote brutto wie netto in den vergangenen Jahren. Neben der rein quantativen Datenerhebung stellte die BaFin bei ihrer Umfrage auch qualitative Fragen, also solche zu den Produkten, zur Tarifierung und zum Risikomanagement. So fragte sie die Unternehmen, inwieweit sie bei der Produktkonzipierung auf die unverbindlichen Musterbedingungen des Gesamtverbands der deutschen Versicherungswirtschaft ( GDV ) zu Cyberversicherungen zurückgreifen. Sie sollen Versicherern die Entwicklung eigener Angebote erleichtern und sind zugleich für die Industrie und vor allem für kleine und mittelständische Unternehmen sowie Makler ein Vergleichsmaßstab, um Versicherungsangebote zu bewerten. Das Ergebnis ist in Tabelle 4 dargestellt. Tabelle 4: Überblick über die Nutzung der unverbindlichen Musterbedingungen des GDV zu Cyberversicherungen © BaFin © BaFin Hier zeigt sich, dass sich die Policen sehr unterscheiden. Es gibt eine gewisse Bandbreite an verwendeten Bedingungswerken, was Kunden die Vergleichbarkeit etwas erschwert. Ein ähnliches Bild ergibt sich mit Blick auf die Nutzung der vom GDV entwickelten Fragebögen zur Risikomessung. Praktisch alle Versicherer verwenden derartige Fragenbögen sowohl im Kundensegment der kleinen und mittleren Unternehmen als auch in dem der Industrie. Allerdings weichen die Versicherer häufig von den Vorgaben des GDV -Fragebogens ab. Meist wird ein verkürzter Fragebogen verwendet. Beim Pricing wird die Problematik der noch fehlenden Schadenhistorie besonders deutlich. Cyberpolicen sind ein noch junger Geschäftszweig. So geben viele Versicherungsunternehmen an, dass sie zur Ermittlung des Preises einen mehr oder weniger umfangreichen Mix aus den Daten verwenden: Daten externer Anbieter (Consultinggesellschaften, Rückversicherer, Cyberdatenpools im Konzern) und eigener Exposuremessungen, darunter auch Angaben wie Unternehmensgröße, Branche, Standort und IT -Level (Klassifizierung aus dem Risikofragebogen). Eine wesentliche Rolle spielen zudem Expertenschätzungen. Eine annahmebasierte Preisgestaltung ist offenkundig verbreitet. Dass die Versicherer angesichts der fehlenden Schadendaten und der oben beschriebenen hohen Volatilitäten so vorgehen, überrascht nicht. Nichtsdestotrotz können inzwischen einige Anbieter bei der Tarifierung den Schadenverlauf des eigenen Portfolios stärker nutzen. Diesen Weg müssen die Gesellschaften weiterverfolgen. Das angemessene und valide Pricing bleibt jedoch zunächst noch eine sehr große Herausforderung. Es fehlt nicht nur die Schadenhistorie. Hinzu kommt die dynamische Entwicklung von Schadenszenarien. Es wird daher nach wie vor erforderlich sein, dass die Unternehmen bei der Tarifierung Vorsicht walten lassen, gegebenenfalls nur geringe Anteile zeichnen und auf einen angemessenen Rückversicherungsschutz achten. Die Frage, ob und wie eine regelmäßige Berichterstattung über den Verlauf der Cyberpolice eingeführt wird, beschäftigt aktuell EIOPA , die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung. Die BaFin ist an den Diskussionen und Arbeiten beteiligt. Da das Cybersegment nach wie vor recht klein ist, sollte die Proportionalität gewahrt bleiben. Mittelfristig erscheint es aber sinnvoll, die Cyberpolice in der Berichterstattungsverordnung als eigenständigen Versicherungszweig zu etablieren. Aktuell ist jedoch noch keine Änderung vorgesehen. Ramon Platt Referat VA 37 Grundsatzfragen der Schaden-/ Unfallversicherung Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.