Cyberversicherungen: hohe Nachfrage – und hohe Risiken?
Bedrohungen im Cyberraum nehmen zu. Cyberpolicen gewinnen daher an Bedeutung. Bereits zum zweiten Mal hat die BaFin Versicherer zum Geschäft mit Cyberversicherungen befragt. Die Ergebnisse zeigen: Der Markt für Cyberpolicen wächst rasant. Aber das Geschäft ist nicht immer auskömmlich. Die BaFin empfiehlt Versicherern daher eine umsichtige Tarifierung und eine angemessene Rückversicherung.
Die Warnung des Bundesamts für Sicherheit in der Informationstechnik ist eindeutig: Die Cybersicherheitslage in Deutschland bleibt angespannt. Auch für viele Unternehmen. Laut Branchenverband Bitkom entstehen der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage jährlich Schäden von über 200 Milliarden Euro. Es überrascht daher nicht, dass der Markt für Cyberversicherungen weiterwächst – und zwar rasant. Das zeigt die jüngste Erhebung der BaFin aus dem Jahr 20231. Die Aufsicht hatte dafür 200 Versicherungsunternehmen angeschrieben, die potentiell Cyberversicherungen anbieten (für Details zur Informationserhebung siehe Infokasten „Den ganzen Markt im Blick“). Ziel war es, einen aussagekräftigen Überblick zur Lage des gesamten Markts zu bekommen. Was ihn für die Aufsicht besonders relevant macht, sind die für den Markt typischen hohen Kumulrisiken. Das bedeutet: Ein einzelnes Cyberereignis kann weltweit eine große Anzahl von Einzelschäden hervorrufen, beispielsweise, wenn Hacker Fehler in einer Standardsoftware für einen Angriff nutzen.
Geschäft hat sich mehr als verdoppelt
Das Geschäft mit reinen Cyberpolicen (Stand Alone) im selbst abgeschlossenen Geschäft von Erstversicherern hat sich von 2020 bis 2022 über alle Regionen und Kundengruppen mehr als verdoppelt. Im Jahr 2022 betrug es auf Basis der gebuchten Bruttobeiträge (GBBE) ca. 700 Millionen Euro (siehe Grafik 1), gegenüber dem Jahr 2020 ein Anstieg um 144 Prozent. Auf Beitragsebene hat die Cyberversicherung damit kleinere berichtspflichtigen Versicherungszweige überholt.
Ähnlich ist die Lage beim in Rückdeckung übernommenen Stand-Alone-Geschäft. Es hat sich von 2020 bis 2022 über alle Regionen und Kundengruppen ebenfalls mehr als verdoppelt. Im Jahr 2022 summierten sich die gebuchten Bruttobeiträge auf ca. 1,57 Milliarden Euro (siehe Grafik 2), ein Anstieg um 138 Prozent gegenüber dem Vergleichsjahr 2020. Auch in diesem Geschäftsfeld konnte die Cyberversicherung bezogen auf Beitragseinnahmen kleinere berichtspflichtigen Versicherungszweige2 hinter sich lassen.
Die Beitragseinnahmen der befragten Unternehmen sind größtenteils überproportional stark gewachsen, wenn man sie mit den Vertragszahlen vergleicht. Das deutet auf Prämienanpassungen hin, insbesondere zwischen 2021 und 2022.
Die BaFin erwartet, dass das Geschäft mit Cyberversicherungen weiterhin wächst. Sie geht davon aus, dass die gebuchten Bruttobeiträge im selbst abgeschlossenen Geschäft bald die Schwelle von einer Milliarde Euro überschreiten, im übernommenen Geschäft die Zwei-Milliarden-Euro-Marke.
Die Umfrage zeigte zudem: Versicherer haben nur in sehr seltenen Fällen Lösegeld gezahlt, wenn Kundinnen und Kunden von Ransomware-Attacken betroffen waren. Im Zeitraum zwischen 2020 bis 2022 haben Versicherer in Deutschland Summen im niedrigen zweistelligen Millionen-Euro-Bereich ausgezahlt.
Marktkonzentration leicht gesunken
Im Vergleich zur Untersuchung aus dem Jahr 2021 ist die Marktkonzentration leicht gesunken. Die Top-10-Anbieter beim selbst abgeschlossenen Stand-Alone-Geschäft in Deutschland hatten 2022 einen an den gebuchten Bruttobeiträgen gemessenen Marktanteil von 75 Prozent. 2020 lag der noch bei 86 Prozent. Die Bandbreite der Schadenquote brutto, die das Verhältnis der Versicherungsleistungen zu den eingezahlten Prämien beschreibt, lag bei den Top-10 im Jahr 2022 zwischen 20,1 Prozent und 112,8 Prozent.
Industriekunden verzeichnen weiterhin höchsten Marktanteil
Hauptkunden im Cyberversicherungsgeschäft sind Industrieunternehmen, ihr Anteil beträgt über alle Betrachtungscluster hinweg stets gut 80 Prozent auf Basis der Beitragseinnahmen. Kleine und mittelständische Unternehmen (KMU) machen zwischen 15 Prozent und 20 Prozent der Kunden aus, Privatkundinnen und -kunden in der Regel nur ca. ein Prozent. Je nach geographischer Region und gezeichnetem Geschäft weichen die Werte etwas ab (detaillierte Angaben siehe unten).
Auf einen Blick:Cyberpolicen – den ganzen Markt im Blick
Im Vergleich zur Erhebung 2021, bei der 55 Erst- und Rückversicherungsunternehmen sowie fünf Niederlassungen angeschrieben wurden, hat die BaFin 2023 eine Vollabfrage durchgeführt, um sich einen Gesamtüberblick des Marktes zu verschaffen. Insgesamt hat sie 178 Erstversicherer, zwölf Niederlassungen sowie zehn Rückversicherungsunternehmen angeschrieben.
Bei der Erhebung im Jahr 2023 sollten die Versicherungsunternehmen Informationen bereitstellen zur Gewinn- und Verlustrechnung nach Handelsgesetzbuch (HGB) für das selbst abgeschlossene Geschäft (saG) und das in Rückdeckung übernommene Geschäft (üG), jeweils aufgegliedert in reine Cyberversicherungen (Stand alone) und traditionelle Policen, bei denen sich die Deckung auch auf Cyberrisiken erstreckt (Endorsement). Zudem sollten die Unternehmen ihre Daten aufschlüsseln nach den Kundengruppen Privat, KMU und Industrie sowie nach gezeichnetem Geschäft in den geographischen Regionen Deutschland, Europa (außer Deutschland) und World (außer Deutschland und Europa). Weitere Kennzahlen waren die Zahl der Verträge und Versicherungsfälle sowie Lösegeldzahlungen.
Im Vergleich zur Informationserhebung 2021 war die Datenqualität insgesamt besser, in Einzelfällen gab es jedoch erneut Schätzungen bzw. Näherungen. Insbesondere im Abfrageteil zum Endorsement-Geschäft konnte vereinzelt keine (vollständige) GuV dargestellt werden. Aufgrund der Vollabfrage wurden weitere (kleine) Anbieter im saG identifiziert und erfasst (2023: 71, 2021: 55). Im üG kamen weitere (große) Unternehmen im Markt hinzu (2023: 15, 2021: 7).
Weltweit hohe Wachstumsraten
Im selbst abgeschlossenen Stand-Alone-Geschäft lag die GBBE-Wachstumsrate über allen geographischen Regionen 2021 und 2022 bei jeweils über 50 Prozent. Besonders ausgeprägt ist sie im außereuropäischen Geschäft mit ca. 118 Prozent im Jahr 2021 und ca. 68 Prozent im Jahr 2022.
Grafik 1: Entwicklung der gebuchten Bruttobeitragseinnahmen nach Regionen (selbst abgeschlossenes Stand-Alone-Geschäft)
Über alle geographischen Regionen hinweg hat das Kundensegment Industrie mit ca. 81 Prozent den größten Marktanteil. Das Kundensegment KMU kommt auf einen Marktanteil von ca. 18 Prozent, Privatkundinnen und -kunden erreichen knapp ein Prozent. Im Vergleich zur Erhebung 2021 blieben die Marktanteile damit relativ stabil.
Sowohl in Europa (ohne Deutschland) als auch weltweit ist der Marktanteil des Kundensegmentes Industrie von noch größerer Bedeutung, während in Deutschland KMU-Kunden einen etwas höheren Marktanteil im Stand-Alone-Geschäft besitzen.
Das selbst abgeschlossene Geschäft mit traditionellen Policen, bei denen sich die Deckung auch auf Cyberrisiken erstreckt (Endorsement), blieb seit der Erhebung 2021 konstant. Die Ergebnisse der jüngsten Untersuchung zeigen, dass es derzeit nur in Deutschland wesentliche Beiträge erzielt.3 Die gebuchten Bruttobeitragseinnahmen liegen hier bei ca. 61 Millionen Euro. Privatkundinnen und -kunden kommen – im Vergleich zum Stand-Alone-Geschäft – auf einen deutlich höheren Marktanteil von ca. 10 Prozent.
Grafik 2: Entwicklung der gebuchten Bruttobeitragseinnahmen nach Regionen (in Rückdeckung übernommenes Stand-Alone-Geschäft)
Beim in Rückdeckung übernommenen Stand-Alone-Geschäft lag die GBBE-Wachstumsrate über alle geographischen Regionen im Jahr 2021 bei ca. 39 Prozent, 2022 erreichte sie ca. 72 Prozent. Wie im selbst abgeschlossenen Stand-Alone-Geschäft hat das Kundensegment Industrie über alle geographischen Regionen mit ca. 84 Prozent den größten Marktanteil. KMU-Kunden kommen auf einen Marktanteil von rund 15 Prozent, Privatkundinnen und -kunden von knapp einem Prozent. Die Marktanteile blieben seit der Erhebung 2021 relativ stabil. Die etwas stärkere Bedeutung des Kundensegments KMU, die die BaFin im selbst abgeschlossenen Geschäft in Deutschland ausgemacht hat, lässt sich beim in Rückdeckung übernommenen Geschäft nicht beobachten.
Das in Rückdeckung übernommene Endorsement-Geschäft verdoppelte sich im Vergleich zu 2020. Es belief sich 2022 über alle geographischen Regionen hinweg auf ca. 262 Millionen Euro. Die Verteilung nach Kundengruppen weicht dabei je nach Region etwas von den Werten im selbst abgeschlossenen Geschäft ab.
Cyberversicherungsgeschäft oft nicht auskömmlich
Aufgrund vermehrter Cyberattacken fielen 2021 in Deutschland hohe Schadenaufwendungen an. Sie spiegeln sich in der Brutto Combined Ratio von über 100 Prozent deutlich wider (siehe Grafik 3). Ein solcher Wert bedeutet, dass Schadenaufwendungen plus Betriebskosten die Prämieneinnahmen übersteigen. Im Jahr 2022 sank die Brutto Combined Ratio etwas, gleichzeitig stieg jedoch die Netto Combined Ratio deutlich. Diese berücksichtigt auch die Rückversicherung. Der Selbstbehalt der Erstversicherer sank im Beobachtungszeitraum weiter und betrug im Jahr 2022 26,5 Prozent.
Grafik 3: Entwicklung von Combined Ratio und Selbstbehalt in Deutschland (selbst abgeschlossenes Stand-Alone-Geschäft)
Wegen besserer Schadenverläufe im selbst abgeschlossenen Geschäft außerhalb Deutschlands sank die Brutto Combined Ratio im Betrachtungszeitraum stetig (siehe Grafik 4). Im Vergleich zum Deutschlandgeschäft verringerte sich der Selbstbehalt hier hingegen nur leicht.
Grafik 4: Entwicklung von Combined Ratio und Selbstbehalt weltweit (selbst abgeschlossenes Stand-Alone- und Endorsement-Geschäft)
Die Combined Ratios des in Rückdeckung übernommenen Geschäfts liegen fast ausschließlich über 100 Prozent (siehe Grafik 5). Der Selbsthalt stieg im Beobachtungszeitraum leicht an.
Grafik 5: Entwicklung von Combined Ratio und Selbstbehalt weltweit (in Rückdeckung übernommenes Stand-Alone- und Endorsement-Geschäft)
BaFin empfiehlt umsichtige Tarifierung und angemessenen Rückversicherungsschutz
Für Cyberversicherungen können Versicherer bisher noch nicht vollständig auf aussagekräftige Schadendaten zurückgreifen. Die potenziellen Schadenszenarien können zudem sehr dynamisch sein, beispielsweise wegen hoher Kumulrisiken. Die BaFin erwartet von den Versicherern eine umsichtige Zeichnungspolitik, eine Tarifierung, die der hohen Unsicherheit Rechnung trägt, und einen angemessenen Rückversicherungsschutz. Für eine angemessene Tarifierung der Produkte hält die Finanzaufsicht eine Aufteilung nach den Deckungsbausteinen Eigenschäden, Drittschäden und Kosten/Service für erforderlich.
Zur Wahrung einer effektiven Aufsicht ist es für die BaFin unerlässlich, einheitliche Daten zum stark wachsenden Markt für Cyberversicherungen zu erheben. Sie plant daher, in der Versicherungs-Berichterstattungsverordnung den neuen „Versicherungszweig 26 Cyberversicherung“ einzuführen. Dieser umfasst das selbst abgeschlossene Geschäft und das in Rückdeckung übernommene Geschäft bei Erst- und Rückversicherungsunternehmen im nationalen Berichtswesen. Auf europäischer Ebene4 erfolgt parallel die Einführung eines Cybertemplates (QRT S.14.03) mit der Jahresmeldung zum Geschäftsjahr 2023. Die erstmalige Nutzung des neuen Templates steht somit für April 2024 an.
- 1 Die Werte für das Jahr 2020 aus der Informationserhebung im Jahr 2023 weichen etwas von den Werten für das Jahr 2020 aus der Informationserhebung im Jahr 2021 ab. Die Gründe hierfür liegen u.a. in der höheren Grundgesamtheit im Jahr 2023 (insbesondere bei den Rückversicherungsunternehmen), im vereinzelten Wegfall einiger Akteure (keine Berichtspflicht für Niederlassungen, da nur Rechtsaufsicht durch die BaFin) sowie versicherungsinternen Änderung in der Ausweisung des Cyberversicherungsgeschäfts einzelner Versicherer.
- 2 Versicherungszweige gemäß der Versicherungsberichterstattungs-Verordnung (BerVersV).
- 3 Aufgrund der vereinzelt eingeschränkten Datenqualität bei Endorsement können die Werte insgesamt etwas höher liegen.
- 4 Solvency II-Berichtswesen für Erst- und Rückversicherungsunternehmen.
Verfasst von
Robert Ganz
Referat VA 37
Quelle: BaFin vom 07.02.2024
PRESSEKONTAKT
Netzwerk Kapitalmarkt Sanierung
BEMK Rechtsanwälte PartGmbB
Artur-Ladebeck-Str. 8
33602 Bielefeld
Website: https://netzwerk-kapitalmarkt-sanierung.de/
E-Mail : info@netzwerk-kapitalmarkt-sanierung.de
Telefon: +49 (0) 521 977 940-0
Telefax: +49 (0) 521 977 940-10