Was haben die Deutsche Leasing, der IT-Dienstleister Bitmarck und ABB gemeinsam? Sie alle sind in den vergangenen Wochen Opfer von Cyberattacken geworden. Sie sind bei Weitem nicht die Einzigen. Täglich melden öffentliche Verwaltungen, Hochschulen, Unternehmen oder Krankenhäuser Hackerangriffe auf ihre IT-Systeme.

Die Pandemie und der damit verbundene Schub für die Digitalisierung – insbesondere durch Homeoffice und die Notwendigkeit, im Lockdown virtuell zusammenzuarbeiten – hat die Anfälligkeit für Angriffe auf IT-Systeme, aber auch die Aufmerksamkeit für dieses Thema drastisch erhöht. Unternehmen weltweit versuchen sich nicht nur durch Technik, sondern auch mit Hilfe von Versicherungen besser zu wappnen. Cyberversicherungen haben in den vergangenen drei Jahren einen anhaltenden Boom erlebt.

Der noch junge Markt für Versicherungsschutz gegen Hackerattacken hat eine stürmische Zeit hinter sich. Die wachsende Nachfrage prallte auf ein ebenso boomendes kriminelles Geschehen. Die Schadenquoten schossen in die Höhe, die Kapazitäten wurden knapp. Zahlreiche Cyberversicherer rutschten nach profitablen Anfangsjahren in dem noch jungen Marktsegment in die Verlustzone ab. So meldete für den deutschen Markt der Gesamtverband der Deutschen Versicherungswirtschaft im Jahr 2021 für die Sparte eine Schaden-Kosten-Quote von 124% – und damit eine Verdoppelung im Vergleich zum Vorjahr. Im US-Markt, dem Pionier des jungen Segments mit dem mit Abstand größten Beitragsvolumen, sprang die Schadenquote im Jahr 2020 um fast 20 Prozentpunkte nach oben und blieb auch im Jahr darauf im Branchenschnitt über 60% – ein Niveau, auf dem zahlreiche Marktteilnehmer aufgrund der recht hohen Kostenquoten für die beratungsintensiven Policen Verluste schrieben.

Die Anbieter reagierten auf die für sie völlig unrentable Entwicklung: In den vergangenen zwei Jahren hat der Markt für Cyberversicherungen enorme Preissteigerungen erlebt, kombiniert mit strafferen Konditionen für die Kunden. Das hat Wirkung gezeigt: Die Schadenquoten im Leitmarkt USA sind nach Angaben der Ratingagentur AM Best auf das Niveau von 2019 zurückgegangen und liegen wieder bei rund 45%. Damit hat sich die Branche wieder etwas beruhigt.

Auch hierzulande ist die Stabilisierung zu spüren: „Im deutschen Markt wird es gerade wieder einfacher für Kunden, die ein hohes IT-Sicherheitsniveau aufweisen“, beschreibt Maximilian Ernst vom Makler Marsh die Lage. Während die Preissprünge Ende 2021 durchschnittlich bei 90% gelegen hätten, stiegen die Prämien aktuell zwar weiterhin, aber mit 10 bis 20% im Durchschnitt deutlich moderater. Auch das Kapazitätsangebot am deutschen Markt habe sich entspannt. „Es sind einige neue Anbieter in den deutschen Markt gekommen – zum Beispiel Assekuradeure wie Corvus, Dual oder der Spezialversicherer Mosaic.“

Nicht nur für den Mittelstand, sondern auch für Großkonzerne mit großen Cyberprogrammen sei es wieder leichter. „Die Unternehmen, die in der Vergangenheit ihre Deckungen wegen des knappen Angebots reduzieren mussten, können sie gerade wieder ausbauen“, sagt Ernst.

Das Jahr 2022 habe eine leichte Entspannung der Risikosituation gebracht, bestätigt auch Gisa Kimmerle, Chefin der deutschen Cybersparte bei Hiscox. „Es bleibt jedoch abzuwarten, ob es sich hier um einen langfristigen positiven Trend handelt.“ Der Spezialversicherer war 2011 der erste Anbieter, der die Cyberversicherung auf den deutschen Markt brachte. Im Kernsegment der kleinen und mittleren Unternehmen bis zu 25 Mill. Euro stellt Hiscox nach eigenen Angaben weitestgehend konstante Kapazitäten zur Verfügung. Im Industriesegment hat der Versicherer seine Kapazitäten reduziert.

Ein aktueller Report von Gallagher Re beschreibt die Kapazität in der Cyberversicherung als immer noch nicht ausreichend. Auch die Analysten von Moody’s kommen zu dem Schluss, dass die Nachfrage das Angebot übersteigt. Das liege vor allem daran, dass die Dynamik in der Sparte eine signifikant andere als in anderen Versicherungssegmenten sei. Die Bereitstellung von genügend Kapital für Cyberdeckungen sei die größte Herausforderung für den Markt, schreibt Gallagher Re.

Die Wachstumsdynamik im Markt ist gewaltig: Der Datendienstleister Global Data schätzt das Prämienvolumen der Cyberversicherung weltweit für das vergangene Jahr bereits auf 16,7 Mrd. Dollar – mehr als eine Verdoppelung seit 2020. Bis zum Jahr 2027 soll sich der Markt erneut verdoppeln.

Eine alternative Kapitalquelle für den boomenden Cyberversicherungsmarkt steckt noch in den Kinderschuhen. Für Investoren wie Hedge- oder Pensionsfonds ist der Markt für Versicherungsverbriefungen ein interessanter. Cat Bonds, die Erdbeben- oder Hurrikanrisiken decken, dominieren das Nischensegment. In diesem Jahr ist erstmals ein Cat Bond auf Cyberrisiken emittiert worden. Der Londoner Spezial- und Rückversicherer Beazley hat ihn im Januar nach mehrjähriger Vorbereitungszeit emittiert. Die Deckung greift, wenn die Gesamtschäden aus einer Cyberattacke 300 Mill. Dollar für Beazley übersteigen. Das Volumen der Privatplatzierung hielt sich mit 45 Mill. Dollar in Grenzen, doch es war erst der Anfang. Beazley setzte die Ankündigung, weitere Tranchen des Bonds zu platzieren, inzwischen in die Tat um. Im Mai stockte der Versicherer die Anleihe um weitere 20 Mill. Dollar auf. Im Markt dürfte das als weiteres Indiz dafür gelten, dass der lang erwartete Transfer von Cyberrisiken an den Kapitalmarkt an Fahrt aufnehmen könnte.

Auch die Hannover Rück sieht großes Potenzial in diesem Geschäft. Sie hatte im Januar ein Portfolio von Cyberrisiken aus dem eigenen Buch bei Investoren platziert und so ein neues Retrozessionsinstrument entwickelt. Partner der Transaktion war der New Yorker Assetmanager Stone Ridge, der nach Angaben der Hannover Rück 100 Mill. Dollar investiert hat. Der Investor übernimmt dabei eine bestimmte Quote der Risiken.

Der Transfer von Cyberrisiken an den Kapitalmarkt ist jedoch kein Selbstläufer. Gallagher Re, die den Cyberbond von Beazley begleitet hat, beschreibt einige der Hemmnisse: Dazu zählt die schwierige Modellierung, der fehlende Rahmen bzw. ein Standard für Investoren sowie die befürchtete Korrelation von Cyberattacken und der Entwicklung an den Finanzmärkten. Denn der Charme von Cat Bonds mit Erdbeben- oder Hurrikanrisiken ist für viele Investoren die Unabhängigkeit von anderen Assetklassen. Bei großen Cybervorfällen dürfte das ein Stück weit anders aussehen.