Versicherbarkeit von Risiken im Zusammenhang mit Cybersecurity

Cyber-Risiken zeichnen einige Besonderheiten wie bspw. Kumulrisiken und regulatorische Anforderungen (EU-Regelungen, etc.) aus, was eine Versicherbarkeit komplex macht.
Versicherbare Risikobereiche sind

• Schäden durch Datenverlust, Datenbeschädigung oder Datenzerstörung
• Schadenersatzansprüche von Dritten bei Datenschutzverletzungen (DSGVO)
• Betriebsunterbrechungsschäden infolge IT-Ausfall
• Sach- und Vermögensschäden iZm Cybervorfällen

Am Markt schwieriger unterzubringen sind insbesondere Risiken, bei denen Sicherheitsprozesse fehlen bzw. Sicherheitsvorgaben vom Unternehmen nicht eingehalten werden oder Ausfälle der öffentlichen Infrastruktur Grund für einen Cyber-Vorfall sind.

Am österreichischen Versicherungsmarkt haben sich in den letzten Jahren zunehmend immer mehr Versicherer dem Thema Cyberversicherungsdeckung gewidmet und besteht dadurch ein durchwegs gutes Angebot an Anbietern. Die meisten dieser Anbieter sind ausländische Versicherer oder Assekuradeure.

Diverse Cyber-Versicherungsprodukte bieten Unternehmen Schutz, meist aus einzelnen, miteinander kombinierbaren Bausteinen und nach Unternehmensgröße aufgebaut:

• Cyber-Haftpflicht & Eigenschaden: Deckt Kosten für Datenwiederherstellung, Rechtsverteidigung, Benachrichtigungen nach Datenschutzverletzungen und ähnliche Schäden.
• Betriebsunterbrechungsdeckung: Schützt vor finanziellen Verlusten, wenn Systeme infolge eines Angriffs ausfallen.
• Erweiterte Bausteine: PR-Kosten für Reputationsschäden, Cyber-Erpressung/Ransomware-Deckung oder Serviceleistungen wie Forensik und Krisenmanagement.

Die Kombination dieser Deckungsbausteine bildet heute den Standard im Markt, allerdings variieren Deckungssummen und Klauseln stark nach Branche und Risikoprofil des Kunden.

Für die Versicherer und die zu Versichernden gibt es immer mehr regulatorische Voraussetzungen und Risiken die zu beachten sind:

a) Datenlage und Modellierung

Ein wesentliches Problem bei der Bewertung und Preisgestaltung von Cyberverträgen ist das Fehlen einer belastbaren, zentralisierten Schadenstatistik. Die Vorfallzahlen sind zwar hoch und steigen weiter, doch eine systematische Datengrundlage fehlt weitgehend. Diese mangelnde Transparenz erschwert zuverlässige Statistiken und Risikoerörterungen.

b) Kumul- und Systemrisiken

Die Gefahr, dass viele Unternehmen gleichzeitig von einem großen Angriff oder Infrastrukturproblem betroffen sind, kann Versicherer finanziell stark belasten. Kumulrisiken werden daher bei der Vertragsgestaltung bzw. dem Angebot des Versicherers und der Summenfestlegung besonders berücksichtigt.

c) Regulatorische Einflüsse

EU-weit geltende Regularien wie NIS2 oder DSGVO beeinflussen die Risikoexposition und damit die Versicherbarkeit. Unternehmen müssen zunehmend nachweisen, dass sie angemessene Sicherheits- und Managementmaßnahmen etabliert haben, bevor ein Vertrag ausgestellt wird.

Fazit:

Die Versicherbarkeit von Cyber-Risiken in Österreich ist grundsätzlich gegeben, aber von mehreren Faktoren abhängig:

• Art und Umfang des Risikos
• Qualität des Risikomanagements beim Versicherungsnehmer
• Regulatorische Rahmenbedingungen
• Marktentwicklung und Datenlage

Versicherer bieten heute durchaus umfangreiche Deckungen an, doch müssen Unternehmen Risiken transparent machen und Präventionsmaßnahmen implementieren, um akzeptable Konditionen zu erhalten. Gleichzeitig bleibt der Markt dynamisch: neue Bedrohungen, höhere regulatorische Anforderungen und wachsende Datenmengen führen dazu, dass Risikoanalyse, Underwriting und Versicherungsprodukte kontinuierlich weiterentwickelt werden.

Zur Person: Daniela Kainz ist geschäftsführende Gesellschafterin bei VerCon Wirtschaftsberatung GmbH. VerCon ist bereits seit mehr als 30 Jahren beratend in der Versicherungsbranche tätig. Die Kernkompetenzen liegen im Risikomanagement, in der Versicherungsberatung und im Schadensmanagement. Branchenlösungen von VerCon bestehen in den Bereichen Kunst-, Industrie- und Immobilienversicherungen.