Sachschäden, Naturkatastrophen, Regelverstöße: Betriebsunterbrechungen haben verschiedene Auslöser, dementsprechend unterschiedlich sind die aktuell erhältlichen Versicherungsprodukte. Spätestens seit WannaCry und NotPetya ist zudem klar: Auch Cyberangriffe können den Geschäftsbetrieb empfindlich stören oder sogar zum Erliegen bringen. Die Deckungskomponente „Betriebsunterbrechung“ ist somit ein unverzichtbarer Bestandteil in Cyberpolicen.

In den USA zählen Cyberversicherungen bereits seit Jahren zum Markstandard. Die vergleichsweise hohe Marktdurchdringung ist vor allem auf die strikte Datenschutzgesetzgebung und Berichtspflicht bei Datenlecks oder Datenschutzverletzungen zurückzuführen.

Sehr häufig auftretende Betriebsunterbrechungen nach einem Cyberangriff haben dann die Notwendigkeit gezeigt , auch diese Komponente in eine Cyberpolice zu integrieren. 

Cyberpolicen werden aktuell weltweit in erster Linien als Kombinationsprodukt angeboten. Es handelt sich hierbei um eine Mischung aus Eigen- und Fremdschadenkomponenten wie Datenwiederherstellung, Forensik, Krisenkommunikation, Lösegeldzahlungen, Haftungsansprüche durch Dritte und auch finanzielle Verluste durch Betriebsunterbrechungen. Analog zu anderen Haftpflicht-Versicherungssparten vereinbaren die Vertragspartner in der Regel eine pauschale Deckungssumme für alle Elemente.

Unterschiede gibt es dagegen bei der Berechnung der Versicherungssumme: In der traditionellen Sach-Betriebsunterbrechungsversicherung basiert diese auf einer detaillierten Aufschlüsselung des geplanten Betriebsgewinns und der feststehenden Kosten eines Unternehmens – beides wird vor Abschluss der Police ermittelt. Im Gegensatz dazu gilt in der Cyberversicherung pauschal für alle Deckungskomponenten eine feste, maximale Deckungssumme. Oft ist dabei vom versicherten Unternehmen nur der Umsatz bekannt. Im Schadenfall kann es deshalb sehr aufwändig sein, die fällige Versicherungsleistung zu definieren. Um Prozesse zu vereinfachen, greifen Versicherer daher gerade im gewerblichen Bereich häufig auf eine vorab vereinbarte Entschädigungssumme pro Tag zurück.

Ein weiterer Unterschied: Während die klassische BU-Deckung, zum Beispiel durch einen Feuer- oder Naturkatastrophenschaden ausgelöst, über mehrere Jahre andauern kann, sind Betriebsunterbrechungen in der Cyberpolice meist auf einen deutlich kürzeren Zeitraum ausgelegt. Erstere sieht deswegen zeitliche Selbstbehalte im Bereich von Tagen und Monaten vor, wo hingegen diese bei Cyberdeckungen im Stundenbereich liegen. Auch die räumliche Komponente trennt die beiden Policen: Sach-Betriebsunterbrechungsschäden sind regional beschränkt. Cyberattacken hingegen können weltweite Unterbrechung gleichzeitig in allen Betriebsstätten und Büros auf einmal auslösen. Das Ausmaß des Schadens wird dadurch deutlich erhöht.

Als einer der wenigen Deckungskomponenten in der Cyberversicherung ist die Betriebsunterbrechung auch sehr anfällig für das systemische Risiko. Denn viele Unternehmen verwenden ähnliche oder gleiche Software- oder Steuerungskomponenten. Ein gezielter Angriff darauf kann nicht nur zu einem einzelnen Betriebsstillstand führen, sondern weltweit eine sehr große Anzahl an Firmen gleichzeitig in die Knie zwingen. Vor allem ein gezielter Cyberangriff auf kritische Infrastruktur wie auf die Stromversorgung oder Telekommunikationstechnologie eines oder mehrerer Länder hätte Betriebsunterbrechungen bei allen Firmen gleichzeitig zur Folge. Bei Munich Re stufen wir dies als ein derzeit nicht versicherbares Kumulrisiko ein.

Sind im Rahmen einer Cyberversicherung auch Rückwirkungsschäden inkludiert, kann sich das oben beschriebene systemische Risiko noch deutlich verstärken. In diesem Fall erhielte das versicherte Unternehmen eine Entschädigung für Betriebsunterbrechungsschäden, die dadurch entstehen, dass ein Zulieferer aufgrund eines Cyberschadens Leistungen oder Produkte nicht liefern konnte. Beispielhaft sei hier ein Cloud-Service-Provider genannt, der seine Kapazitäten aufgrund eines Cyberangriffs vorübergehend nicht anbieten kann, was wiederum bei Gewerbekunden einen Produktionsstopp verursacht.

Derartige Rückwirkungsschäden sollten nicht standardmäßig, und nur unter bestimmten Voraussetzungen gedeckt werden. Entscheidend ist, dass die Risikosituation der entsprechenden Zulieferer transparent ist und sich das Eintrittsrisiko einschätzen lässt. Aus diesem Grund ist es sinnvoll, Rückwirkungsschäden ausschließlich für direkte Vertragspartner des Versicherungsnehmers zu inkludieren, und Zulieferer der zweiten und dritten Ebene explizit auszuschließen.

Bei der Einschätzung von Betriebsunterbrechungs-Risiken durch Cyberangriffe sollte das Underwriting demnach insbesondere auf den Deckungskatalog für Rückwirkungsschäden achten. Eine Netzwerksicherheitsverletzung durch Schadsoftware wäre beispielsweise noch zu decken, während mit der Versicherung eines Systemausfalls beim Zulieferer eine extreme Ausweitung des Risikos einherginge. Vernünftige Sublimite helfen, das Risiko bei Rückwirkungsschäden einzugrenzen. Im Umkehrschluss ist ein nicht beschränktes Risiko aufgrund seines Kumulpotenzials nahezu unkalkulierbar.

Oft zieht ein Cyberabgriff nicht nur eine Betriebsunterbrechung und somit Umsatzeinbußen nach sich, sondern beschädigt auch die Reputation des Unternehmens. Ausbleibende Umsätze, die aus einem erfolgreichen Cyberangriff resultieren, gelten jedoch nicht als Betriebsunterbrechung. Verliert also eine Supermarkt-Kette nach dem Leak aller Kunden-Kreditkartendaten einen Teil ihrer Kundschaft und damit Einnahmen, käme eine spezielle Cyber-Reputationsschaden-Deckung zum Einsatz.

Die Herausforderung bei diesem Deckungskonzept besteht darin, vernünftige Schadentrigger zu definieren und sich bereits im Vorfeld über die Regulierung der Schadenhöhe im Schadenfall Gedanken zu machen. Derzeit sehen wir diese Deckung aber vor allem als Individuallösung im Großkundensegment.

Im Zuge der Digitalisierung verändern sich Cyberrisiken und Schadenszenarien schnell und kontinuierlich. Um adäquate Versicherungsprodukte für die Betriebsunterbrechung durch Cyberereignisse anzubieten, ist eine kontinuierliche Beobachtung der aktuellen Entwicklungen und Märkte unabdingbar. Dies vorausgesetzt, sind die neuen Cyberrisiken kein unüberwindbares Hindernis, sondern eine Herausforderung , die die MR als Marktführer gerne annimmt.