Die Cyber-Versicherung schreibt seit Ende der 1990er Jahre eine Erfolgsgeschichte, sie bietet Unternehmen Schutz für eines ihrer bedeutsamsten neuen Risiken. Dabei ist meiner Meinung nach die wichtigste Stellschraube im Management des volatilen Risikos die Transparenz, sowohl hinsichtlich der Deckung als auch der Exponierung. Bei Munich Re sind wir der Auffassung, dass die Cyberversicherung zwar Respekt und angemessenes Risikomanagement erfordert, das Risiko im Kern jedoch modellierbar und versicherbar ist. Dabei gelten zwei wesentliche Ausnahmen: Infrastrukturausfälle und Kriegsschäden. Abseits der teils intensiven Diskussionen über die konkrete Formulierung von Cyberwar-Ausschlüssen und um das marktverträglichste Tempo, sollten vorschnelle Kompromisse vermieden werden. Wer heute unbeabsichtigt Cyberwar-Gefahren deckt, bringt nicht nur die eigene Bilanz, sondern auch die Nachhaltigkeit des globalen Cyber-Markts in Gefahr. 

Bewaffnete Konflikte sind naturgemäß eine Angelegenheit der Regierungen. Es ist Aufgabe des Staates, einzugreifen und die Folgen insbesondere für die Bevölkerung, aber auch für die Wirtschaft zu mildern. Denn die Folgen sind so groß und weitreichend, dass die Privatwirtschaft ein solch ruinöses Risiko nicht tragen kann. Aus genau diesen Gründen sind Kriegsausschlüsse seit beinahe einem Jahrhundert ein akzeptierter Bestandteil bei Sachversicherungsdeckungen. Auch Cyber-Policen enthalten Kriegsausschlussklauseln, da die Branche auch hier nicht beabsichtigt, die Deckung auf kriegsähnliche Situationen auszuweiten.

Im Jahr 2010 machte Stuxnet deutlich, dass staatliche Akteure bereit dazu und in der Lage sind, mit Hilfe von Informationstechnologie in internationale Konflikte einzugreifen, um ihre taktischen oder strategischen Ziele zu erreichen. Im Gegensatz zu Stuxnet verursachte der Cyberangriff NotPetya im Jahr 2017 weitreichende Schäden, die über das vermeintliche Ziel, die Ukraine, hinausgingen. Diese führten zu erheblichen Störungen in vielen Branchen und Lebensbereichen. NotPetya markierte damit einen Wendepunkt für die Cyber-Versicherungsindustrie, da dieser Angriff die reale Möglichkeit katastrophaler nicht-physischer Schäden durch einen Staat verdeutlichte. Es zeigte sich, dass Ausschlüsse, insbesondere in „all risk“-Sachversicherungen, die sich primär auf konventionelle Aspekte der Kriegsführung (wie die Zerstörung von Eigentum) zwischen Staaten konzentrierten keine ausreichende Klarheit boten und nicht geeignet waren, um die potenziell katastrophalen Auswirkungen von feindlichen Cyberangriffen durch staatliche Akteure zu erfassen. In einigen Fällen hat dies zu langwierigen Rechtsstreitigkeiten geführt, da die beabsichtigte Deckung in solchen Policen nicht eindeutig war. 

Angesichts der Tatsache, dass ein "Cyber-Krieg“ ohne oder mit physischen Komponenten mittlerweile real möglich ist, muss nun auch der Markt über die aus der Sachversicherung entlehnten Ausschlüsse hinauszugehen. Verschiedene Vertreter und Begleiter der Branche haben sich um Lösungen bemüht, die für Klarheit sorgen und somit eine breite Akzeptanz auf dem Markt finden können. Aus dem Umgang mit früheren Herausforderungen ist klar, dass die Entwicklung geeigneter Vertragsformulierungen dabei nur in Zusammenarbeit und unter Abwägung der Interessen aller Beteiligten möglich sein wird.

Als Ergebnis einer ersten Initiative veröffentlichte die Lloyd's Market Association (LMA) im November 2021 aktualisierte Kriegsausschlüsse für kommerzielles Cybergeschäft. Diese vorgeschlagenen Wordings und auch die nachfolgenden zielen darauf ab, deutlich zu machen, was nicht gedeckt ist: Exponierungen (1) aus bewaffneten Konflikten zwischen Nationalstaaten und damit einhergehende Cyberangriffe, (2) sowie aus von Regierungen initiierten feindlichen Cyber-Angriffen gegen ein anders Land, die kriegsähnliche Auswirkungen haben könnten. Diese Abgrenzung soll sicherstellen, dass Cyberangriffe wie Spionage, "Hacktivism" und Angriffe aus kriminellen Motiven, nicht unbeabsichtigt von den neuen Ausschlüssen erfasst werden. Gleichzeitig wird durch die neuen Wordings bestätigt, dass katastrophale nicht-physische feindliche Angriffe eines Staates eindeutig ausgeschlossen bleiben.

Diesem ersten Schritt der LMA, der unterstützt von Versicherern und Rückversicherern – darunter Munich Re - zu mehr Klarheit in dieser Frage führen soll, schloss sich im Markt eine breitere Diskussion an. Es folgten weitere Initiativen, u.a. unsere gemeinsame Initiative mit Marsh, die ein besseres Verständnis der Intention hinter den ursprünglichen Entwürfen der LMA erreichen wollte. Ziel dieser und ähnlicher Initiativen ist es, so eindeutig wie möglich zu definieren und zu dokumentieren, was ein versichertes Ereignis ist - und was dagegen nicht. 

Aus Sicht von Munich Re ist die nachhaltige Entwicklung des Cyber-Versicherungsmarktes von hoher Priorität. Eine wichtige Voraussetzung dafür ist, dass die verwendeten Kriegsausschluss-Klauseln zweckmäßig sind. Angesichts der Ereignisse der vergangenen beiden Jahre wächst der Handlungsdruck. Die Erfahrungen im Zusammenhang mit der Pandemie, den Ereignissen am 11. September 2001 und im Umfeld des aktuellen Kriegs in der Ukraine sollten in der Branche Mahnung sein. Wir sollten als Branche handeln, um unsere Reputation – und unsere Bilanzen – zu schützen, indem wir sicherstellen, dass Vertragsformulierungen eindeutig sind. Dies gilt insbesondere in Bezug auf systemische Risiken. Munich Re sieht den Nutzen allgemein akzeptierter Marktlösungen. Gemeinsam mit Kunden und Maklern haben und werden bedeutende Risikoträger wie Munich Re weitere Lösungskonzepte diskutieren und entwickeln, in denen die Exponierung adäquat adressiert wird.  

Bei der Entwicklung des Cybermarkts ist der Umgang mit kritischen Herausforderungen bisher verhältnismäßig gut gelungen. Es war der richtige Schritt, die sogenannte Silent-Cyber-Exponierung aus der Sachversicherung heraus stärker transparent und explizit zu machen. Es war ein Meilenstein, den Ausfall kritischer Infrastrukturen wie Internet- und Stromversorgung als nicht-versicherbares Risiko zu identifizieren und aus den Cyber-Policen auszuschließen. Der Markt hat den Ransomware-Trend erkannt und schnell darauf reagiert. Die Branche hat dazu beigetragen, die Widerstandsfähigkeit der Industrie zu verbessern, indem sie Best Practices vorantrieb. Diese Anpassungsfähigkeit ist notwendig, um den Cybermarkt nachhaltig zu entwickeln, der zum Ende des Jahres 2022 weltweit auf rund 12 Mrd. US-Dollar angewachsen ist und der digitalisierten Welt wertvolle Präventions- und Risikotransferdienste bietet. 

Transparenz ermöglicht langfristige, nachhaltige Lösungen und ist somit im ureigenen Interesse aller Beteiligten. Kunden müssen jederzeit in der Lage sein, den Umfang ihres Versicherungsschutzes eindeutig zu verstehen. Versicherer müssen sicherstellen, dass sie keine Risiken eingehen, die möglicherweise ihre Fähigkeit beeinträchtigen, in Zukunft Versicherungsschutz anzubieten. Der gesamte Markt - Versicherer, Makler und Kunden - muss nun mit einer konsequenten und zeitnahen Umsetzung den nächsten Schritt in Richtung Transparenz gehen.