Silent Cyber beschreibt ein “stilles” oder auch ein sogenanntes nicht-affirmatives Cyberrisiko. Dies bedeutet, dass die Deckung von Schäden, die infolge eines Cyberangriffs entstehen, in Versicherungspolicen nicht ausdrücklich ein- oder ausgeschlossen ist. Es wird sich also darüber ausgeschweigen. Das kann im Schadensfall problematisch werden.
In den letzten Jahren ist das Interesse an Cyberversicherungen gestiegen. Laut dem GDV sichern sich kleine und mittlere Unternehmen immer häufiger gegen Bedrohungen aus dem Internet ab. Im Jahr 2020 gaben immerhin 35 Prozent der kleinen Unternehmen (2-10 Millionen € Umsatz) und 43 Prozent der mittleren Unternehmen (10-50 Millionen € Umsatz) an, bereits eine Cyberversicherung zu haben oder den Abschluss einer solchen zu planen.
Im Umkehrschluss heißt dies allerdings, dass die meisten Unternehmen den Nutzen einer Cyberversicherung noch nicht erkannt haben. Dabei stellen Cyberangriffe inzwischen das größte globale Geschäftsrisiko dar (laut Allianz Risk Barometer).
Aktuell setzen viele Unternehmen auf konventionelle Sach- und Haftpflichtpolicen, die mitunter auch Cyberschäden abdecken. Wenn diese Schäden jedoch nicht ausdrücklich ein- oder ausgeschlossen sind, besteht das “Silent Cyber” Risiko.
In einer Studie der Rating-Agentur Assekurata erklärten 74 Prozent der befragten Anbieter von Cyber-Versicherungen, dass konventionelle Sach- und Haftpflichtdeckungen ein erhebliches „Silent Cyber“- Risiko beinhalten (Studie: “Die große Cyberwelle kommt noch!”, 2019).
Konkrete Risiken von “Silent Cyber”
Was sind die Konsequenzen, wenn Cyberrisiken in einer Police nicht oder nur unzureichend berücksichtigt wurden, also “stille” Risiken sind? Dann ist bei Schäden aufgrund einer Cyberattacke nicht eindeutig, inwieweit diese Schäden abgedeckt sind. Oder ob sie überhaupt abgedeckt sind.
Das “Silent Cyber” Risiko betrifft sowohl Versicherungsunternehmen als auch Versicherte. So erklärt Marsh, ein internationales Industrieversicherungsmakler- und Risikoberaterunternehmen, dass sich Versicherungsunternehmen mit einem nicht-affirmativen Police-Wortlaut einem erhöhten Risiko aussetzen. Denn durch die fehlende Berücksichtigung potenzieller Cyberrisiken wird weder das erhöhte Risiko der Versicherten berechnet, noch wird die potenzielle Risikoaggregation im eigenen Portfolio bewertet.
Die Versicherten tragen ebenfalls ein erhöhtes Risiko, da viele konventionelle Sach- und Haftpflichtpolicen keine Schäden abdecken, die infolge einer Cyberattacke entstehen. Damit die Versicherten dieses erhöhte Risiko erkennen, sollte es jedoch explizit formuliert werden. Andernfalls glauben einige Versicherte, dass sie eine angemessene Deckung für Cyberrisiken haben, obwohl dies nicht der Fall ist.
Zudem können nicht-affirmative Formulierungen von den Versicherungsunternehmen unterschiedlich ausgelegt werden. Das kann im Schadensfall zu Rechtsstreitigkeiten führen.
Wie lassen sich Missverständnisse verhindern?
Für Versicherte empfiehlt es sich, zu überprüfen, ob Cyberschäden in ihren bestehenden Sach- und Haftpflichtpolicen explizit berücksichtigt und abgedeckt sind. Ist das nicht der Fall, empfiehlt es sich, dies nachzuholen. Zum Beispiel mit einer zusätzlichen, individuellen Cyberversicherung, die neben der finanziellen Schadensabdeckung auch sinnvolle Zusatzleistungen wie eine 24/7 Notfallhilfe oder präventive Schulungs- und Trainingsmaßnahmen bietet. Denn diese Maßnahmen helfen, Cyberangriffe einzudämmen oder im besten Fall ganz abzuwenden – und die besten Schäden sind immer die, die gar nicht erst entstehen.
Das sagt der Perseus-Experte
Milan Jarosch, Senior Channel Sales Manager und hauptsächlich verantwortlich für Versicherungsmakler, sagt dazu:
“Das Thema Silent Cyber ist ja hauptsächlich ein Versicherer-Thema, da sich hier ja potenzielle Risiken im Portfolio befinden, die zum einen aktuell (noch) nicht abschätzbar bzw. valide kalkulierbar sind und welche sich zum anderen nicht in der Prämie wiederfinden.
Für die Kunden ist das grundsätzlich erstmal positiv, da sie ja im Zweifel Versicherungsschutz für etwas genießen, wovon sie zumeist nichts wissen und für welchen sie auch nicht bezahlen. Negativ ist dies nur dann, wenn ein Kunde der Meinung ist, mit seiner Sach-/Haftpflichtpolice eine Cyberversicherung ‚abgeschlossen‘ zu haben. Dann könnte es natürlich ein böses Erwachen geben, da die Deckungsinhalte der gängigen Cyberversicherungen (oftmals weit) über die Deckung in diesem Bereich hinaus gehen. Dies ist in der Praxis jedoch eher ein theoretisches Szenario, da die Kunden ja in den meisten Fällen von ihrem betreuenden Makler entsprechend aufgeklärt wurden und sich somit der Deckungslücke im Bereich Cyber bewusst sein sollten.”