Zaffino warnt deutsche Risikomanager vor einem anhaltend schwierigen Cyber-Markt

Peter Zaffino, CEO von AIG, ist der jüngste führende Vertreter der Versicherungswirtschaft, der eine Abschwächung des Cyber-Versicherungsmarktes klar ausschließt, denn die Versicherer sichern Risiken in einer Sparte ab, die immer größeren und schwer vorhersehbaren Schadensfällen ausgesetzt ist.

Zaffino wies die zum virtuellen GVNW-Symposium versammelten deutschen Versicherungsmanager während seines Vortrags am Donnerstagabend darauf hin, dass die zurzeit schwierigen Marktverhältnisse noch einige Zeit andauern werden.

Die Münchener Rück hatte bereits Anfang der Woche erklärt, dass sie ihren Marktanteil in der Cyber-Sparte zwar erhöhen möchte, aber nur über eine gezielte Risikoauswahl, höhere Preise und verbesserte Standards bei der Schadensprävention und beim Risiko-Engineering.

Peter Zaffino sagte, Cyber-Risiken seien nicht mit herkömmlichen Risiken wie Wirbelstürmen vergleichbar. Er wies darauf hin, dass ein Gebäude, das durch einen Wirbelsturm beschädigt wird, so wieder aufgebaut werden kann, dass es künftigen Stürmen standhält. Der Wind sucht nicht nach anderen Wegen, um in das Gebäude einzudringen und Schaden anzurichten. „Das jedoch passiert bei Cyber-Angriffen“, sagte er.

AIG hat seine Risikolimits für Cyber-Versicherungen stark reduziert, als die Preise in 2019 in die Höhe schnellten. Zaffino hat die Vorgehensweise des Versicherers in einem Markt, der sich in letzter Zeit aufgrund der Zunahme von Ransomware-Angriffen und einer wachsenden Wahrnehmung des potenziellen Ausmaßes des systemischen Risikos dramatisch verändert hat, stets verteidigt.

„Bei jeder Telefonkonferenz nach unseren Quartalsberichten werde ich gefragt, ob die Prämien steigen oder sinken werden. Diese Frage lässt sich unmöglich beantworten, da sie von der Rentabilität und den Konditionen abhängt… Cyber ist keine probabilistische Sparte, sondern eher eine deterministische. Man muss den Sektor, das Segment und das Risiko verstehen, um eine Prämie bestimmen zu können. Es liegt im Auge des Betrachters. Die derzeitige Situation im [Cyber-]Markt dürfte noch eine Weile anhalten“, fügte Zaffino hinzu.

Alexander Mahnke, Vorstandsvorsitzender des GVNW, erinnerte Peter Zaffino in aller Höflichkeit an die schwierige Lage, in die die Kunden durch den plötzlichen Verlust von Cyber-Kapazitäten und den sprunghaften Anstieg der Prämien (wie bei der D&O-Versicherung) bei den jüngsten Erneuerungsrunden geraten waren. Mahnke hat die Marktteilnehmer immer wieder daran erinnert, dass es noch nicht lange her ist, dass Versicherer wie AIG sich überschlagen haben, um Cyber-Deckungen zu einem sehr günstigen Preis anzubieten.

Zaffino räumte ehrlich ein, dass AIG zum Höhepunkt der kürzlich zu Ende gegangenen Marktschwäche genauso wie die meisten anderen führenden Versicherern im Grunde genommen die Kontrolle über die Underwriter verloren hatte und überhöhte Limits anbot, ohne die zugrundeliegenden Schadenskosten wirklich einzukalkulieren. Die Rückkehr zu einem realistischeren und stabileren Underwriting-Ansatz – wenn auch mit verringerten Limits und höheren Prämien – sei eigentlich für alle Marktteilnehmer von Vorteil, meinte er.

„Im Cyber-Bereich gab es überall Kapazitäten, weil es keine Verluste gab… aber das systemische Cyber-Risiko lässt sich einfach nicht begreifen. Man muss sich gegen die Risikohäufigkeit und das Risikoausmaß schützen, das Risikomanagement muss sehr rigoros sein und man muss verstehen, dass letztlich nicht alle Risiken abgedeckt werden können. Wenn man am Ende Schaden nimmt, weil man das Risiko nicht versteht, kann man den Kunden gegenüber nicht zuverlässig auftreten“, so Zaffino.

Der CEO von AIG fügte hinzu, dass seiner Ansicht nach in absehbarer Zeit keine Überkapazitäten im Cyber-Markt entstehen werden, und sei es nur, weil die führenden Rückversicherer weniger Interesse an der verlustreichen Sparte haben. „Ich glaube nicht, dass sich die Marktsituation von heute aus ändern wird“, fügte er hinzu.

Peter Zaffinos Ausführungen auf dem GVNW-Symposium erfolgten einige Tage, nachdem Thorsten Jeworrek von Munich Re klargestellt hatte, dass der Rückversicherungsriese zwar weiterhin eine führende Rolle auf dem Cyber-Markt einnehmen werde, dass aber ein stärkerer Fokus auf Schadensprävention und Risiko-Engineering gelegt werden müsse und dass billige Kapazitäten nicht die Lösung seien.

Die Nachfrage nach Cyber-Deckungen steigt weiter an, aber Munich Re hat deutlich gemacht, dass die Kunden bei diesem geschäftskritischen Risiko umdenken müssen.

„Wegen der großen ökonomischen Bedeutung von Cyber-Risiken nimmt die Nachfrage nach Cyber-Versicherungen deutlich zu, die wegen der dynamischen Entwicklung der Risiken aber besondere Expertise erfordern“, erklärte Munich Re.

„Während des Digitalisierungsschubs durch die Corona-bedingten Lockdowns nahmen Cyber-Angriffe drastisch zu, und sie werden immer ausgefeilter. Insbesondere die Schäden durch so genannte Ransomware-Angriffe steigen stark – ein Trend, der vermutlich anhalten dürfte“, so der Rückversicherer weiter.

Munich Re führte aus, dass angesichts zunehmender Schäden die Preise für Cyber-Versicherungen deutlich angezogen, und Risikoträger ihre Kapazität begrenzt hätten. Dabei sei der Bedarf an Versicherungs- und Servicelösungen sehr groß: Viele Unternehmen seien wegen der zunehmenden Cyberattacken besorgt. Zugleich hätten in der ersten „Global Cyber Risk and Insurance“-Studie von Munich Re vier Fünftel der befragten Top-Manager angegeben, ihr Unternehmen sei nicht ausreichend geschützt, weshalb ein neuer Ansatz in dieser Sparte erforderlich sei.

„Um der Dynamik des Risikos und den sich ständig ändernden Trends gerecht zu werden, baut Munich Re ihr Netzwerk und Partnerschaften weiter aus. So wird Munich Re’s eigene Expertise in der Modellierung von Cyber-Risiken durch Zugang zu Daten und Technologien weiter gestärkt. In Zusammenarbeit mit Kunden entstehen Lösungen, die weit über traditionelle Ansätze hinausgehen und neben maßgeschneiderten Cyberdeckungen auch Services zur Vorbeugung und zur Bewältigung eines Angriffs umfassen (so genannte Pre- und Post-Incident-Services). Solche Beratungsangebote zur Begrenzung von Schäden werden im Paket mit Versicherungsdeckungen gerade angesichts der zunehmenden Ransomware-Attacken immer wichtiger. So werden die Standards in der Cyber-Sicherheit erhöht und Risiken besser versicherbar“, erläuterte Munich Re.

Laut Munich Re gibt es keinerlei Anzeichen für eine Marktabschwächung in dieser Sparte.

„Durch strikte Risikoselektion und ein ausbalanciertes Portfolio bleiben die steigenden Ransomware-Schäden im Buch von Munich Re gut beherrschbar. Aktuell wirken zudem Preisanstiege im sich verhärtenden Marktumfeld ausgleichend. Munich Re plant unverändert, ausgehend vom derzeitigen Marktanteil von etwa 10 % profitabel zu wachsen“, teilte der Versicherer mit.