Cyberversicherungen befinden sich in einer Phase der Veränderung und Anpassung. Während das Jahr 2021 für die Anbieter mit einer Schaden-Kosten-Quote von fast 124 Prozent eine finanzielle Herausforderung darstellte, verbesserte sich die Situation im Jahr 2022 deutlich, mit einer gesunkenen Quote von 78 Prozent. Für das Jahr 2023 liegen noch keine Daten vor, aber aufgrund dieser dynamischen Entwicklung hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) neue Musterbedingungen für Cyberrisikoversicherungen veröffentlicht.

Die aktuellen Veränderungen im Bereich Cyberversicherungen berücksichtigen verschiedene Trends, darunter die verstärkte Nutzung von Homeoffice, die wachsende Relevanz von Cloud-Diensten und die Auswirkungen der Datenschutz-Grundverordnung (DSGVO), die zu erweiterten Schadensersatzansprüchen bei Datenlecks geführt hat.

Besonders kleine und mittlere Unternehmen neigen dazu, die Risiken aus dem Internet zu unterschätzen, während sie gleichzeitig das Sicherheitsniveau ihrer IT-Systeme überschätzen. Die grundlegende Struktur der Empfehlungen bleibt unverändert, aber es wurden Anpassungen vorgenommen, um aktuelle Trends und technologische Entwicklungen widerzuspiegeln und das Verständnis der Leser zu verbessern.

Eine wichtige Neuerung in den Musterbedingungen betrifft die Mitversicherung von Fernzugriffen auf die Unternehmens-IT. Zudem wurden die Obliegenheiten, die von versicherten Unternehmen zu erfüllen sind, neu formuliert, um den aktuellen technischen Standards gerecht zu werden und das Verständnis zu erleichtern.

Die Grundlage für ein angemessenes IT-Sicherheitsniveau bilden bekannte und einfach umzusetzende Maßnahmen wie regelmäßige Datensicherungen, die Verwendung starker Passwörter, die Einrichtung individueller Zugänge, der Einsatz von EDR-Lösungen, Firewalls und die zeitnahe Installation von Sicherheitsupdates.

Im Falle einer Datenschutzverletzung gemäß DSGVO sollen nun auch die Risiken hoher Schadensersatzzahlungen mitversichert werden. Dies gilt auch für Vorfälle bei Dienstleistern, bei denen gespeicherte Daten manipuliert, mit Schadsoftware infiziert oder unberechtigt zugänglich gemacht wurden. Jedoch bleibt ein kompletter Ausfall des Dienstleisters in der Regel nicht abgedeckt.

Es scheint, dass staatliche Cyberangriffe und Schäden, die eine direkte oder indirekte Folge eines erfolgreichen staatlichen Angriffs auf kritische Infrastrukturen sind, weiterhin nicht abgedeckt sind.

Die vom GDV veröffentlichten „Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung“ umfassen 35 Seiten und sind als PDF verfügbar. Es sei darauf hingewiesen, dass diese Bedingungen unverbindlich sind und von den Versicherungen nicht zwingend übernommen werden müssen.

Versicherer ziehen in der Regel die Musterbedingungen des GDV für die Entwicklung ihrer eigenen Cyberversicherungen heran, jedoch könnten sich die Deckungsinhalte am Ende unterschieden. Diese Anpassungen betreffen hauptsächlich Neuverträge oder bestehende Verträge, die nach Ablauf der aktuellen Vertragslaufzeit verlängert oder erneuert werden.