Ransomware, Cloud und AI 

Die neue Grenze der Versicherbarkeit


Ransomware, Cloud und AI: Die neue Grenze der Versicherbarkeit Studie

Cyberversicherung war lange ein Spezialprodukt für IT-nahe Risiken. Die Analyse von Adrien Currat, Joe Perry und Jeffery Yong für das Financial Stability Institute und die International Association of Insurance Supervisors zeigt jedoch: Aus dem Nischenthema ist eine Frage der wirtschaftlichen und finanziellen Stabilität geworden. Cyberangriffe können heute Zahlungsverkehr, Lieferketten, industrielle Produktion, Gesundheitsversorgung und kritische Infrastruktur gleichzeitig treffen. Die Versicherung kann dabei ein wichtiges Sicherheitsnetz bilden – aber sie bleibt lückenhaft, schwer zu bepreisen und im Extremfall selbst einem systemischen Risiko ausgesetzt.

Von einer technischen Sicht zum systemischen Risiko

Die zentrale Botschaft der Studie ist eindeutig: Cyberrisiko ist kein isoliertes IT-Problem mehr. Es ist ein operatives, finanzielles und zunehmend makroökonomisches Risiko. Digitale Abhängigkeiten haben die Schadenlogik verändert. Ein Angriff auf einen einzelnen Dienstleister, eine weit verbreitete Softwarekomponente oder einen Cloud-Anbieter kann in kurzer Zeit Hunderte oder Tausende Unternehmen treffen. Damit wird ein klassisches Versicherungsprinzip herausgefordert: Schäden sind nicht mehr zwingend unabhängig voneinander.

Die Autoren verorten die neue Gefahrenlage in mehreren, sich gegenseitig verstärkenden Entwicklungen: steigende technische Fähigkeiten der Angreifer, geopolitische Spannungen, zunehmende Digitalisierung, Konzentration bei digitalen Dienstleistern und fragile Lieferketten. Besonders relevant ist der Blick auf die sog. "künstliche Intelligenz" (Artificial Intelligence). Frontier-AI-Modelle können Schwachstellen schneller identifizieren, Abwehrprozesse automatisieren und Sicherheitsanalysen verbilligen. In falschen Händen können sie aber auch die Einstiegshürden für großskalige Angriffe senken.

Die Studie unterscheidet zwischen "malicious incidents" – also vorsätzlichen Angriffen wie Ransomware, Phishing, Datenexfiltration oder DDoS – und "non-malicious incidents", etwa technischen Ausfällen, Fehlkonfigurationen oder menschlichen Fehlern. Für die Versicherungswirtschaft ist diese Unterscheidung wichtig, weil beide Arten von Vorfällen unterschiedliche Ursache-Wirkungs-Ketten, unterschiedliche Datenlagen und unterschiedliche Kumulrisiken aufweisen. Der ökonomische Effekt kann jedoch in beiden Fällen massiv sein: Betriebsunterbrechung, Wiederherstellungskosten, Rechtsberatung, Regulierungsfolgen, Kundenentschädigung und Reputationsschaden.

Abb. 01: Anzahl und Kosten von Cybervorfällen [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 1, S. 4.]Abb. 01: Anzahl und Kosten von Cybervorfällen [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 1, S. 4.]

Was Cyberversicherung leisten kann – und was nicht

Cyberversicherung wird in der Studie nicht als Ersatz für Investitionen in Cybersicherheit verstanden, sondern als komplementäres Instrument. Sie kann finanzielle Schäden abfedern, die Wiederherstellung beschleunigen und Zugang zu spezialisierten Dienstleistungen schaffen. Moderne Versicherungspolicen enthalten häufig nicht nur die Zahlung eines Schadens, sondern auch "Incident Response", forensische Analyse, juristische Beratung, Krisenkommunikation und Unterstützung bei Benachrichtigungspflichten.

Die Deckung teilt sich typischerweise in First-Party- und Third-Party-Komponenten. First-Party-Deckung betrifft direkte Kosten des versicherten Unternehmens: Incident Response, Betriebsunterbrechung, Cybererpressung, Wiederherstellung von Daten und Systemen. Third-Party-Deckung betrifft Haftungs- und Verteidigungskosten gegenüber Dritten: Datenschutzansprüche, Netzwerksicherheits-Haftung, regulatorische Verteidigung, Zahlungsdaten oder Medienhaftung. Gerade diese Kombination macht Cyberversicherung zu einem hybriden Produkt zwischen Sach-, Haftpflicht-, Kriminalitäts- und Betriebsunterbrechungsdeckung.

Die Grenzen bleiben aber deutlich. Bestimmte Risiken werden nicht einheitlich gedeckt oder bewusst ausgeschlossen. Dazu zählen kontingente Betriebsunterbrechungen durch Ausfälle Dritter, Cyberdiebstahl ohne Systemkompromittierung, Krieg, Terrorismus, staatlich gestützte Cyberangriffe, bestimmte Infrastrukturausfälle oder körperliche Schäden und Sachschäden, die traditionell anderen Sparten zugerechnet werden. Für Kunden entsteht dadurch ein Paradox: Sie kaufen Schutz gegen digitale Risiken, müssen aber genau verstehen, welcher digitale Schadenfall tatsächlich unter die Police fällt.

DeckungsbausteinTypische InhalteKostenart
Incident ResponseForensik, Benachrichtigung, Rechtsberatung, PR, CallcenterFirst-party
BetriebsunterbrechungErtragsausfall und Mehrkosten während Wiederherstellung; teils auch bei Ausfall von Lieferanten First-party
CybererpressungReaktionskosten und gegebenenfalls Lösegeld zur Wiederherstellung von Zugriff oder DatenFirst-party
DatenwiederherstellungWiederherstellung oder Ersatz verlorener oder beschädigter Daten und SoftwareFirst-party
Regulatorische Verteidigung und Bußgelder Rechtskosten, Verteidigungskosten und, soweit rechtlich versicherbar, GeldbußenThird-party
Netzwerksicherheits- und DatenschutzhaftungAnsprüche Dritter nach Sicherheitsverletzungen oder DatenschutzvorfällenThird-party

Tab. 01: Ausgewählte Deckungsbausteine typischer Cyberpolicen [Quelle: Eigene Zusammenfassung basierend auf: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Table 1, S. 8]

Ein Markt, der wächst - aber dem Risiko hinterherläuft

Der globale Markt für Cyberversicherung hat in den vergangenen Jahren stark expandiert. Nach der Studie belief sich das weltweite Bruttoprämienvolumen im Jahr 2024 auf rund 15,3 Milliarden US-Dollar und hat sich seit 2020 ungefähr verdoppelt. Nordamerika bleibt der dominierende Markt mit rund zwei Dritteln der globalen Prämien, gefolgt von Europa und Asien/Ozeanien. Diese regionale Verteilung zeigt bereits eine erste Schutzlücke: Die Risiken sind global, die Versicherungsdurchdringung ist es nicht.

Nach der Ransomware-Welle während der Pandemiephase zogen viele Versicherer die Bedingungen an, verlangten bessere präventive Maßnahmen und erhöhten die Preise. Zuletzt hat sich die Preisdynamik jedoch gedreht: Neue Kapazitäten und striktere Underwriting-Anforderungen führten zu moderateren oder fallenden Prämien. Das bedeutet nicht, dass das Risiko gesunken ist. Es zeigt vielmehr, wie stark Marktpreise von Kapazität, Wettbewerb, Rückversicherungskosten und Risikoappetit abhängen.

Gerade für kleine Unternehmen kann die Versicherungsprämie erheblich sein. Die Studie illustriert die durchschnittlichen monatlichen Kosten in den USA für eine Deckung von einer Million US-Dollar mit 1.000 US-Dollar Selbstbehalt: Selbst Unternehmen ohne Mitarbeiter liegen bei rund 799 US-Dollar monatlich, Firmen mit 20 bis 49 Mitarbeitern bei rund 3.398 US-Dollar. Und um überhaupt versicherbar zu sein, müssen Unternehmen oft erst in Multifaktor-Authentifizierung, Offline-Backups, Patch-Prozesse, Endpoint Detection oder Notfallpläne investieren.

Abb. 02: Entwicklung des Cyberversicherungsmarkts und Prämienveränderungen [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 2, S. 6.]Abb. 02: Entwicklung des Cyberversicherungsmarkts und Prämienveränderungen [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 2, S. 6.]

Abb. 03: Durchschnittliche Prämien nach Unternehmensgröße in den USA [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 3, S. 6.]Abb. 03: Durchschnittliche Prämien nach Unternehmensgröße in den USA [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 3, S. 6.]

Ransomware bleibt der zentrale Schadenmotor

Die Studie beschreibt Ransomware als wichtigste Quelle von Cyberversicherungsschäden. Moderne Ransomware ist längst kein simples Verschlüsselungsprogramm mehr. Die Angriffe sind mehrstufige kriminelle Geschäftsmodelle: Eindringen, Ausbreiten, Datenabfluss, Verschlüsselung, Erpressung. "Double Extortion" kombiniert die Forderung nach Entschlüsselung mit der Drohung, gestohlene Daten zu veröffentlichen. "Triple Extortion" erhöht den Druck, indem Kunden, Lieferanten oder Mitarbeiter einbezogen werden.

Die Schadenstruktur ist dabei besonders versicherungsrelevant. Der größte Kostenblock entsteht häufig nicht durch das Lösegeld selbst, sondern durch Betriebsunterbrechung, Wiederherstellung, Forensik, Rechtsberatung, Kommunikationskosten und Folgeschäden in kritischen Lieferketten. Je stärker Produktion, Logistik, Zahlungsverkehr und Kundenschnittstellen digitalisiert sind, desto schneller wird aus einem IT-Ausfall ein operativer Stillstand.

Die Studie zeigt zugleich eine differenzierte Entwicklung: In wichtigen Märkten stabilisiert sich die Schadenhäufigkeit in manchen Segmenten oder geht sogar zurück, während die durchschnittliche Schadenschwere insbesondere bei großen Unternehmen steigt. Das passt zu einem Markt, in dem Sicherheitsanforderungen kurzfristig einfache Schadenfälle reduzieren können, aber große Unternehmen mit komplexen IT-Landschaften, Datenbeständen und Drittparteien weiterhin hohe Einzelschäden produzieren.

Abb. 04: Frequenz und durchschnittliche Schwere von Cyberversicherungsschäden in den USA [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 4, S. 7.]Abb. 04: Frequenz und durchschnittliche Schwere von Cyberversicherungsschäden in den USA [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 4, S. 7.]

Silent Cyber: Wenn Verträge mehr versprechen, als sie bepreisen

Ein zentrales Aufsichtsthema bleibt "non-affirmative coverage", oft als Silent Cyber bezeichnet. Gemeint sind Policen, in denen Cyberrisiken weder ausdrücklich eingeschlossen noch ausdrücklich ausgeschlossen sind. Dieses Schweigen ist für Versicherer gefährlich, weil Cyberereignisse dann Schäden in Versicherungssparten auslösen können, die nie für Cyberrisiken kalkuliert wurden.

Der Fall NotPetya aus dem Jahr 2017 ist in der Studie der Referenzpunkt. Obwohl es sich um einen Cyberangriff handelte, wurden rund 85 Prozent der versicherten Schäden über Sachpolicen geltend gemacht, die Cyberangriffe nicht ausdrücklich einschlossen oder ausschlossen. Für Versicherer bedeutet dies: Nicht nur das affirmative Cyberbuch ist relevant, sondern das gesamte Portfolio. Sach-, Haftpflicht-, Crime-, D&O- und Spezialsparten können gleichzeitig betroffen sein.

Regulatoren und Marktteilnehmer haben darauf reagiert. Lloyds forderte klarere Formulierungen, Aufsichten wie die Bank of England, EIOPA, NYDFS und die Bermuda Monetary Authority betonen die Pflicht, affirmative und non-affirmative Cyberexposures zu identifizieren, zu messen, zu limitieren und gegen den Risikoappetit zu berichten. Fortschritte sind sichtbar, aber die Studie verdeutlicht: Das Problem ist nicht erledigt. Cyberrisiko verändert sich schneller als viele Bedingungswerke.

Abb. 05: Überlappungen zwischen Cyberversicherung und anderen Versicherungssparten [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 5, S. 11.]Abb. 05: Überlappungen zwischen Cyberversicherung und anderen Versicherungssparten [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 5, S. 11.]

Silent AI: Die nächste Vertragsunschärfe

Die Studie erweitert die Silent-Cyber-Debatte um eine neue Frage: Entsteht mit künstlicher Intelligenz ein Silent-AI-Problem? AI kann Cyberangriffe skalieren, Phishing verbessern, Deepfakes realistisch machen, Schwachstellen schneller identifizieren und Social Engineering automatisieren. Gleichzeitig können AI-Systeme selbst Schadenursachen sein, etwa durch Modellmanipulation, Data Poisoning, fehlerhafte Ausgaben, Urheberrechtsverletzungen oder autonome Entscheidungen.

Versicherungstechnisch ist die Zuordnung schwierig. Ein AI-bedingter Schaden kann je nach Fall unter Cyber, Errors & Omissions, D&O, Produkthaftung, Sachversicherung oder andere Policen fallen. Genau darin liegt die Parallele zu Silent Cyber: Wenn AI-Risiken nicht sauber benannt werden, kann im Schadenfall unklar sein, ob die Police greift, welche Ausschlüsse gelten und welche Sparte das Risiko überhaupt getragen hat.

Die Studie vermeidet Alarmismus. AI wird nicht als völlig neue Risikokategorie verstanden, sondern häufig als Beschleuniger bestehender Cyber- und Kumulrisiken. Für Versicherer folgt daraus eine praktische Konsequenz: Bedingungen, Underwriting-Fragen und Szenarioanalysen müssen schneller aktualisiert werden. Eine Police, die heute plausibel wirkt, kann morgen bei AI-gestützter Angriffsgeschwindigkeit zu unpräzise sein.

Warum Cyberrisiko schwer zu bepreisen ist

Die Preisbildung ist der methodische Kern der Analyse. Klassische Schadenversicherung beruht auf historischen Daten, relativer Stabilität von Schadenverteilungen und möglichst unabhängigen Risiken. Cyberrisiko widerspricht diesen Annahmen. Die Datenlage ist begrenzt, fragmentiert und oft vertraulich. Viele Vorfälle werden aus Reputations- oder Rechtsgründen nicht vollständig gemeldet. Gleichzeitig verändern sich Angriffstechniken, Softwarearchitekturen, Cloud-Abhängigkeiten und Abwehrstandards laufend.

Die Studie spricht deshalb von Non-Stationarity: Vergangene Schadenmuster verlieren schneller an Prognosekraft. Ein Ransomware-Modus, der gestern dominant war, kann morgen durch eine neue Angriffskette, ein Zero-Day-Exploit oder eine AI-gestützte Kampagne abgelöst werden. Hinzu kommt die Interdependenz: Viele Unternehmen teilen dieselben Cloud-Anbieter, Betriebssysteme, Softwarebibliotheken, Managed-Service-Provider oder Zahlungsdienstleister. Das erzeugt verdeckte Korrelationen, die in klassischen Modellen leicht unterschätzt werden.

In der Praxis kombinieren Versicherer daher mehrere Methoden. Frequenz-Schwere-Modelle liefern eine erste technische Prämie, können aber Abhängigkeiten unterschätzen. Copula-Modelle versuchen gemeinsame Verteilungen und Korrelationen abzubilden. Netzwerkmodelle simulieren Ansteckungseffekte über digitale Knoten. Szenarioanalysen und Cyber-Katastrophenmodelle bilden extreme, korrelierte Ereignisse ab, für die es kaum historische Vorbilder gibt. Die finale Prämie bleibt dennoch kein reines Modellergebnis. Sie entsteht aus technischer Risikoabschätzung, Rückversicherungskosten, Wettbewerb, Kapazität und Risikoappetit.

Methodischer AnsatzBeitrag zur Kalkulation und Risikomodellierung
Frequenz-Schwere-/Aggregatmodell Erwartete Schadenanzahl und Schadenhöhe; bei Cyber allein oft zu schwach für Abhängigkeiten
Copula-basierte und stochatische ModelleAbbildung gemeinsamer Verteilungen und korrelierter Risikotreiber
NetzwerkmodelleSimulation von Contagion-Effekten zwischen digital verbundenen Organisationen
SzenarioanalyseBewertung extremer, plausibler Ereignisse wie Cloud-Ausfall, systemische Ransomware oder Software-Supply-Chain-Kompromittierung

Tab. 02: Methodische Preisbildungsansätze [Quelle: Eigene Tabelle basierend auf Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Table 2, S. 18]

Das eigentliche Extremrisiko: Kumulschaden

Die Studie formuliert die entscheidende aufsichtsrechtliche Sorge sehr klar: Das Kernproblem der Cyberversicherung ist nicht der durchschnittliche Ransomware-Fall, sondern das korrelierte Extremereignis. Ein großer Cloud-Ausfall, eine weit verbreitete Software-Schwachstelle, ein destruktiver Malware-Ausbruch oder ein Angriff auf kritische Infrastruktur kann viele Policen gleichzeitig treffen. Dadurch entsteht Kumulrisiko: ein Ereignis, viele Versicherungsnehmer, mehrere Sparten, mehrere Jurisdiktionen.

Ein Kumulrisiko widerspricht dem klassischen Diversifikationsgedanken. In der Sachversicherung kann ein Versicherer Risiken über Regionen und Branchen streuen. Bei Cyber kann dieselbe digitale Abhängigkeit jedoch unter vielen scheinbar unterschiedlichen Risiken liegen. Unternehmen aus verschiedenen Ländern und Branchen können denselben Cloud-Provider, dieselbe Authentifizierungssoftware oder denselben Managed-Service-Provider nutzen. Für das Underwriting reicht es daher nicht, einzelne Versicherungsnehmer isoliert zu bewerten.

Die Konsequenzen sind ambivalent. Versicherer müssen Kumulrisiken mit Limits, Sublimits, Ausschlüssen, Selbstbehalten, Rückversicherung und Stresstests begrenzen. Diese Instrumente stabilisieren die Solvenz, können aber gleichzeitig die Schutzlücke vergrößern. Je genauer Versicherer systemische Risiken ausschließen oder begrenzen, desto weniger Schutz bleibt dort, wo Volkswirtschaften ihn am dringendsten bräuchten.

Die Schutzlücke: Das größte politische Problem

Die Lücke zwischen realen Risken und Versicherungsschutz ist nach der Studie erheblich. Schätzungen zufolge ist nur rund ein Prozent der weltweiten wirtschaftlichen Cyberverluste durch Cyberversicherung gedeckt; im Umkehrschluss bleiben etwa 99 Prozent unversichert. Besonders groß ist die Lücke in Schwellen- und Entwicklungsländern sowie bei kleinen und mittleren Unternehmen. In Nordamerika und Europa kaufen schätzungsweise 60 bis 70 Prozent der großen Unternehmen Cyberdeckung, aber nur 10 bis 20 Prozent der SMEs.

Die Gründe liegen stärker auf der Nachfrage- als auf der Angebotsseite. Versicherer berichten grundsätzlich über Kapazität, den Markt auszuweiten. Doch die Nachfrage wächst nicht im gleichen Tempo wie das Risiko. Das Marktwachstum verlangsamte sich laut Studie von einer sehr hohen Wachstumsphase zwischen 2017 und 2022 auf einstellige Raten seit 2022. Damit droht die paradoxe Lage: Die Verfügbarkeit von Cyberversicherung steigt, die Schutzlücke aber ebenfalls.

Die Hindernisse sind konkret. Viele Unternehmen kennen Cyberversicherung nicht, verstehen das Produkt nicht, vertrauen der Deckung nicht oder halten sie für zu teuer. Eine Umfrage der Munich Re, auf die sich die Studie stützt, nennt als wichtigste Gründe: Preis der Cyberdeckung, fehlendes Wissen über die Existenz des Produkts, mangelndes Produktverständnis, unzureichender Leistungsumfang und fehlendes Vertrauen. Für kleinere Unternehmen ist die Kombination besonders schwierig: begrenztes Budget, geringe interne IT-Kompetenz, komplexe Bedingungen und hohe Anforderungen an Mindest-Cyberhygiene.

Abb. 06: Gründe für den Verzicht auf Cyberversicherung [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 6, S. 25.]Abb. 06: Gründe für den Verzicht auf Cyberversicherung [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 6, S. 25.]

Abb. 07: Stilisiertes Modell der Cyber-Schutzlücke [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 7, S. 28.]Abb. 07: Stilisiertes Modell der Cyber-Schutzlücke [Quelle: Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026, Graph 7, S. 28.]

Was die Studie als Lösung skizziert

Die Studie plädiert nicht für einen uneingeschränkten Ausbau des Cyberversicherungsmarktes. Vielmehr sollte weiteres Wachstum umsichtig, risikoorientiert und unter Berücksichtigung der strukturellen Grenzen privater Versicherbarkeit erfolgen. Denn nicht jedes Cyberrisiko lässt sich wirtschaftlich sinnvoll absichern. Insbesondere staatlich unterstützte Cyberangriffe, Cyberterrorismus oder großflächige Ausfälle kritischer Infrastrukturen können aufgrund ihres systemischen Charakters, ihrer hohen Korrelation und der schwierigen Quantifizierbarkeit Schadensdimensionen erreichen, die die Risikotragfähigkeit privater Versicherer übersteigen.

Für versicherbare Risiken empfiehlt die Analyse einen Multi-Stakeholder-Ansatz. Regierungen können Cyberhygiene über Standards, Bildung und Regulierung fördern. Versicherer können Prämien und Bedingungen stärker an wirksame Sicherheitsmaßnahmen koppeln. Aufsichten können klare Vertragsformulierungen, aussagekräftige Expositionsdaten, Stresstests und risikobasierte Preisbildung einfordern. Unternehmen müssen verstehen, dass Versicherung nur dann wirksam ist, wenn sie auf operativer Resilienz aufsetzt.

Für schwer oder nicht versicherbare Kumulrisiken kommen öffentlich-private Partnerschaften in Betracht, etwa Cyberterrorismus-Pools oder staatliche Backstops. Die Studie betont aber die Gefahr von Moral Hazard. Ein staatlicher Rückhalt darf nicht dazu führen, dass Versicherer oder Versicherungsnehmer weniger in Risikoreduktion investieren. Sinnvoll sind deshalb Modelle, in denen private Versicherer einen Teil des Risikos behalten, Zugang zu Backstops an Mindeststandards geknüpft ist und Regierungen ihre Rolle vorab klar definieren.

Fazit: Cyberversicherung ist Sicherheitsnetz, nicht Schutzschild

Die FSI/IAIS-Analyse ist vor allem eine Warnung vor falscher Sicherheit. Cyberversicherung kann finanzielle und operative Folgen eines Cybervorfalls abfedern, Recovery beschleunigen, Risikobewusstsein schaffen und Cyberhygiene incentivieren. Sie kann aber weder schlechte Sicherheitsarchitektur noch fehlende Notfallpläne kompensieren. Je digitaler die Wirtschaft wird, desto mehr hängt die Versicherbarkeit von der Resilienz der versicherten Systeme ab.

Der Markt steht damit vor einem Balanceakt. Zu lockeres Underwriting und zu niedrige Prämien gefährden die Solvenz der Versicherer und gefährden damit auch das Vertrauen in Versicherungslösungen. Zu enge Ausschlüsse, hohe Preise und geringe Limits vergrößern die Schutzlücke. Zwischen diesen Polen liegt die eigentliche Aufgabe: klare Bedingungen, bessere Daten, realistische Szenarien, robuste Kapitalmodelle und ein Preissignal, das nicht nur Risiko transferiert, sondern Risiko reduziert.
Cyberversicherung ist damit weniger eine Police gegen Hacker als ein Baustein digitaler Stabilitätspolitik. Ihr Wert zeigt sich nicht nur im Schadenfall, sondern im Vorfeld: Wenn Underwriting Unternehmen zwingt, ihre Abhängigkeiten zu verstehen, Backups zu prüfen, Drittparteien zu bewerten und Krisenprozesse zu üben. Genau darin liegt die Chance des Marktes – und seine Grenze.

Quellenverzeichnis:

  • Currat, Adrien / Perry, Joe / Yong, Jeffery (2026): Cyber insurance unpacked: the corporate digital safety net (FSI Insights on policy implementation, No 75), June 2026.

 

[ Bildquelle Titelbild: Generiert mit AI ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.