Mehr als ein Dutzend glückliche Mitglieder, Studenten und Gäste aus Deutschland und der Schweiz sowie zahlreiche Gäste aus London erlebten Ende September eine in jeder Hinsicht großartige Fachkreistagung. Bereits an dieser Stelle einen herzlichen Dank an unseren Gastgeber Liberty Specialty Markets. Die atemberaubende Perspektive über London aus den bodentiefen Fenstern der Tagungsräume von Liberty, nur wenige Meter unterhalb des berühmten Sky Gardens, kulinarische Köstlichkeiten und selbstverständlich Vorträge und Austausch auf mindestens ebenso hohem Niveau wie der Ausblick haben zu einer großartigen Fachkreistagung geführt, die alle Teilnehmer, inklusive der Referenten, so deren Feedback, sehr genossen haben. Nachfolgend eine Zusammenfassung der Inhalte; eine komplette Berichterstattung über die komplexen Inhalte würde den Rahmen sprengen. Werfen Sie aber gerne als Mitglied einen Blick in den internen Teil der der VVB-Website, wo wir alle Präsentationen für Sie abgelegt haben. Es lohnt sich.

Als Fazit der Veranstaltung/Executive Version: Hyperaktive, zunehmend professionellere Hacker und Trittbrettfahrer haben die Branche in Bedrängnis gebracht, insbesondere durch Ransomwareangriffe, die seit 2019 massiv zugenommen haben. Aber sowohl Unternehmen als auch Versicherer haben ebenfalls IT-technisch und hinsichtlich Know-how aufgerüstet, verstehen Ransomware besser und konnten die Welle in 2022 erfreulicherweise zum Abflachen bringen – bislang zumindest. Der Rückversicherungsmarkt liefert, mit der gebotenen Vorsicht, insbesondere, was systemische Risiken angeht, was bedeutet, dass Kapazität knapper und teurer und der Informationsbedarf hinsichtlich der beim VN vorgehaltenen IT-Security größer wird. Die Tage, da IT-Security durch Versicherungsschutz substituiert werden konnte, scheinen endgültig gezählt.

Bei allen Herausforderungen: Das von fast allen Referenten erwartete solide Wachstum in Cyber (+ 20% p.a.) sucht in der Branche seinesgleichen. Bis 2025 wird sich das heutige Prämienvolumen weltweit und auch in Deutschland mindestens verdoppelt haben. Aus Schaden wird man klug, und insofern haben die stark gestiegenen Schäden von 2019 bis 2021 auch positive Aspekte. Der Prozentsatz der Fälle, in denen durch professionelles Krisenmanagement, insbesondere der Versicherer, KEIN oder deutlich reduziertes Lösegeld gezahlt wurde, ist erheblich gestiegen von 15% auf über 50%.

Rück- und Erstversicherungsmärkte entwickeln sich rasant weiter, investieren in Know-how und nutzen die Möglichkeiten von Digitalisierung, Machine-Learning und KI. Versicherer, die nicht bereit sind, diese Investitionen selbst zu tätigen, sind bei einem soliden MGA (Managing General Agent) oder in einer Kooperation vielleicht besser aufgehoben.

Cyberversicherung ist gekommen, um zu bleiben, weil auch Hacker gekommen sind, um zu bleiben, und deren „beste“ Tage kommen angesichts 5G, IoT, lückenloser Vernetzung usw. erst noch.

Die besten und für die Kunden wichtigsten Tage der Cyber- (Rück-)Versicherung liegen noch vor uns.

Matthew Tibbs, Reinsurance Manager Cyber, Hiscox

Matthew Tibbs erläuterte im Detail, wie Hiscox auf die aktuellen und grundsätzlichen Herausforderungen des Cybermarktes reagiert. Ausbildung, intensives internes Training, ein umfangreiches Sortiment an Pricing- und Exposure-Tools spielten eine wichtige Rolle, aber auch Kooperation mit externen Spezialisten. Rückversicherung sei wichtig, sei aber nur ein Teil der Antwort; Risikosselektion, Exposure-Management und Underwriting-Discipline seien Schlüsselbereiche für einen erfolgreichen Betrieb der Branche.

Basierend auf der umfangreichen Schadenerfahrung und kontinuierlichem Risiko-Monitoring der Bestände bemüht sich Hiscox auch um proaktive Risikominimierung.

Interessante Diskussionen hierzu mit den Teilnehmern, auch hinsichtlich Ransomware und Support seitens Hiscox bei konkreten Bedrohungen wie Log4J usw. Hinsichtlich des deutschen Marktes hofft Hiscox auf Verständnis der Kunden für die Anpassungen (Preiserhöhungen, Anpassung Konditionen, neue Wege in der Betriebsunterbrechungsversicherung), die letztlich dazu führen sollen, dass Hiscox auch in den nächsten Jahren verlässlicher, nachhaltiger Partner sein kann.

Marco Henrique, Head of Cyber Continental Europe, Guy Carpenter

Über alle Branchen sind lt. Schätzungen von Guy Carpenter die Preise für Cyber-Deckungen in Kontinental-Europa seit 2019 um 81% gestiegen; demgegenüber ist die theoretische Cyber-Kapazität von ca. 720 Mio. Euro in 2019 auf ca. 450 Mio. Euro Ende 2021 gefallen. Der Trend für das 2. HJ 2022 zeigt positive Signale. Der Preisanstieg wird vermutlich flacher oder Preise bleiben stabil. Nach verhaltenem Wachstum im 1. HJ 2022 wird Wachstum im 2. HJ 2022 erwartet. Nach staatlichen Interventionen und verstärkten Ransomware-Schutzmechanismen scheint die Ransomware-Welle etwas abzuflachen. Neue Marktteilnehmer (InsureTechs, MGAs) international und in Deutschland (z. B. Corvus, Baobab), aber auch weitere lokale Erstversicherer treten in den Markt ein.

Interessante Diskussion zu MGAs, die neue Verkaufskanäle etablieren und digitale Tools nutzen (Underwriting, Security-Scans usw). Neue MGAs in Deutschland in 2022 sind Corvus und Baobab.Erfolgreich etabliert hat sich als MGA seit einigen Jahren Cogitanda.
Ebenso spannende Diskussion und Graphiken zur globalen Marktentwicklung in Cyber. Trotz aller Herausforderungen, geschätztes Wachstum von heute (2022) ca. USD 11 Mrd. auf ca. 21 Mrd. in 2025; die jährlichen Zuwachsraten liegen über 20 Prozent.

Kurzer Rückblick auf die dramatische Schadenentwicklung von 2016 bis Ende 2021 (Abflachung in 2022) und hauptsächlich betroffene Industriebranchen (Spitzenreiter sind verarbeitendes Gewerbe/Manufacturing und Finanzinstitute).

Hinsichtlich Rückversicherungsstrategien der Gesellschaften sieht man, dass die Nachfrage nach RV-Kapazität steigt, trotz RV-Marktverhärtung. Marco Henrique stellte die vielfältigen Strategien vor, mit denen Guy Carpenter seine Kunden bei der optimalen Gestaltung der RV-Verträge unterstützt.

Trotz diverser Möglichkeiten (inkl ILS/parametrischen Instrumenten) entscheiden sich die meisten Zedenten derzeit für eine proportionale Deckung und Aggregate Stop Loss als Kat-Deckung.

Kurzer Exkurs zu Silent-Cyber (Non-Affirmative Cyber) und den Anforderungen von Lloyd’s diesbezüglich. Guy Carptenter unterstützt Zedenten mit speziellen (durch KI unterstützt) Cyber-Analytic- Teams, die Herausforderung Silent/Non-Affirmative Cyber ganzheitlich in den Griff zu bekommen.

Last but not least Diskussion des erheblichen Potenzials im Bereich Personal-Cyber. Der Markt steckt noch in den Kinderschuhen. Rückversicherer wie Swiss Re rechnen aber damit, dass der Personal-Cyber-Markt bis 2025 ein globales Volumen zwischen 1,6 bis 3,1 Mrd. USD erreichen könnte. Darstellung der verschiedenen Deckungsbereiche sowie einer adäquaten Rückversicherungsstrategie im Bereich Personal-Cyber.

Simon Ashworth, Managing Director und Chief Analytical Officer Insurance bei Standard & Poors Global Ratings

Simon Ashworth gab ein kurzes makroökonomisches Update der europäischen Top-Risiken (Risikoniveau 3 von 4, Trend negativ), das stark vom Krieg in der Ukraine beeinflusst ist.

Hinsichtlich des Insurance-Ratings ist der Trend insgesamt relativ stabil, kaum Downgrades, durchschnittliches Rating ist im Bereich A, der globale Ausblick bleibt jedoch negativ. Im Zusammenhang mit Cyber beurteilt S&P das Risikoniveau bislang nur als erhöht (Stufe 2 von 4 , moderat = 1 / sehr hoch = 4) bei steigendem Risikotrend. Die Risikosituation ist geprägt von Entwicklungen der Digitalisierung sowie von geopolitischen Spannungen, auch hier insbesondere durch den Krieg in der Ukraine. Bei letzterem besteht die Gefahr der Ausweitung von Cyber-Angriffen und systemischen Schäden als Antwort auf die militärische Unterstützung des Westens.

Die steigende Frequenz von Cyber-Attacken und das Potenzial für eine schnelle Verschlechterung von Credit Profiles nach einer Attacke sind relevante Faktoren für das Rating Assessment.

Leadership, Kommunikation und Transparenz nach außen sind Schlüsselfaktoren hinsichtlich Eindämmung der negativen Auswirkungen nach einer Cyber-Attacke. Aus der Rating-Perspektive sind dies derzeit die wichtigsten Einflussfaktoren hinsichtlich Rating-Veränderungen.

Simon Ashworth erläuterte eine Vielzahl von Punkten, die Einfluss auf die Beurteilung/Veränderung des Rating haben. Details dazu im internen Teil der VVB-Website. Die Fragen von S&P an die Unternehmen orientieren sich oft am NIST (National Institute of Standards and Technology) Framework (Identify/Protect/Detect/Respond /Recover).

Cyber-Attacken können erheblichen Einfluss auf die Marktposition eines Unternehmens haben. Stichworte sind Einfluss auf das Kundenvertrauen und die Marktstellung, eingeschränktes Vertrauen der Kapitalgeber, eingeschränkte Liquidität, Cashflow und/oder Gewinn.

Hinsichtlich der Ratings von Versicherern wird der Einfluss von Cyber-Risiken zunehmend wichtiger. Simon Ashworth erläuterte eine Reihe von Punkten, auf die S&P bei der Beurteilung des Risikos bei Versicherern achtet, und welche zukünftigen Risiken beobachtet werden.

Einblick in Silent-Cyber-Exposure und die erwartete mögliche Entwicklung in den nächsten Jahren (hoffentlich) hin zu Affirmative- und Stand- Alone-Deckungen. Aufzeigen der vielen Vorteile von Cyber als Stand-Alone-Sparte.

Für ILS-Investoren ist Cyber derzeit (noch) kein attraktiver Markt. Die negativen Anreize, sich im Segment Cyber zu engagieren, übersteigen derzeit noch deutlich die positiven.

Zum Schluss noch zusammengefasst aktuelle Beobachtungen seitens S&P bei der Entwicklung der Cyber-Versicherung auf dem steinigen Weg hin zu einer ausgereiften Branche:

• Die Modellierung von Kumulszenarien hat sich verbessert.
• Besseres Verständnis für Ransomware-Schäden, deutlich weniger Lösegeldzahlungen in 2022
• Disziplin bei Underwriting und Risikoappetit
• Anwendung von klarer formulierten und präziseren Versicherungsbedingungen.

Empfehlenswert ist die sehr informative Cyber Landing Page von S&P, „Cyber Risk in a new Era“ (www.spglobal.com).

Ronan Gerety, Chief Market & Sales Officer, Cogitanda

Ein weiterer Vorteil ist, dass sich der Versicherer relativ schnell wieder aus dem Geschäft zurückziehen kann, sollten seine Erwartungen an die Geschäftsentwicklung nicht erfüllt werden.

Gleichzeitig liegt eine der Herausforderungen für das Business-Modell MGA gerade in der Unsicherheit, dass das Engagement des Carriers/Versicherers je nach Vertrag immer mit einer zeitlichen Unsicherheit behaftet sein kann. Zeichnet der Versicherer darüber hinaus vielleicht doch auch noch ein eigenes Cyber-Geschäft, besteht die Gefahr der Kannibalisierung seines Geschäfts. Selbstverständlich muss das MGA auch die strengen Compliance-
Vorschriften des Versicherers einhalten.