Richard Livingston greift einen Vergleich auf, der das Besondere dieser Versicherungssparte verdeutlicht: Bei einer Sachversicherung suche ein Feuer nicht nach besseren Wegen, ein Gebäude niederzubrennen – eine Cyberversicherung dagegen decke ein Risiko ab, das aktiv versuche, die Schutzvorkehrungen zu überwinden. Über etwa 30 Jahre sei ein Markt entstanden, der Wiederherstellungsdienste, Forensik, Rechts- und PR-Kosten, Haftung für Datenschutzverletzungen, Bußgelder aus behördlichen Verfahren, Betriebsunterbrechungen, Reputationsschäden und vor allem Erpressung abdeckt.

Fahmida Y. Rashid verweist auf den Sicherheitsexperten Jeremiah Grossman, der die Verbreitung von Cyberversicherungen als Gewinn für die Sicherheit wertete: Erstmals würden Risiken mit konkreten Zahlen hinterlegt. Wo Unternehmen früher nur vage fürchteten, „gehackt zu werden", verlangten Versicherer nun belastbare Angaben zu Auswirkungen, Wiederherstellungskosten und Haftung.

David Jones beschreibt, wie Unternehmen zunehmend verstehen, dass Cyberrisiken unmittelbar das Geschäftsergebnis treffen. Es gehe längst nicht mehr nur um Datenverlust, sondern um den Ausfall ganzer Betriebsabläufe – über Stunden, Tage oder Wochen, teils mit physischen Folgen wie stillstehenden Fabriken. Als Beispiele nennt er JLR sowie Colonial Pipeline, wo wochen- beziehungsweise fast eine Woche lang keine Produkte beziehungsweise kein Kraftstoff transportiert werden konnten. Versicherer zwingen Unternehmen, ihre Widerstandsfähigkeit zu prüfen: Datensicherung, Zugriff auf Daten im Ausfall, Multi-Faktor-Authentifizierung, das Verbergen von Systemen vor dem Internet und stärkere Passwörter.

Diese Anforderungen stehen mittlerweile in den Policen – mit Folgen. Livingston nennt den Fall der Stadt Hamilton in Ontario: Trotz vollständiger Versicherung wurde der Anspruch abgelehnt, weil kein Mindestmaß an Multi-Faktor-Authentifizierung gepflegt worden war; die Steuerzahler trugen den Schaden. Sicherheit, so Livingston, sei daher kein rein technisches, sondern ein Risikothema, das Rechtsabteilungen und die gesamte Führungsebene betreffe.

Jones ordnet die Entwicklung historisch ein: Bei NotPetya und WannaCry hafteten Unternehmen für Hunderte Millionen Dollar. Da Cyberversicherungen Schäden durch „kriegerische Handlungen" traditionell ausschließen, mussten Versicherte um Deckung kämpfen, wenn Angreifer staatliche Verbindungen hatten. Beim Vorfall um Striker hätten Krankenhäuser ihre Dienste vorsorglich abgeschaltet, Operationen abgesagt. Diskutiert werde zudem, ob die Branche auf ein katastrophales Großereignis vorbereitet sei – ein Thema, das nach dem CrowdStrike-Ausfall an Bedeutung gewann.

Den problematischsten Punkt liefert Livingston mit Bezug auf John Kindervag, den er auf der RSAC erlebte: So wie die Lebensversicherung dem uralten Verbrechen Mord eine finanzielle Ebene hinzufügte, ohne die Zahl der Morde zu erhöhen, verhalte es sich mit Ransomware. Versicherte Unternehmen zahlten laut Kindervag 2,8-mal häufiger das geforderte Lösegeld. Über das Darknet ermittelten Angreifer, wer in welcher Höhe versichert sei, und forderten gezielt diesen Betrag – wer für 10 Millionen versichert sei, zahle eher, um 50 Millionen Geschäftsverlust abzuwenden.

Abschließend ordnen die drei sinkende Prämien ein. Jones warnt vor Konzentrationsrisiken: Rund zwei Drittel des Marktes entfallen auf die USA, weshalb Versicherer ihre Portfolios mit kleineren, mittleren und außeramerikanischen Kunden diversifizieren wollen. Ein neues Risikofeld sei der ungesteuerte Einsatz agentischer KI ohne Leitplanken und Governance.