Herr Golling, in der Cyberversicherung steigen sowohl Preise als auch Schäden teilweise dramatisch an. Wie positioniert sich die Munich Re in diesem bewegten Umfeld?

Wir sind in der Cyberversicherung schon seit etwa zehn Jahren aktiv und haben das schon immer als strategisch wichtiges Feld identifiziert. Die Cyberexponierung unserer Kunden existiert, und wenn wir als Versicherungswirtschaft relevant bleiben wollen, müssen wir dafür Lösungen finden. Wir haben deshalb schon vor Jahren begonnen, in Cyberexpertise zu investieren. Zu unserem Team gehören mittlerweile mehr als 100 Leute. Wir haben eigenes Know-how, kooperieren aber auch mit Start-ups und mit unseren Kunden, die ja auch eigenes Wissen haben. Dieser Markt hat sich mittlerweile gut entwickelt mit mehr als 10 Mrd. Dollar Beitragseinnahmen insgesamt. Uns beunruhigen die steigenden Exponierungen nicht. Wir wissen, wie wir zu reagieren haben – insbesondere mit intensiver Unterstützung der Kunden bei der Prävention, aber auch mit Ratenerhöhungen, Limit-Management und Risikoselektion.

Was können Sie zu der Größenordnung der aktuellen Preissteigerungen sagen?

Die Preise sind in den vergangenen zwei bis drei Jahren tatsächlich massiv gestiegen – mit zweistelligen und teilweise sogar dreistelligen Ratenanpassungen – insbesondere für mittelständische Unternehmen. Die weiteren Preissteigerungen in den kommenden Jahren werden stark davon abhängen, wie sich Exponierung und Schadenerfahrung entwickeln. Wir sehen aufgrund der weltweiten Vernetzung immer mehr Cyberattacken, auch im­mer schwerere. Wenn es höhere Risiken gibt, muss sich dies am Ende in den Konditionen widerspiegeln.

Die Munich Re und auch die Ratingagenturen prognostizieren für den Cyberversicherungsmarkt bis 2025 ein Wachstum auf über 22 Mrd. Dollar Beitragseinnahmen. Wie viel wird da auf Preiserhöhungen zurückgehen?

Das ist eine Prognose über den reinen Kapazitätsausbau und die stärkere Nachfrage nach Cyberdeckungen. Es macht keinen Sinn, für drei Jahre Preiserhöhungen vorauszusagen.

Wie sieht die Schaden- und Ertragsentwicklung bei der Munich Re aus?

Unser Cyberportfolio war in den vergangenen Jahren profitabel, und wir hatten im Schnitt auch niedrigere Combined Ratios, als unser Gesamtportfolio hatte. Dies ist wichtig, weil wir für mögliche Kumulschäden über die Zeit auch Vorsorge treffen müssen. Die Schaden-Kosten-Quote liegt in der Regel um die 85%, aber nur durch sehr selektives Underwriting. Damit setzen wir uns vom Markt ab.

Die angesprochenen Kumulrisiken machen Cyberbedrohungen teilweise schwer versicherbar. Ein Ausweg aus solchen Situationen sind Public Private Partnerships. Auch für eine Pandemieversicherung ist das in der Diskussion. Wie sieht es damit in Cyber aus?

Wir sind absolut aktiver Befürworter der Idee, systemische Risiken in Private Public Partnerships zu poolen. Dafür gibt es auch schon gut funktionierende Beispiele wie Nuklearpools. Wir unterstützen das auch für Cyber, allerdings muss man sagen, dass der Fortschritt hier sehr langsam ist. Das hat man auch bei der Pandemieversicherung gesehen, die vor zwei Jahren noch relativ aktiv diskutiert wurde, aber inzwischen wieder eingeschlafen ist.

Wie sind die Verhandlungen zu Cyberdeckungen in Monte Carlo gelaufen?

Die Rahmenbedingungen mit steigenden Risiken und Exponierungen sowie einem hohen Bedarf sind allen Beteiligten klar, insofern sind die Gespräche nicht immer einfach, aber sehr konstruktiv. Neben den Konditionen sind uns immer auch angemessen hohe Cybersicherheitsstandards ein Anliegen. Sie sind eine Voraussetzung für den Zugang zum Versicherungsmarkt und tragen dazu bei, digitale Geschäftsmodelle abzusichern. Mit Prävention lässt sich bereits vieles verhindern und Konditionen verträglicher gestalten. Davon profitieren beide Seiten.

Wird es in den kommenden Jahren genug Kapazitäten am Cyberversicherungsmarkt geben und wird die Munich Re ihre Kapazitäten noch ausbauen?

Immer mehr Erst- und Rückversicherer expandieren im Cybermarkt, weil heutzutage – anders als vor einigen Jahren – kaum einer mehr bestreitet, dass Cyberrisiken versicherbar sind und Deckungen benötigt werden. Unser Risikoappetit ist unverändert. Das heißt, wir sind bereit, in dem wachsenden Markt unser Cybergeschäft weiter auszubauen und damit unseren aktuellen Marktanteil, der derzeit rund 14% beträgt, zu halten. Bei den Kapazitäten muss man unterscheiden zwischen dem Kumulgedanken, also Kapazitäten für den gesamten Markt, und Einzelrisikokapazitäten. Bei den Einzelrisiken gibt es eventuell einen Engpass. Da ist die Kapazität eher unverändert, also im unteren einstelligen Milliardenbereich als Gesamtkapazität für große Konzerne. Industrieunternehmen würden teilweise höhere Deckungen bevorzugen. Das ist aber auch nicht unser Fokus, wir wollen uns mehr auf den Mittelstand konzentrieren.

Wie hoch ist das Einzellimit bei der Munich Re im Industriebereich?

Unsere Einzelkapazität für Industrierisiken liegt bei maximal 100 Mill. Euro.

Die Frage der Kriegsausschlüsse in der Cyberversicherung ist kompliziert, weil die traditionelle Definition von Krieg – die physische Auseinandersetzung zwischen zwei Staaten – bei Cyberwar nicht greift. Wie geht die Munich Re mit dem Thema um? Lloyd’s hat ja vor einigen Monaten ein Rahmenwerk dazu veröffentlicht.

In dieser Arbeitsgruppe war Munich Re ein wesentlicher Teilnehmer. Wir unterstützen diese Definition voll und ganz. Es gibt auch Kunden, die eigene Definitionen vorschlagen. Es gibt Vor- und Nachteile der verschiedenen Ansätze, insbesondere bei der Frage, inwieweit man Ereignisse einzelnen Staaten zuordnen kann. Aber es ist auf jeden Fall besser, ein vielleicht noch nicht getestetes Wording zu haben in Sachen Kriegsausschluss als gar keines.

Hat die Munich Re juristische Auseinandersetzungen mit Cyberkunden über Kriegsausschlüsse?

Nein, wir haben aktuell keine Auseinandersetzungen in dieser Beziehung.

Über Cyber Cat Bonds, also den Transfer von Cyberrisiken an den Kapitalmarkt, wird seit Jahren ge­sprochen, öffentliche Transaktionen hat es bisher jedoch noch nicht gegeben. Wie sehen Sie die Chancen?

Es gibt vor allem zwei Hürden, die wir überwinden müssen. Da ist einmal das Thema Modellierung: Im Naturkatastrophenbereich haben wir seit Jahren unabhängige Modelle von unabhängigen Dienstleistern. Die werden langsam von den etablierten Anbietern in den Cyberbereich transferiert, auch Start-ups sind dort aktiv. Für Investoren, die nicht selber Underwriting betreiben, ist das eine Voraussetzung. Das Zweite ist die Korrelation mit anderen Assetklassen. Wenn ein Erdbeben passiert, geht man nicht automatisch davon aus, dass die Finanzmärkte reagieren. Wenn es aber einen großen Cy­berkumulschaden gibt, dann ist eben nicht auszuschließen, dass weltweit die Finanzmärkte darauf reagieren.

Wann kommt der erste Cyber Cat Bond? Ein Manager von Aon Securities hat in Monte Carlo 2023 prognostiziert.

Ich rechne damit in den nächsten drei Jahren.

Das Interview führte