Seit der Globalisierung wirtschaftlicher Beziehungen und der Verlagerung hin zu einem weltweiten Produktions- und Logistiknetzwerk sind Unternehmen mehr und mehr von IT-Leistungen abhängig. Unterbrechungen der globalen Produktion aufgrund von Cyber-Vorfällen entlang von Lieferketten oder von ausgelagerten Technologieumgebungen erhöhen die Bedeutung von Risikomanagement und Risikobeurteilung. Es liegt im besten Interesse eines jeden Unternehmens, Produktionsausfälle zu vermeiden, um dem dauerhaften Verlust von Reputation und Marktanteilen zu minimieren. Aus diesem Grund gibt es einen stetig anwachsenden Bedarf, dieses erhöhte Risiko an eine Versicherung zu übertragen. Diese Exponierung ist hoch komplex und nur in wenigen Fällen konnte das Risiko richtig bewertet und angemessen versichert werden. Daher muss die Versicherungsbranche analysieren, unter welchen Umständen eine Deckung der Cyber-Rückwirkungsschäden angeboten werden kann.

Ein Cyber-Rückwirkungsschadens- („CBI“) Versicherungsschaden kann aus der Beschädigung des Rechnersystems eines Dienstleisters oder Lieferanten entstehen, von dem der Versicherte abhängig ist.

Zur Verdeutlichung eines Cyber-CBI-Schadens als Ergebnis einer Störung eines wichtigen Technologiedienstleisters für Informations- oder Telekommunikationsdienste nehmen wir beispielsweise einen Kompressorhersteller für die Klimaanlage eines Autos als versichertes Unternehmen. Stellen Sie sich vor, das Unternehmen ist auf eine extern bereitgestellte Cloud-Plattform zum Speichern von Bestandsinformationen angewiesen. Bedenken Sie nun die Auswirkungen auf den Kompressorhersteller, wenn der Dienstleister dieses Cloud-Dienstes vorübergehend nicht in der Lage ist, seine Dienste im Zuge eines Cyberangriffs bereitzustellen. Dies führt zu einem Produktionsstopp des versicherten Kompressionsherstellers und wiederum zu einem Finanz- und Ansehensverlust für das Unternehmen.

In diesem zweiten Beispiel gilt dasselbe analog für die Unmöglichkeit eines versicherten Lebensmittelherstellers, die Produktion aufrecht zu erhalten, wenn ein zentraler Lieferant von Gewürzen seine Zutaten nach einem Cybervorfall nicht liefern kann. Dieses Szenario kann auch aus der entgegengesetzten Perspektive gesehen werden: Ein Lebensmittelhersteller erleidet einen Cyberangriff, was zum Produktionsstopp führt, weshalb er die Lieferung des versicherten Gewürzlieferanten nicht abnimmt. Diese zwei nicht technischen Cyber-CBI-Szenarien, sowohl aus der Perspektive des Lieferanten oder des Kunden, umfassen die Lieferkette eines Rohstoffs, von Teilen oder Komponenten oder Zutaten, Betriebstechnik (z.B. Produktionsmaschinen), Betriebsmaterialien (z.B. Schmierstoffe) sowie Logistik- oder Infrastrukturdienste.

Sowohl die Wahrscheinlichkeit als auch die Schwere der Cyber-CBI-Schäden werden nicht nur durch die Eigenschaften des Dritten bestimmt, sondern hängen auch von der Struktur und dem Geschäftsmodell des versicherten Unternehmens ab. Werden Verträge mit ausreichenden und doch realistischen Vereinbarungen auf Dienstleistungsebenen sorgsam ausgearbeitet? Gibt es, sofern für die Versicherten möglich, eine Vereinbarung zum Überwachen des Informationssicherheitsniveaus, um die Fähigkeit, Güter oder Dienstleistungen zu liefern zu erhalten? Große Unternehmen verfügen in der Regel über bessere Ressourcen in den Bereichen Organisation, Technik und Personalwesen. Deshalb ist es für große Unternehmen leichter als für kleine Unternehmen, das Risiko zu erkennen und zu verstehen sowie gleichzeitig die Sicherheit zu überwachen und ständig zu verbessern.

Ein sorgsamer Cyber-Versicherer muss sowohl die Risikobewertung berücksichtigen, um den komplexen Vernetzungsgrad der Geschäftsmodelle Gesichtspunkte zu verstehen, als auch die risikotechnischen Gesichtspunkte um ein profitables Portfolio zu erstellen. Nachfolgend erhalten Sie einen detaillierten Überblick über beide Aspekte.

Das Cyber-Rückwirkungsschadenrisiko eines versicherten Einzelunternehmens wird durch die Exponierung und das Informationssicherheitsniveau des entsprechenden Anbieters des IT-Dienste oder der Warenlieferanten charakterisiert. Es gibt versicherte Unternehmen, die aufgrund ihrer Branche eine höhere Exponierung, d.h. Gefährdung, darstellen als andere. Beispielsweise gibt es eine überdurchschnittliche Abhängigkeit von IT-Leistungen bei Einzelhändlern, Finanzinstituten und IT-Dienstleistern selbst, sowie bei Unternehmen, die in den Bereichen Tourismus, Gastgewerbe, Logistik und Transport aktiv sind. Des Weiteren sind Hersteller von IT-Hardware, Elektronik, Nahrungsmittel, Pharmazieprodukten und der Automobilbranche stark von Waren- und Zutatenlieferanten abhängig.

Die entsprechenden Kontrollstellen für eine Bewertung des Cyber-CBI-Risikos beginnt bei der Einbindung der Cybersicherheit innerhalb der Verträge mit Dritten sowie durch das regelmäßige Überwachen und Prüfen von Leistungen, einschließlich aller Änderungen an diesen Leistungen. Es ist beim Erkennen von Informationssicherheitsvorfällen von größter Wichtigkeit, dass es eine offene Kultur in Bezug auf das Melden von Informationssicherheitsschwachstellen gibt. Zudem sollte die Kontinuität der Informationssicherheit in der Lieferkettenverwaltung nicht nur einmal geplant und umgesetzt sowie bestätigt, geprüft und bewertet werden. Das Aufrechterhalten eines annehmbaren Niveaus ist vielmehr ein dauerhafter Prozess, bei dem das Cyber-CBI-Risiko im Rahmen der Geschäftskontinuität und des Katastrophen-Wiederherstellungsmanagements berücksichtigt wird.

Als Herausforderung für Unternehmen beim Identifizieren von Risiken gilt der beschränkte oder oftmals nicht vorhandene Zugriff auf relevante Informationen, die während des Beurteilungsprozesses benötigt werden. Um diese Lücke zu schließen, entwickelt Munich Re eine Zusatzklausel für seine Fragebögen zur Cyberrisikobewertung, sodass die für eine fundierte Bewertung erforderlichen Informationen optimal erfasst werden können.

Um die Theorie in die Praxis umzusetzen, beginnt die Risikoidentifizierung durch das Einbinden von Cybersicherheit in Verträgen mit anderen Unternehmen und mündet in der Umsetzung und Verwaltung der Informationssicherheitskontinuität nach einer ernsthaften Cyber-Betriebsunterbrechung eines wichtigen Lieferanten. Es werden jedoch auch Punkte wie die eigene CBI-Risikoschätzung des Versicherten, dessen Änderungsmanagement und die aus vergangenen Informationssicherheitsvorfällen gezogenen Lehren berücksichtigt.

Nicht nur die Bewertung des technischen Risikos, sondern auch das Zeichnen von Cyber-CBI für solch komplexe Exponierungen ist schwierig. Für einen Versicherer kann es beispielsweise sehr herausfordernd sein, einen umfassenden Überblick über Liefer- und Dienstleistungsketten zu erhalten, und ist oftmals teilweise darauf angewiesen, die Bemühungen eines Versicherten zu prüfen. Professionelles Lieferkettenmanagement sollte für das Bereitstellen einer Absicherung an den Versicherten eine Grundvoraussetzung sein.

Bei der Cyber-Versicherung darf ein Rückwirkungsschaden nicht gemäß der Standard-Abdeckung erfolgen. Er sollte nur unter bestimmten Bedingungen enthalten sein:

• Es ist von größter Wichtigkeit, dass die Risikosituation der betroffenen Lieferanten transparent ist, um sicherzustellen, dass das Risiko bewertet werden kann.
• Es ist sinnvoll, nur Rückwirkungsschäden für direkte Vertragspartner des Versicherten zu umfassen und Lieferanten der zweiten und dritten Lieferantenstufe explizit auszuschließen. Andernfalls kann die Häufigkeit von Cyber-CBI-Schäden in die Höhe schnellen und ein Niveau erreichen, das aufgrund von Anhäufungsbedenken nicht länger versicherbar ist.
• Die CBI-Absicherung für Cybervorfälle bei solchen Partnern sollte nur für diejenigen, die in der Police genannt werden, bereitgestellt werden. Die Deckung für nicht namentlich genannte, mittelbare Lieferanten sollte nur als Sublimit der Versicherungssumme von direkten Lieferanten und Dienstleistern angeboten werden.
• Da eine Cyber-Versicherung eine Absicherung für Vermögensschäden bieten soll, sollten physische Gefahren ausgeschlossen werden.

Stellen Sie sich vor, ein zentraler Lieferant von Produkten oder Dienstleistungen sichert seine Systeme nicht auf angemessene Weise oder verfügt über einen Mitarbeiter mit böswilligen Absichten. Oder ein Administrator des Lieferanten schützt den Zugriff auf das Netzwerk nicht richtig und infolge dessen wird diese Sicherheitslücke ausgenutzt. Daher sollten Underwriter beim Bewerten der Geschäftsunterbrechungsrisiken aufgrund von Cyberangriffen insbesondere auf den Deckungsumfang für Rückwirkungsschäden achten.

Was heißt das konkret? Ein Lieferant der Stufe eins des versicherten Unternehmens erleidet einen Netzwerksicherheitsvorfall aufgrund von Schadsoftware. Dies kann abgesichert werden. Jedoch wäre das Versichern des Systemausfalls eines Lieferanten gleichzusetzen mit einer extremen Risikoerhöhung. Hier ist ein weitaus höheres Maß an Sorgfalt und Erfahrung erforderlich, da sich in diesem Fall die Schadenhäufigkeit deutlich erhöht. Die Cyber-Police des Versicherten dient nicht zum Kompensieren aller IT-verbundener Vorfälle, die bei diesem Lieferanten auftreten – selbst, wenn sie aus möglicherweise schlechter IT-Qualität resultieren.

Vernünftige Sublimits beschränken die Risiken von Rückwirkungsschäden. Umgekehrt ist ein Risiko ohne Limits aufgrund des Anhäufungspotentials so gut wie nicht berechenbar. In einer Lieferkette können viele unbekannte Faktoren und unbekannte Teilnehmer bestehen. Zudem enthält das Cyber-Portfolio eines Versicherungsträgers viele solcher Lieferkette und dementsprechend noch viel mehr Unbekannte. Dies führt zu hohen Kumulschadenpotenzialen. Es ist Grund genug für den Versicherer, die Exponierung durch das Beschränken von Versicherungssummen einzudämmen.

Ein bedeutender zeitlicher Selbstbehalt sollte immer gelten. Der Versicherer kompensiert die von seinem Kunden, d.h. dem versicherten Unternehmen, erlittenen Schäden. Deshalb sollte der Vorfall dann beginnen, wenn das versicherte Unternehmen, nicht der Lieferant, eine materielle Auswirkung erleidet. Der Versicherungsnehmer hat unter Umständen einen Bestand an bereitgestellten Gütern, um die Lücke zu schließen, die durch die Unterbrechung entstanden ist, oder die Dienstleistungsstörung kann durch eigene Leistung oder die von Dritten kompensiert werden.

Die Globalisierung und die steigende Vernetzung von Technologie und der Geschäftswelt sowie die daraus resultierenden Abhängigkeiten werden die Nachfrage von Unternehmen nach Versicherungslösungen in die Höhe treiben. Jedoch stellen Cyber-CBI-Risiken aufgrund der hohen Komplexität und der mangelnden Transparenz für die Versicherungsbranche als Ganzes eine Herausforderung dar. Aus bedeutenden Vermögens-CBI-Schäden haben wir gelernt, dass wir nicht das gesamte Risiko unter Kontrolle haben. Da die Cyber-Versicherung ein neu aufkommendes Produkt der Versicherungsbranche ist, ist es von größter Wichtigkeit, dass wir von der Herangehensweise der Sachversicherung in Bezug auf diese relativ neue Absicherung lernen und diese verbessern.

Aufgrund der Komplexität und des Schadenpotenzials der Exponierung sollte ein Cyber-CBI-Versicherungsschutz nicht als Standard auf dem Markt angeboten werden. Munich Re möchte, dass die CBI-Versicherung nur auf gut durchdachte Weise, mit gezieltem und vorsätzlichem Charakter, bereitgestellt wird. Eine Bewertung der Exponierung in Verbindung mit einer sorgsamen Auswahl gewünschter Risiken erschafft Transparenz und ist somit die Grundlage für fundiertes Underwriting. Genau wie die Branche als Ganzes lernen wir ständig, wie Methoden und Qualität im Risikomanagement verbessert werden können, und freuen uns darauf, in Dialog mit Ihnen zu treten.