Die Entwicklungen des Jahres 2020 mit all ihren drastischen Auswirkungen waren alles andere als vorhersehbar. Offensichtlich in Bezug auf die Pandemie, aber auch in Bezug auf die Cybersicherheitslandschaft. Das spiegelt sich nicht nur in vielen Statistiken, Umfragen und Trendbeobachtungen wider, sondern leider auch in der Häufigkeit und Schwere von Cyberangriffen im vergangenen Jahr. Einige Experten haben Covid-19 und seine Auswirkungen sogar als "die größte Cybersecurity-Bedrohung aller Zeiten" eingestuft. 

Während es Anzeichen der Hoffnung gibt, dass die Covid-19-Pandemie überwunden werden kann, wird es einen universellen Impfstoff zum Schutz digitaler Abläufe und Geschäftsmodelle einfach nicht geben. Mit der rasant zunehmenden Digitalisierung verändern sich Cyberrisiken und Schadensszenarien immer schneller. Für alle Risikoträger ist es daher umso wichtiger, aus vergangenen Vorfällen zu lernen und kommende Cybersecurity-Trends, Bedrohungen und Schwachstellen zu erkennen. Cyber-Versicherer haben bereits bewiesen, dass sie Teil der Lösung sein können, wenn es um den Aufbau von Resilienz und Abwehrbereitschaft über alle Branchen hinweg geht. Die Implementierung entsprechender Maßnahmen und Kontrollen kann als eine Art "digitaler Impfstoff" betrachtet werden. Da diese "Impfstoffe" jedoch nicht immer ausreichen, um erfolgreiche Angriffe auf das "Cyber-Immunsystem" zu verhindern, muss die Versicherungsbranche zusätzlich die verbleibenden Risiken abdecken. 

Die Ergebnisse der ersten Global Cyber Risk and Insurance Studie von Munich Re verdeutlichen die Risiken und Chancen im Hinblick auf Digitalisierung und die wichtigsten Technologien - wobei 5G, Cloud Computing und künstliche Intelligenz die Listen der Umfrageteilnehmer anführen. Obwohl alle an das Thema Digitalisierung glauben, sind 81 % der befragten Führungskräfte der Meinung, dass ihr Unternehmen nicht ausreichend gegen Cyberbedrohungen geschützt ist. Zu diesen Cybersecurity-Bedrohungen gehören Betrug, Datenlecks und Ransomware-Attacken als die drei am meisten gefürchteten Phänomene. 

Und obwohl 35 % der befragten Führungskräfte den Abschluss einer Cyber-Versicherung in Erwägung ziehen, haben nur 34 % davon bereits Kontakt mit ihrem Versicherungsanbieter aufgenommen; 17 % von ihnen haben noch nicht einmal einen Überblick über die auf dem Markt verfügbaren Produkte und Dienstleistungen.

Diese Ergebnisse deuten darauf hin, dass Cyber-Versicherungsangebote noch immer nicht in gleichem Maße bekannt sind wie traditionelle Versicherungsprodukte. Gleichzeitig unterstreicht es das Potenzial von Cyber-Versicherungen. Es bleibt demnach eine Aufgabe für die Versicherungswirtschaft, Transparenz über Deckung und begleitende Serviceangebote zu schaffen. An erster Stelle der von Endkunden nachgefragten präventiven Dienstleistungen stehen Netzwerksicherheit, Backup kritischer Systeme und Daten, Anti-Malware-Tools, Identitäts- und Zugriffsmanagement sowie IT-Sicherheitsberatung. Zusätzlich zu diesen eher proaktiven Cybersecurity-Maßnahmen wird auch die Reaktionsfähigkeit auf Vorfälle als eine wichtige Säule im Cybersecurity-Risikomanagement gesehen.

Covid-19 beschleunigt die digitale Transformation. In diesem Zusammenhang ist es wichtig, anzuerkennen, dass die Bedrohungen und Schwachstellen nicht völlig neu sind. Einige von ihnen waren schon immer da und wurden schon lange vor der Pandemie ausgenutzt. Eine Google-Umfrage ergab zum Beispiel, dass 65 % der Benutzer Passwörter über mehrere oder alle Konten hinweg wiederverwenden. Eine andere Statistik ergab, dass 18 % aller Windows-PCs noch das veraltete Betriebssystem Windows 7 verwenden. Das bedeutet, dass allein in Deutschland ca. 4 Millionen Geräte nicht mehr unterstützt werden. Nach den Daten von Munich Re können diese genannten Beispiele für unzureichende Cybersicherheit bereits zu erheblichen Cybervorfällen führen.

Covid-19 und die Notwendigkeit, Geschäftsabläufe und -prozesse zu digitalisieren, haben zu einer dramatischen Beschleunigung der Kritikalität und der Angriffsflächen geführt. Außerdem zeigte es gnadenlos die Bandbreite der Bedrohungen und wie diese ausgenutzt werden können. Das FBI meldete im April 2020 einen Anstieg der gemeldeten Cyberkriminalität um 300 %. Allein im März stiegen die Ransomware-Angriffe um 148 %. Zwischen Februar und April 2020 stieg Phishing um 600 % und im April blockierte Google täglich mehr als 18 Mio. Covid-19-bezogene Phishing-Mails.

Munich Re beobachtet, dass Unternehmen bei der Remote-Arbeit immer noch nicht darauf vorbereitet sind, Bedrohungen und Schwachstellen zu überwachen oder zu erkennen. Dazu gehören unbefugter Fernzugriff, schwache Passwörter, ungesicherte Netzwerke und der Missbrauch von persönlichen Geräten, um nur einige wenige Beispiele zu nennen. Ebenso sind mehr erfolgreiche Angriffe auf virtuelle private Netzwerke (VPNs) zu erwarten, die von mehr als 400 Millionen Unternehmen und Privatpersonen auf der ganzen Welt genutzt werden. Ein weiterer Anstieg von Insider-Bedrohungen, bei denen Angreifer Mitarbeitern mit privilegiertem Zugang zunehmend finanzielle Anreize bieten, damit sie ihre Zugangsdaten weitergeben oder "versehentlich" preisgeben, ist ebenfalls zu erwarten. 

Ähnlich wie in den Vorjahren führten Ransomware-Angriffe, Datenschutzverletzungen und betrügerische Aktivitäten wie Business E-Mail Compromise (BEC) die Liste der Cyberkriminalität erneut an. Der gesamte globale wirtschaftliche Schaden von Cyberkriminalität ist umstritten. Cybersecurity Ventures schätzt, dass die weltweiten wirtschaftlichen Kosten der Cyberkriminalität in den nächsten fünf Jahren um 15 % pro Jahr wachsen und bis 2025 10,5 Billionen US-Dollar betragen werden. Im Jahr 2021 werden es voraussichtlich 6 Billionen US-Dollar sein, gegenüber 3 Billionen US-Dollar im Jahr 2015. Das ist keine Überraschung, denn die Welt der Cyberkriminellen entwickelt sich rasant weiter, zum Beispiel durch organisierte Zusammenarbeit oder durch den Einsatz von Automatisierung und künstlicher Intelligenz, um Synergien zu schaffen, damit Schwachstellen so schnell und gewinnbringend wie möglich ausgenutzt werden können. 

Abgesehen von cyberkriminellen Aktivitäten waren die Nationalstaaten noch nie so aktiv im Cyber Space wie heute, und es gibt keine Anzeichen dafür, dass sich diese Entwicklung in nächster Zeit verlangsamen wird. In dieser Hinsicht wird die Pandemie eine bedeutende Rolle spielen, da Unternehmen, Forschungsinstitute und staatliche Stellen, die sich mit COVID-19-Impfstoff und -Behandlung beschäftigen, unter schwerem Beschuss von Kriminellen und Nationalstaaten stehen werden. 

Munich Re ist sich der Bedrohungen, die von Seiten einzelner Staaten ausgehen können, durchaus bewusst. Wie die jüngsten mutmaßlich von Regierungen gesponserten Cyberangriffe gezeigt haben, müssen die traditionellen Kriegsausschlüsse für die Cyber(rück)versicherung möglicherweise angepasst werden. Wir haben uns mit unseren Kunden und anderen Branchenarbeitsgruppen wie der Geneva Association und der London Market Association zusammengeschlossen, um die Entwicklung spezifischer Cyber-Kriegsausschlüsse zu unterstützen. Munich Re beteiligt sich aktiv an diesen Diskussionen und gibt umfangreiches Feedback, um sicherzustellen, dass jede neue Klausel unsere Interessenbereiche, insbesondere Auswirkungen und Haftung, berücksichtigt. Wir sind zuversichtlich, dass bis 2021 ein Marktstandard entstehen wird.

Datenlecks:

Wie in den Jahren zuvor gab es auch 2020 weltweit Datenpannen, bei denen hunderte Millionen von Datensätzen betroffen waren. Munich Re beobachtet in ihren Risikoanalysen nicht nur eine wachsende Anzahl von personenbezogenen Daten bei den Risikoeignern, sondern auch eine zunehmende Kritikalität der Daten - wobei Finanz-, Gesundheits-, kinderbezogene oder biometrische Daten am relevantesten sind. IBM berichtete, dass im Jahr 2020 die durchschnittliche Zeit bis zur Identifizierung eines Datendiebstahls 280 Tage beträgt, obwohl die durchschnittliche Kostenersparnis bei der Eindämmung eines Datendiebstahls in weniger als 200 Tagen bei 1 Mio. US-Dollar liegt - was zu dem Schluss führt, dass die globalen durchschnittlichen Gesamtkosten eines Datendiebstahls im Jahr 2020 bei 3,86 Mio. US-Dollar lagen. Da die Menschheit bis 2025 rund 200 Zettabytes an Daten speichern wird (laut Cybersecurity Ventures), ist auch hier keine Entspannung in Sicht. 

Ransomware:

Es wird erwartet, dass das rasante Wachstum von Ransomware-Angriffen auch in Zukunft anhalten wird. Dies wird sich nicht nur auf die Verschlüsselung von Daten begrenzen, sondern zunehmend Exfiltration von Daten inkludieren. Mit steigender Häufigkeit nehmen auch die Lösegeldforderungen exponentiell zu - IBM Security X-Force registriert in einigen Fällen Erpressungssummen von mehr als 40 Millionen US-Dollar.

Die Kosten durch Ausfallszeiten können genauso hoch sein wie das gezahlte Lösegeld. Im Jahr 2020 beliefen sich die durchschnittlichen Kosten für Ausfallzeiten auf 283.000 US-Dollar. Das ist ein Anstieg von fast 100 % im Vergleich zu 2019. Munich Re schätzt, dass die Kosten für die Wiederherstellung nach Ransomware-Angriffen weiter steigen werden. Das erwähnte " Decrypt and Delete"-Geschäft, das mit einer öffentlichen "Leak and Shame"-Taktik einhergeht, wird ebenfalls zu dieser Entwicklung beitragen. Ransomware wird zudem weiter zunehmen, da IT-Systeme zunehmend mit kritischen Infrastruktur- und Betriebstechniksystemen zusammenwachsen. Munich Re befürchtet, dass mehr Daten, Geräte und sogar Menschenleben gefährdet sein sind, wenn Ressourcen wie Stromnetze, medizinische Systeme oder das Transportmanagement erfolgreich angegriffen werden. Ein solches Szenario wurde bereits im Fall eines Düsseldorfer Krankenhauses beobachtet, das nach einem Ransomware-Angriff im Jahr 2020 keine Notfallpatienten mehr aufnehmen konnte. Ein Patient, der in eine andere, 20 Kilometer entfernte Einrichtung umgeleitet werden musste, verlor dadurch sein Leben. Genau aus diesem Grund agieren wir noch offensiver, gestalten unsere Portfolios noch selektiver und erwarten von unseren Kunden die höchsten Sicherheitsstandards bzw. unterstützen sie bei der Integration entsprechender Vorsichtsmaßnahmen.

Business Email Compromise (BEC):

Betrügerische Aktivitäten wie BEC-Betrügereien sind weiter auf dem Vormarsch: Nach Angaben der Anti-Phishing Working Group lag der durchschnittliche Schaden bei einem BEC im zweiten Quartal bei 80.183 US-Dollar, gegenüber 54.000 US-Dollar im ersten Quartal. Noch kostenintensivere Beispiele gab es im Jahr 2020, als Puerto Rico bei drei separaten BEC-Angriffen auf Regierungsbehörden mehr als 4 Millionen Dollar verlor oder als es Kriminellen gelang, bei einem BEC-Betrug 10 Millionen Dollar aus Norwegens staatlichem Investmentfonds zu stehlen.

Laut den Experten für Cyberrisiken von Munich Re wird das Erkennen von Betrügereien wie BECs in einer Remote-Arbeitsumgebung schwieriger werden. Dazu wird auch das Angebot an Technologie beitragen, zum Beispiel wenn Deep-Fake-Audio und -Video im Tandem eingesetzt werden.

Die Dynamik der oben genannten Veränderungen sowie die steigende Häufigkeit und Schwere von Cyber-Vorfällen werden sich in einer steigenden Nachfrage nach Cyber-Versicherungen manifestieren. Munich Re geht davon aus, dass der globale Cyber-Versicherungsmarkt bis zum Jahr 2025 einen Wert von rund 20 Mrd. USD erreichen wird. Diese weit verbreitete Annahme könnte durch den Digitalisierungsschub noch übertroffen werden. Munich Re geht davon aus, dass vor allem kleine und mittelständische Unternehmen überproportional von Cyber-Vorfällen betroffen sein werden und somit die Nachfrage antreiben.

Das Gesundheitswesen, freiberufliche Dienstleistungen, der Einzelhandel, die verarbeitende Industrie, Regierungsbehörden (einschließlich Bildungseinrichtungen) sowie Finanzdienstleistungen werden voraussichtlich die am stärksten exponierten Branchen sein. Daher wird ein großer Teil der Nachfrage nach Cyber-Versicherungen sehr wahrscheinlich auch weiterhin aus diesen Branchen kommen. Neben dieser unternehmensbezogenen Nachfrage erwartet Munich Re auch ein Wachstum bei Cyberversicherungen für Privatpersonen und Familien. 

Neben Digitalisierung und Schäden wird auch die Regulierung ein wichtiger Treiber für Cyberversicherungen bleiben. Im Jahr 2020 machte die Durchsetzung von Datenschutzgesetzen Schlagzeilen mit neuen Rekorden bei den Bußgeldern gegen Verstöße. Insgesamt wurden 315 Bußgelder wegen Verstößen gegen die EU-Datenschutzgrundverordnung (GDPR) verhängt. Die GDPR-Strafe für Google in Höhe von 50 Millionen Euro wurde 2020 von Frankreichs oberstem Gericht bestätigt - die bisher höchste von der EU verhängte Strafe. Andere Bußgelder wurden aufgrund ihrer wirtschaftlichen Auswirkungen auf die jeweiligen Unternehmen und ihrer Finanzierbarkeit im Jahr 2020 deutlich reduziert. Eine Verschärfung der Gesetze ist weltweit zu erwarten, da 128 von 194 Ländern Gesetze zum Schutz von Daten und Privatsphäre eingeführt haben, während 154 Länder Gesetze zur Cyberkriminalität erlassen haben (Vereinte Nationen, Stand Dezember 2020).

Während die Datenschutzregulierung bereits weitgehend etabliert ist, ist die gesamte Bandbreite der vernetzten Geräte und des Internets der Dinge noch unterreguliert. Aufgrund der Bedeutung dieses Aspekts unterstützt Munich Re die entsprechende Regulierung zusammen mit einem Klassifizierungsmodell, das Kunden helfen kann, die Qualität von vernetzten Geräten oder Cybersicherheitsdienstleistungen besser zu beurteilen.

"Großereignisse wie eine Pandemie unterstreichen die Bedeutung des Risikomanagements. Das gilt auch für Cyber. Wir nehmen dies als Bestätigung für unsere Bemühungen, wichtige Themen wie Kumulkontrolle, Datenanalyse, Silent Cyber und viele andere aktiv anzugehen. Es ist wichtig, ein klares Verständnis der zugrundeliegenden Risiken zu haben und zu wissen, was gedeckt ist und gedeckt werden kann. Deshalb werden wir weiterhin in Cyber-Expertise und Partnerschaften investieren und unsere Kunden intensiv unterstützen, um ein effektives Risikomanagement zu gewährleisten", sagt Jürgen Reinhart, Chief Underwriting Officer Cyber bei Munich Re, und betont die Notwendigkeit, die Exponierung und den jeweiligen Risikoappetit kontinuierlich neu zu bewerten. Darüber hinaus erwartet Jürgen Reinhart auch für 2021 eine Verhärtung der Marktbedingungen als eine Konsequenz aus steigenden Schäden und zunehmender Nachfrage. Dies zeichnete sich bereits in der zweiten Hälfte des Jahres 2020 ab.  

Aufgrund des prognostizierten Anstiegs der Schadenhäufigkeit und -schwere wird der Markt unweigerlich eine erhöhte Underwriting-Disziplin aufweisen, mit einem starken Fokus auf Ransomware-Ereignisse, die mehrere Deckungsarten auslösen können. Darüber hinaus können insbesondere Ransomware-Schäden zu sinkenden Deckungssummen führen, da die Versicherer ihre Risikobereitschaft neu bewerten werden.

Die Überwachung der Cyber-Kumule ist eine wesentliche Aufgabe für die gesamte Branche. Munich Re verfügt über einen effektiven Cyber-Risikomanagement-Prozess und verlässt sich auf ihre eigenen fortschrittlichen Kumulmodelle. Dennoch ist es wichtig, den Markt zu beobachten und externe Expertise von verschiedenen Anbietern einzuholen, um ein stets aktuelles Kumulmanagement zu gewährleisten. Die Modelle, die von den Versicherern eingesetzt werden, verbessern sich rasch, und die aktuelle Situation unterstreicht, wie wichtig es ist, weiter zu investieren.

Ein weiteres wichtiges Thema für Versicherer und ihre Kunden wird es sein, Silent Cyber aus ihrem Portfolio auszugliedern und diese "stille" Deckung weitgehend in eine explizite umzuwandeln. In traditionellen Sach- oder Haftpflichtpolicen kann der Ausschluss unerwünschter Cyber-Exposures das Wachstum und die Transparenz für alle Marktteilnehmer fördern. Insbesondere in Europa fordern einige Aufsichtsbehörden bereits qualitative und quantitative Informationen von den Versicherern über "stille" oder "nicht-affirmative" Cyber-Exposures in ihrem Portfolio. In den meisten Märkten und LoB's gibt es eine positive Dynamik mit laufenden Diskussionen auf unterschiedlichem Niveau. Wir erwarten, dass sich dieser Trend im Jahr 2021 fortsetzen wird. 

In Bezug auf Sachversicherungen gibt es bereits etablierte Klauseln, die die Deckung von Cyberrisiken klären. Neue LMA-Klauseln werden in den Märkten immer häufiger übernommen. Im Dezember 2020 wurden auf dem Londoner Markt mehrere Cyber-Ausschlüsse für die Haftpflichtsparten veröffentlicht.  Munich Re beobachtet einen zunehmenden Druck auf diese Klauseln von in Großbritannien ansässigen führenden Rückversicherern, Zedenten und Maklern. 

Munich Res Ansatz trägt der Komplexität der Risiken und der Notwendigkeit einer risikoadäquaten Preisgestaltung Rechnung. Das erfordert hochkarätige Cyber-Teams, die branchen- und marktübergreifend zusammenarbeiten. Wir haben von Anfang an erheblich in den Aufbau von Know-how und Expertise, internen Prozessen, Tools, Netzwerken und klaren Richtlinien investiert, um diese Risiken zu managen. Neben dem Risikotransfer über die Versicherung wird das Angebot durch Risikomanagement-Dienstleistungen und Sicherheitsmaßnahmen abgerundet. Mit diesen Maßnahmen unterstreicht Munich Re deutlich ihren Anspruch, ein weltweit führender Cyber-Versicherungs- und Lösungsanbieter zu sein.

"Cyber ist ein strategisches Wachstumsfeld für die gesamte Munich Re Gruppe", sagt Torsten Jeworrek, Rückversicherungsvorstand von Munich Re. "Die beschleunigte Digitalisierung und die damit einhergehenden Risiken bestätigen uns in unserem Ansatz und unserer Strategie, von Anfang an einen Beitrag zur Bewältigung der Cyber-Herausforderung geleistet zu haben. Unser Cyber-Portfolio hat in den letzten Jahren seinen profitablen Wachstumskurs fortgesetzt. Sofern die Versicherungsbranche weiterhin die richtigen Schlüsse aus der beobachteten Dynamik zieht, gehen wir davon aus, dass wir das aktuelle Wachstumspotenzial in den kommenden Jahren nicht nur erfüllen, sondern sogar übertreffen werden."

Gemeinsam mit unseren Kunden und Partnern erweitern wir die Grenzen der Versicherbarkeit und setzen dabei konsequent auf nachhaltiges und profitables Wachstum.