Ransomware, Cyber-Attacken auf Lieferketten und kritische Infrastrukturen bedrohen Unternehmen wie Gesellschaft stärker als jemals zuvor. Systemische Risiken und Kumul-Szenarien erfordern einen klar definierten Risikoappetit, um den Versicherten innovativen und nachhaltigen Schutz anzubieten. Ein adäquates Niveau an Cyber-Sicherheit erhöht die Resilienz der Versicherten und ist gleichzeitig Voraussetzung für den Zugang zum Versicherungsmarkt.

Das gesellschaftliche Bewusstsein für digitale Schwachstellen ist mit der Häufung schwerer Angriffe und Schäden weiter gestiegen. Der Handlungsbedarf für mehr Cyber-Sicherheit ist jedoch nach wie vor groß und wird nur zögerlich umgesetzt. Dies zeigt auch die globale Umfrage „Cyber Risk and Insurance Survey 2022“ von Munich Re.

Die Digitalisierung schreitet in jedem Bereich der Wirtschaft und des gesellschaftlichen Lebens fort. Für die Versicherungsindustrie ist es dementsprechend von zentraler Bedeutung, das Cyber-Angebot kontinuierlich dem Bedarf der Kunden und den steigenden digitalen Abhängigkeiten anzupassen. Versicherer bieten Schutz und unterstützen dadurch die Leistungsfähigkeit der Versicherten. Die Branche muss dabei eine Balance sicherstellen, die es zum einen erlaubt, dem Kunden attraktive Lösungen anzubieten und zum anderen die nötige Nachhaltigkeit und Profitabilität im volatilen Cyber-Geschäft zu erreichen.

"Cyber-Versicherung ist grundlegend wichtig für die erfolgreiche Digitalisierung der Wirtschaft. Munich Re bietet unverändert Kapazität und unser Ziel als Marktführer ist klar: Zusammen mit Kunden und Partnern entwickeln wir innovative und datenzentrierte Cyber-Lösungen. Unser Angebot erhöht die Resilienz der Versicherten und verbessert den Schutz digitaler Geschäftsmodelle. Munich Re trägt maßgeblich zu einem nachhaltigen Markt bei, der für unsere Kunden unverzichtbar ist."

Torsten Jeworrek
Munich Re
Mitglied des Vorstands

Die Nachfrage nach Cyber-Versicherungen wächst derzeit stärker als die angebotene Kapazität. Insbesondere die schadenexponierten Branchen benötigen Risikodeckung: Gesundheitswesen, Dienstleistungen, Einzelhandel, verarbeitendes Gewerbe, staatliche Einrichtungen einschließlich dem Bildungssektor sowie Finanzdienstleister. Der Fokus der Versicherungswirtschaft liegt auf klarem Wording, einem adäquaten Sicherheitsniveau und umfassender Transparenz über Risikoinformationen. Um die Nachhaltigkeit des Versicherungsangebots gewährleisten zu können, müssen Antragsteller Sicherheitsstandards nachweisen. Für den Zugang zum Versicherungsmarkt sind beispielsweise grundlegende Resilienz steigernde Maßnahmen wie Access Management, solide Netzwerksicherheit, das kontinuierliche Patchen von Schwachstellen und das Vorhandensein adäquater Backups erforderlich. 

Cyber-Kriminelle verdienen in agiler, professioneller Arbeitsteilung bald mehr Geld als der globale Drogenhandel, so Experten. Der globale wirtschaftliche Schaden durch Cyber-Kriminalität lässt sich nur schätzen. Im Jahr 2021 waren es circa 6 Bio. USD. Mit weiteren jährlichen Steigerungsraten um 15 % wird der Schaden nach Schätzung von Cybersecurity Ventures im Jahr 2025 um die 10,5 Bio. USD betragen. Prominente Schadenfälle bestimmen die Nachrichtenlage und erhöhen weiterhin das Bewusstsein für die Bedrohungen durch Cyber-Attacken. 

Nach Einschätzung von Munich Re war 2021 kein Ausnahmejahr: die Risikolage wird auch weiter extrem dynamisch bleiben. Nicht jeder geglückte Angriff wird sofort und in Gänze für das Opfer sichtbar. Die kritischen Schwachstellen sind im Jahr 2021 mit einer Zunahme von rund 20% stark angestiegen (Tenable). Angesichts dieser erhöhten Verwundbarkeit ist es entscheidend, die Bedrohungslandschaft sowie eigene Schwachstellen genau zu verstehen. Nur dann ist es Unternehmen und Organisationen möglich, sich durch gezieltes Risikomanagement zu schützen.

Experten von Munich Re gehen davon aus, dass insbesondere drei Faktoren die Bedrohungslage in 2022 charakterisieren werden: Ransomware, Supply Chain und kritische Infrastrukturen.

Wir sehen in Ransomware-Angriffen weiterhin die Bedrohung Nummer eins. Dabei wird die kriminelle Erpressung im Cyber-Space immer professioneller, komplexer und basiert häufig auf arbeitsteiligen sowie agilen kriminellen Netzwerken.

Das Geschäft mit Ransomware hat im vergangenen Jahr einen neuen Peak erreicht und zieht immer mehr Kriminelle an. Durchschnittlich erbeuteten Erpresser 118.000 USD Lösegeld pro erfolgreichem Angriff (88.000 USD 2020 / Chainalysis). Allein CNA Financial hat die Rekordsumme von 40 Mio. USD an die Hacker von “Phoenix” bezahlt. Laut Cybersecurity Ventures kam es im Jahr 2021 alle elf Sekunden zu Ransomware-Angriffen. Die Angreifer setzen dabei sowohl auf bewährte Methoden als auch auf die Erweiterung der eigenen Taktiken und Vorgehensweisen: Das anfangs auf die Entschlüsselung später auch die Exfiltration von geraubten Daten spezialisierte Geschäftsmodell wird durch sogenannte multiple Erpressungsschemata weiter ausgedehnt. 

Kriminelle Gruppen ermöglichen mit der Weitergabe ihrer Tools und Expertise die Teilhabe weiterer Täter, die ohne großes eigenes Know-how Ransomware-Angriffe durchführen können und dadurch arrivierte Ransomware-Gruppierungen mitfinanzieren. Ransomware-Programme im Dark Web sind beispielsweise für 40 USD im Monat zu mieten. Die Hackergruppe “Conti” hat als umsatzstärkster „Dienstleister“ alleine im Jahr 2021 mindestens 180 Mio. USD von Opfern erpresst oder daran verdient.

Munich Re unterstützt staatliche und privatwirtschaftlich organisierte Initiativen zur Eindämmung von Ransomware, etwa die vom US Institute for Security and Technology getriebene Ransomware Task Force (RTF), und ist zudem Mitglied bei der EU-weiten Initiative "No More Ransom".

Besondere Reichweite erzielen Akteure zunehmend durch Supply Chain Security Attacks auf Unternehmen. Vor allem globale Lieferketten und Industriebereiche, die üblicherweise ein hohes Maß an Soft- und Hardware von unterschiedlichen Herstellern nutzen, sind davon betroffen. Bei dem Angriff auf „Kaseya“ , einem Software-Dienstleister für Fernüberwachungslösungen, wurde im Jahr 2021 ein Schadcode mit Ransomware an ca. 1.500 Kunden verteilt.

Die Herausforderungen für die Unternehmen sind enorm. Es ist äußerst schwierig alle Hard- und Softwarekomponenten von den unterschiedlichen Herstellern mit den jeweiligen Anforderungen oder Sicherheitsstandards zu überblicken und das Risiko aus bzw. über die Lieferkette entsprechend zu bewerten. Der Cybersecurity Serviceanbieter Gartner schätzt, dass bis zum Jahr 2025 60% der Unternehmen das Thema Cyber-Sicherheit als wesentlichen Bestandteil bei der Vergabe von eigenen Aufträgen betrachten werden. Realistisch gesehen wird dies aber nicht für alle Zulieferer ohne weiteres und vollumfänglich möglich sein. Gemeinsame Sicherheits-Standards, strenges Riskomanagement im Bereich der Zulieferer und gute Dokumentation der kritischen Abhängigkeiten in der Lieferkette werden jedoch helfen, das Risiko zu mindern. Auch die Agentur der Europäischen Union für Cyber-Sicherheit (ENISA) bestätigte im Report “Threat landscape for supply chain attacks”, die Gefahr durch Cyber-Angriffe auf bzw. über die Lieferketten. Laut ENISA gab es in diesem Bereich im Jahr 2021 eine Vervierfachung im Vergleich zum Vorjahr. Experten rechnen übereinstimmend damit, dass Kriminelle und staatlich motivierte Akteure das Potenzial dieser Angriffsvektoren und die Kritikalität der Lieferketten weiter ausnutzen werden. Für Versicherer kann ein einzelner Angriff Schäden bei einer Vielzahl von Versicherten auslösen. Den dabei besonders kritischen digitalen Abhängigkeiten, wie der Nutzung von Cloud-Services großer Anbieter, trägt Munich Re in den Kumul-Szenarien Rechnung.

Digitale Angriffe auf Energieversorger, Lebensmittelversorger, Krankenhäuser, Verwaltungen und andere Bereiche der kritischen Infrastruktur fanden im vergangenen Jahr einen neuen Höhepunkt. Angesichts der derzeitigen politischen Konflikte erwarten wir auch in diesem Jahr kein Abflauen dieser Entwicklung. Nicht nur in Deutschland gilt die Lage als „angespannt bis kritisch“ (BSI 2021), auch Cyber-Sicherheitsbehörden in USA, UK und Australien sehen einen weltweiten Anstieg der Bedrohung für die kritische Infrastruktur.

Angreifer planen dabei Attacken oft langfristig und erhöhen die Wirkung, indem sie auf Lieferketten und industrielle bzw. automatisierte Prozesse abzielen. In der Folge eines solchen Angriffs auf Colonial Pipeline haben Benzinengpässe und Hamsterkäufe die regionale Infrastruktur an der US-Ostküste zeitweise lahmgelegt und so weltweit für Schlagzeilen gesorgt. Medial weniger beachtet blieb der Angriff eines Hackers im US-Bundesstaat Florida mit dem Versuch, die Chemikalienzufuhr in einer Wasseraufbereitungsanlage zu manipulieren und so das Wasser zu vergiften. Der Cyber-Angriff wurde rechtzeitig entdeckt, so dass letztlich keine Gefahr für die Bevölkerung der Kleinstadt Oldsmar nahe Tampa bestand. Beide Vorfälle zeigen, dass es neben dem sogenannten „Big Game Hunting“ - also den gezielten Angriffen auf besonders lukrative Erpressungsziele wie eine Pipeline – auch vermehrt Attacken auf kleinere und mittelgroße staatliche Dienstleister oder Unternehmen gibt. Diese Tendenz beobachtete auch Munich Re im vergangenen Jahr, wobei auffällt, dass gerade kleinere Unternehmen oder staatliche Einrichtungen weiterhin oft nur unzureichend geschützt und somit insgesamt gefährdeter sind.

Die Motivation der Angreifer kritischer Infrastruktur beschränkt sich nicht auf Lösegeldforderungen. Sie zielen zudem auf maximale Störung oder gar Zerstörung von Prozessen und Systemen, um wirtschaftliche und politische Instabilitäten auszulösen. Dazu kooperieren kriminelle Täter zum Teil auch mit staatlichen Akteuren. 

Der verstärkte gesellschaftliche Fokus auf das Thema Cyber-Sicherheit ist ein positives Signal: Demokratische Regierungen sind sich in Priorität und Dringlichkeit der Aufgabe zur Verbesserung der Cyber-Sicherheit sehr bewusst und gehen diese politisch, infrastrukturell und gesetzgeberisch an, wie das Beispiel der Verbesserung der nationalen Cyber-Resilienz für die USA und die EU-Strategie für die Cyber-Sicherheit zeigen. Munich Re erwartet, dass sich diese Regularien hauptsächlich auf Lösegeldzahlungen und den Umgang mit Cryptowährungen beschränken werden. Dabei sollten sowohl mit Blick auf eine nachhaltige Verbesserung Gesetzgeber als auch Versicherungsindustrie verstärkt auf Mindeststandards in Sachen Cyber-Resilienz für Unternehmen drängen. 

Munich Re unterstützt Versicherte und Unternehmen beim Aufbau der eigenen Widerstands- und Reaktionsfähigkeit. Sie erlangen so die Voraussetzungen für den Zugang zum Cyber-Versicherungsmarkt. Insgesamt kann mit besserer Resilienz und innovativer Deckung der Restrisiken die Nachhaltigkeit des Marktes weiter verbessert werden.

"Unser Ansatz in der Cyber-Versicherung ist unverändert: diszipliniert im Underwriting und stringent im Risikomanagement. Unsere Experten verfeinern die internen Modelle kontinuierlich auf der Basis eigener und fremder Daten und mit besonderem Augenmerk auf Kumulrisiken. Insbesondere im Hinblick auf Letztere stehen wir im ständigen Austausch mit unseren Zedenten und Modellanbietern, um sicherzustellen, dass unsere Ansätze zu jeder Zeit state-of-the-art sind. Nur unter diesen Bedingungen kann das volatile Cyber-Versicherungsgeschäft nachhaltig und für den Kunden verlässlich gezeichnet werden."

Jürgen Reinhart
Munich Re
Chief Underwriter Cyber

Die Bedeutung der Cyber-Sicherheit geht in der Umsetzung mit weiter steigenden Investitionen einher. Cybersecurity Ventures taxiert die globalen Ausgaben für Cybersecurity im Jahr 2021 auf 262,4 Mrd. USD. Für 2022 wird hier ein Anstieg auf knapp über 300 Mrd. USD erwartet. Nach den großen Unternehmen haben Mittelständer, Organisationen, Städte und Kommunen sowie Krankenhäuser den Wert eines wirkungsvollen Sicherheitsmanagements erkannt und werden weiter investieren. 

Nicht nur die Versicherer, sondern viele exponierte Branchen müssen anspruchsvolle Cyber-Sicherheitsstandards definieren und erfüllen. Beispiele sind hier der Automotive-Cybersecurity-Standard, der ab Juli 2022 mit der Norm ISO/SAE 21434 verpflichtend für alle Neuwägen gelten soll, oder die Norm IEC 62443 für Cyber-Sicherheit in Industrie und Automatisierung. 

In der analogen Welt brauchte es 15 Jahre bis der Sicherheitsgurt in deutschen Autos installiert werden musste und viele weitere Jahre, bis er auch tatsächlich von den Nutzern akzeptiert und angelegt wurde. In gewisser Weise ist diese historische Erfahrung auch auf die digitale Welt zu übertragen: Trotz steigenden Bewusstseins lässt die konkrete Umsetzung der Cyber-Sicherheit immer noch zu wünschen übrig.

Die Nachfrage nach Cyber-Versicherung ist in den vergangenen Jahren stark angestiegen. 

Munich Re sieht die weltweiten Cyber-Prämien weltweit bei 9,2 Mrd. USD (Anfang 2022) und schätzt, dass sie bis zum Jahr 2025 einen Wert von rund 22 Mrd. USD erreichen werden.

Und doch zeigt sich weiterhin eine Lücke zwischen dem hohen Bewusstsein für die Cyber-Bedrohung und der tatsächlichen Absicherung des Risikos. Die aktuelle Global Cyber Risk and Insurance Studie von Munich Re zeigt, dass der Anteil der Entscheider, die wegen potenzieller Cyber-Attacken auf ihr Unternehmen ernsthaft besorgt sind, mit 38 % gegenüber dem Vorjahr (30 %) deutlich zugenommen hat. Gleichzeitig gaben 83% der Befragten an, dass die eigene Firma nicht ausreichend gegen digitale Bedrohungen geschützt ist. 

Im Vergleich zum Vorjahr zeigt die Umfrage, dass Cyber-Versicherungen immer mehr Anklang finden. Der Anteil der Unternehmen, die bereits eine Cyber-Versicherung haben, stieg um ein Fünftel. Das Interesse an Cyber-Versicherung ist branchenübergreifend. Im Deckungsumfang der Policen wünschen sich die Befragten für den Ernstfall Services der Datenwiederherstellung, 24-Stunden-Hotline, Rechtsberatung und Forensik-Leistungen. Als präventive Services in der Police werden prioritär Leistungen in der Netzwerksicherheit, Backup- und Passwort-Management genannt. 

Die Ergebnisse belegen weiter erhöhtes Potenzial für integrierte Lösungen der Versicherer im Markt. Das Cyber-Angebot hat 2022 deutlich mehr Entscheider erreicht als im Vorjahr (42% erhielten ein Angebot / 34% 2021). Der Anteil der im Abschluss noch Unentschlossenen bleibt unverändert hoch bei 35% der befragten Entscheider. Allerdings muss das Cyber-Angebot noch besser bekannt gemacht werden, damit der Wert über den reinen Risikotransfer für die Versicherten deutlich sichtbar wird. 

Risikotransparenz ist für das Risikomanagement von Unternehmen und Organisationen unerlässlich. Mit der zunehmenden Nutzung von neuen Technologien und weiter steigenden digitalen Abhängigkeiten sind die heutigen Bedrohungsszenarien längst nicht erschöpft. Wesentlich für die Nachhaltigkeit des Marktes ist die Definition der Versicherbarkeit, insbesondere im Hinblick auf systemische Risiken und inwieweit diese versichert werden können. Der Ausfall von Cloud Services oder ein Multi-Client-Data-Breach sind beispielsweise gedeckt. Die Deckungsgrenzen hinsichtlich der Belastbarkeit der Portfolien werden in Kumul-Szenarien abgebildet, kontinuierlich überwacht und wenn nötig angepasst. Andere systemische Risiken wiederum sind nicht privatwirtschaftlich versicherbar. Der Ausfall kritischer Infrastruktur wie Telekommunikation oder Stromversorgung sowie ein möglicher Cyber-Krieg übersteigen die Grenzen der Versicherbarkeit und werden folgerichtig ausgeschlossen. Diese Ausschlüsse müssen transparent und eindeutig formuliert werden. Die Lloyds Market Association (LMA) hat in Zusammenarbeit mit verschiedenen Branchenteilnehmern und unter Konsultation von Munich Re für den Deckungsausschluss von Cyber-Krieg vier Standardklauseln veröffentlicht. Diese oder inhaltlich weitgehend ähnliche Klauseln sollen zukünftig in den Policen Anwendung finden, um den Spezifika der Cyber-Gefahr gerecht zu werden.

Um weiterhin eine führende Rolle bei der Gestaltung des Marktes einzunehmen, verfolgt Munich Re eine Learning-Strategie und investiert weiterhin in dezidierte Cyber-Teams und -Expertise. Generell werden sich Versicherer künftig noch stärker auf die zielgerichtete Analyse und Nutzung von Daten konzentrieren. Es geht darum, Risikoprofile zu verfeinern, Trends zu antizipieren und einzuordnen sowie aus Schadendaten zu lernen. Der Aufbau von Know-how im Bereich der Datenanalyse und Tools zur Verarbeitung relevanter interner wie externer Daten hat bei Munich Re längst begonnen. Neben einem verbesserten Verständnis für Cyber-Risiken, werden diese dazu verwendet, innovative datenzentrierte Lösungen zu entwickeln, die über den reinen Risiko-Transfer hinausgehen. 

Das Ziel in einem nachhaltigen Markt ist es, Lösungen für Cyber-Risiken als langfristiges Versicherungsangebot zu etablieren, die Resilienz der Versicherten zu erhöhen und somit den Schutz digitaler Wirtschaftsmodelle voranzutreiben. Der Risikotransfer verbunden mit Services ist für Unternehmen ein essentieller Baustein im Risiko-Management. Dabei wird es zunehmend in diesem Marktumfeld auch neue Player und Teilhaber für Risikodeckung geben: InsurTechs, Assekuradeure (MGA) oder alternative Verbriefungen (ILS/ART), bei denen sich künftig eventuell auch öffentlich-private Partnerschaften engagieren, um gesellschaftlich besonders relevante Bereiche abzusichern. Alle werden Expertise nutzen, die bereits am Versicherungsmarkt entwickelt wurde. Munich Re ist einer der Markt- und Meinungsführer in der Cyber-Versicherung. Zusammen mit unseren Kunden und Partnern gestalten wir den Cyber-Versicherungsmarkt weiterhin erfolgreich und nachhaltig.