Der Cyber-Versicherungsmarkt hat im vergangenen Jahr Rekordgröße erreicht. Gleichzeitig haben auch Cyberangriffe und das Volumen der kompromittierten digitalen Assets zugenommen. Ransomware und Angriffe auf Lieferketten dominierten in den vergangenen 12 Monaten die Cyberrisikolandschaft. 

Die Cyberangriffe der Zukunft werden immer mehr durch Entwicklungen bei Schlüsseltechnologien, wie künstliche Intelligenz, z. B. ChatGPT, das sogenannte „Metaverse“ und die sich weiter ausdehnende Welt der IT, dem Internet der Dinge (IoT) sowie operativer Technologie (OT) beschleunigt. All diese konvergierenden Technologien halten für die Gesellschaft, Unternehmen und Regierungen großartige Chancen bereit, doch gleichzeitig kommen auch neue Angriffsflächen, Vulnerabilitäten und Systemrisiken zum Vorschein. Der Faktor Mensch wird weiterhin die größte Schwachstelle in Sachen Cybersicherheit darstellen. Dementsprechend werden Phishing, Social Engineering („Soziale Manipulation“) und Business E-Mail Compromise (BEC) auch weiterhin erfolgreich als Angriffsvektoren dienen.

Zusätzlich zu der zunehmenden Ausgereiftheit cyberkrimineller Handlungen sehen sich Unternehmen weltweit immer stärker mit geopolitischen Konflikten konfrontiert. Dies hat bereits unvorhergesehene Auswirkungen auf die Cybersicherheit. In diesem Kontext sind Sensibilisierung, Risikobewusstsein und Vorsorgemaßnahmen essentiell, wie auch bereits unsere Global Cyber Risk and Insurance Survey 2022 sowie der Cyber Threat Outlook 2022 gezeigt haben.

In einer digitalisierten Welt ist das Cyber-Risikomanagement von zentraler Bedeutung. Und da Cyber-Versicherung ein essenzieller Teil davon ist, nimmt dementsprechend auch die Nachfrage stark zu. Einen nachhaltigen Cyber-Versicherungsmarkt zu schaffen, bleibt dabei weiterhin eine der zentralen Aufgaben der Versicherungsbranche. 

"Unsere digitale Welt zu schützen, ist gesellschaftlich und ökonomisch von größter Bedeutung. Die Versicherungsbranche nimmt hierbei von Anfang an eine zentrale Rolle ein, deren Bedeutung durch die Weiterentwicklung dieser Versicherungssparte weiter zunimmt. Stakeholder müssen auf die Herausforderungen vorbereitet sein, die durch die unvermeidbare Verstärkung digitaler Abhängigkeiten entstehen werden, und insbesondere in Cyber-Resilienz investieren. Munich Re unterstützt dieses gemeinsame Anliegen weiterhin als verlässlicher und langfristiger Partner."

Thomas Blunck
CEO Rückversicherung
Munich Re

Derzeit arbeiten weltweit 4,7 Millionen Experten im Bereich Cybersicherheit daran, die globalen Schäden durch Cyberkriminalität zu begrenzen. Man geht davon aus, dass diese in den kommenden Jahren von 8,44 Billionen USD im Jahr 2022 auf etwa 11 Billionen USD im Jahr 2023 und ungefähr 24 Billionen USD im Jahr 2027 ansteigen werden. Jedoch besteht, wie durch die (ISC)² Cybersecurity Workforce Studie vorhergesagt, weiterhin Fachkräftemangel: Um Unternehmen angemessen zu schützen, fehlen derzeit 3,4 Millionen Cybersicherheit-Fachkräfte. Eine Lücke, die auch in der näheren Zukunft nicht geschlossen werden wird. Insbesondere in Nischenbereichen – beispielsweise zum Sichern von Cloud-Umgebungen oder OT – fehlt Fachpersonal. Unsere Experten für Cyber und Risikomanagement erwarten, dass dieser Fachkräftemangel, die immer komplexer werdenden Systeme und digitalen Infrastrukturen, die stärkeren Auswirkungen von Geopolitik auf Cyberrisiken sowie die bereits bestehende Cybergefahren noch in diesem Jahr und darüber hinaus zu einer beträchtlichen Bedrohungslandschaft anwachsen werden. Schauen wir uns diese im Detail an. 

Die Geschwindigkeit, mit der sich Cyberrisiken beschleunigen, wird durch geopolitische Risiken – nicht nur durch den russischen Angriffskrieg auf die Ukraine sondern auch von Seiten anderer Akteure – weiter befeuert. In Zukunft werden diese Art von Konflikten und globale Machtspiele Haupttreiber der Cyber-(un)-sicherheit sein und die Wahrscheinlichkeit eines systemischen, katastrophalen Cyber-Ereignisses erhöhen. Munich Re erwartet in diesem Kontext weiterhin gezielte Angriffe auf kritische Infrastruktur, geistiges Eigentum oder versuchte Eingriffe in Wahlen, welche allein im Jahr 2023 in ca. 70 Ländern stattfinden. Besonderen Grund zur Sorge bilden nationalstaatliche Bedrohungsakteure, die immer mehr Ressourcen in die Cyber-Forschung und -Entwicklung investieren, um beispielsweise Zero-Day-Schwachstellen zu finden und auszunutzen. Die Situation wird darüber hinaus für alle Beteiligten besonders bedrohlich, wenn Taktik, Techniken und Verfahren von Nationalstaaten von „kommerziellen Cyberkriminellen“ angewendet werden. Es wird voraussichtlich zu fortschrittlichen Angriffen auf Technologien, Hersteller und Betreiber von Satelliten kommen. Die Weiterentwicklung und das Ausmaß an Desinformation und Destabilisierungsbemühungen werden durch den Einsatz von maschinellem Lernen, KI, Deep Fakes, Chatbots, sozialen Medien und weiteren digitalen Kanälen zunehmen. Das führt zu einer beispiellosen Gefahr für Gesellschaften und Regierungen. 

In Bezug auf Cyber-Kriegsführung muss klar kommuniziert werden, dass ein Risikotransfer nicht möglich ist. In der gesamten Versicherungsbranche besteht Einigkeit über den Deckungsausschluss von Kriegshandlungen. Das muss auch im Cyberbereich gelten – analog zu allen anderen Versicherungssparten. Munich Re unterstützt Initiativen zur Überarbeitung bestehender Ausschlussterminologie. Diese Überarbeitungen sorgen für mehr Klarheit und Transparenz für alle Marktteilnehmer. Um Gesellschaft und Wirtschaft besser auf Cyber-Kriegsszenarien vorzubereiten, berät und unterstützt Munich Re aktiv Regierungsinstitutionen und Versicherungsunternehmen beim Vorantreiben der Einrichtung effektiver öffentlich-privater Lösungen (public-private partnerships). 

Hinsichtlich Bedrohungen für Unternehmen und Einzelpersonen wird Ransomware im Jahr 2023 und auch darüber hinaus weiterhin die größten Schäden verursachen. Die Zahlen sprechen für sich. Gemäß Cybersecurity Ventures wird Ransomware bei ihren Opfern bis 2031 jährlich Kosten in Höhe von 265 Milliarden USD verursachen. Zudem wird die Situation durch neu auftretende Entwicklungen immer bedrohlicher: Unsere Experten sehen einen besorgniserregenden Trend hin zu Datenvernichtung anstelle der Datenverschlüsselung, dem Vorgeben eines Datendiebstahls als neue erfolgreiche Form der Erpressung sowie eine Konzentration von Ransomware-Angriffen auf die Cloud-Infrastruktur. Darüber hinaus werden diese skrupellosen Angriffe aufgrund der Expertise von Cyber-Kriminellen und der fortschreitenden Ausgereiftheit von Diensten wie „Reconnaissance-as-a-service“ immer zielgerichteter stattfinden. 

Seit Anfang 2020 bis zum 31. März 2023 hat das Munich Re Data Analytics Team beobachtet, dass Ransomware mit großem Abstand die Hauptursache für Cyberversicherungsschäden ist. Während im Bereich „Unternehmen und professionelle Dienstleistungen“ die höchste Zahl von Schadenansprüchen verzeichnet wurde, litt die Finanzbranche am stärksten unter deren finanziellen Auswirkungen. 

Lieferketten bleiben das bevorzugte Ziel von Hackern. Insbesondere, da die Anzahl an kritischen Engpässen und Zielen mit systemischem Risiko (z. B. Cloud-Dienste) aufgrund der schnellen Einführung digitaler Produkte, Dienstleistungen und dem hohen Grad an Vernetzung immer mehr im Kommen sind. Gemäß Gartner werden 45 % der Unternehmen weltweit bis zum Jahr 2025 Angriffe auf ihre Software-Supply-Chains erleiden, was einer Zunahme um das Dreifache seit 2021 entspricht.

In Zukunft wird Transparenz für Risikoverantwortliche hinsichtlich der Abhängigkeiten innerhalb ihres eigenen Bestands an kritischen Vermögenswerten und der Lieferketten von entscheidender Bedeutung sein. Aus diesem Grund werden immer mehr Unternehmen geschäftskritische Software-Lösungen beschaffen, die in ihren Lizenzvereinbarungen die Offenlegung von Software-Bill-of-Materials (SBOM) vorschreiben. Munich Re geht davon aus und begrüßt die Tatsache, dass Cybersicherheit zu einem entscheidenden Faktor in Geschäftsbeziehungen wird. Natürlich wird ein vollständiger Schutz nicht möglich sein. Allerdings muss sich die Sichtweise auf Investitionen in Cybersicherheit ändern, weg von einer Belastung hin zu einem Business Enabler, der das digitale Geschäft vorantreibt und die Auswirkungen eines möglichen Angriffs begrenzen hilft, und zwar in jedem einzelnen Unternehmen sowie bei dessen Geschäftspartnern und Lieferanten.

Munich Re erwartet auch im Bereich Datenschutzverletzungen und Haftung für das Jahr 2023 eine dynamische Entwicklung. Prognosen der „AWS’ Security Predictions for 2023 and Beyond“ gehen davon aus, dass im Jahr 2025 geschätzte 463 Exabyte (EB) an Daten generiert werden, was ein ganzes Universum an Möglichkeiten für Kriminelle darstellt. Insbesondere biometrische Daten werden in Zukunft aller Wahrscheinlichkeit nach im Zentrum der Aufmerksamkeit böswilliger Akteure stehen. Darüber hinaus werden die Gesetzgebung und ein gestiegenes Bewusstsein auch die Erwartungen der Kunden hinsichtlich Datenschutz beeinflussen.

Die Bedeutung dieser Trends wird durch die Tatsache unterstrichen, dass moderne Datenschutzgesetze laut Experten bis Ende 2023 die personenbezogenen Daten von Dreiviertel der Weltbevölkerung umspannen werden. Eine mögliche Konsequenz daraus besteht darin, dass Verstöße gegen Datenschutzgesetze aufgrund von unrechtmäßiger Datenerhebung genauso häufig wie Datendiebstahl sein werden. Laut dem Munich Re Data Analytics Team kommen Datenschutzverstöße derzeit vor allem in der Finanzbranche vor, gefolgt von öffentlichen Behörden / NGOs / gemeinnützigen Organisationen, Energie- und Versorgungssystemen sowie der Gesundheitsversorgung. 

Im Bereich kritische digitale Engpässe gibt es eine Branche, die nicht außer Acht gelassen werden sollte, nämlich die Welt der vernetzten Geräte. Bis zum Jahr 2025 wird es gemäß IDCs „Internet of Things Ecosystem and Trends“ 41,6 Milliarden vernetzter IoT-Geräte geben, die 79,4 Zettabyte (ZB) Daten generieren. Diese Geräte und Cyber-physischen Systeme werden die Effizienz, Flexibilität und Redundanz verbessern, aber auch den ROI der Entwicklung von Tools zum Ausnutzen dieser mit dem Internet verbundenen Geräte steigern. Letzteres wird durch Gartner unterstrichen. Das Unternehmen schätzt, dass die Schäden durch Angriffe auf Cyber-physische Systeme bis 2023 die 50 Milliarden USD Marke überschreiten werden.

Dieser Trend wird mit Blick auf die Konvergenz zwischen den IT- und OT-„Welten“ besonders besorgniserregend. Wie bereits erwähnt werden vor allem OT und die kritische Infrastruktur durch die geopolitische Situation in den Fokus gerückt. 

Munich Re hat von Beginn an erheblich in den Cyber-Markt investiert und nimmt durch entsprechendes Know-how, Modellierung, interne Prozesse, Tools, Netzwerke und Richtlinien eine globale Führungsposition ein. Bei Munich Re unterstützen wir Versicherte beim Aufbau der für die Abwehr von Cyberrisiken erforderlichen Resilienz und Reaktionsfähigkeit. Unsere Herangehensweise zielt darauf ab, einen nachhaltigen und profitablen Cyber-Versicherungsmarkt zusammen mit unseren Kunden aufzubauen, damit diese sich vor allem um ihr Geschäftswachstum kümmern können.

"Die Cyber-Versicherungssparte wird erwachsen und bleibt trotzdem eine Herausforderung. Während die Märkte und Produkte immer weiter ausreifen, müssen Fachwissen und Verlässlichkeit im Zentrum dieses faszinierenden Geschäftsfelds stehen. Bessere Exposure-Daten, Formulierungen, Cybersicherheitstrends und aus vorherigen Schäden gezogene Lehren stellen in der gesamten Branche eine Priorität dar. Ein tiefgreifendes Verständnis der Risiken ist die Grundlage für das, was unsere Versicherten am dringendsten benötigen: eine nachhaltige Versicherbarkeit und ausreichende Kapazität."

Jürgen Reinhart
Chief Underwriter Cyber
Munich Re

Die Versicherungsbranche begrüßt die Bereitstellung von mehr Cyberrisiko-Kapazität durch eine gestiegene ILS- und Kapitalmarktkapazitäten. Darüber hinaus sind auch die jüngsten Entwicklungen in der Gesetzgebung ein vielversprechender Schritt in die richtige Richtung: Im Rahmen der aktuellen geopolitischen Situation zieht die US-Regierung die Möglichkeit eines Cyberversicherung-Backstops oder öffentlich-privater Partnerschaften in Betracht, um Bereiche von besonderem öffentlichen Interesse zu schützen. Die Rolle der Finanzwelt bei der Entwicklung gesellschaftlicher Resilienz gegen Cyberrisiken hat weiteres Wachstumspotenzial. ILS-Vehikel sind nur ein Beispiel, wie genau das aussehen könnte. Naturgemäß müssen jedoch manche Beschränkungen politischen Entscheidungsträgern überlassen werden, die zu neuen Formen der Zusammenarbeit zwischen öffentlichen und privaten Akteuren zum Wohle der Gesellschaft führen sollten. Digitale Souveränität und Sicherheit haben jedoch ihren Preis für die Gesellschaft. Die Versicherungsbranche wird weiterhin ein starker Treiber für mehr und bessere Cybersicherheit und für den Aufbau digitaler Geschäftsmodelle sein.

Digitalisierung kann weder von unseren privaten, beruflichen noch politischen Aktivitäten getrennt werden – sie ist in unserer modernen Welt allgegenwärtig. Daher muss sie auf breiter Front zu einem zentralen Thema werden. Dementsprechend fordern Gruppierungen wie das Weltwirtschaftsforum bereits, dass der Schutz vor Cyberrisiken ein elementarer Bestandteil von Unternehmensführungsprozessen wird, ähnlich wie ESG-Faktoren (Umwelt, Soziales und Governance).

Cyber-Prävention und -Resilienz spielen bereits für Stakeholder wie Ratingagenturen, Anleger und Analysten eine wichtige Rolle. In diesem Kontext geht es nicht darum, Komplexität und Compliance-Regeln zu addieren – die Entwicklung folgt lediglich der Logik, zentrale Geschäftsprozesse zu schützen. Da Letzteres eindeutig den wichtigsten ROI einer Investition in Cybersicherheit darstellt, begrüßt Munich Re entsprechende Diskussionen.

Der Aufbau von Resilienz und Cybersicherheit bleibt weiterhin wichtiger Bestandteil einer erfolgreichen Digitalisierung der Wirtschaftswelt. Während ein vollständiger Schutz niemals möglich sein wird, kann jedes Unternehmen die Auswirkungen von Cyber-Angriffen begrenzen, um die Vorteile moderner Technologien voll auszunutzen. Unsere Erkenntnisse basierend auf der Bedrohungsprognose für 2023:

• Fördern Sie neue Technologien gleichermaßen wie eine Unternehmenskultur mit ausgeprägter Cybersicherheit
• Steigern Sie Cyber-Resilienz und Abwehrfähigkeit kontinuierlich
• Investieren Sie in Cybersicherheit, es macht sich bezahlt
• Bauen Sie starke Netzwerke auf, teilen und nutzen Sie Daten mit Bedacht
• Integrieren Sie Cyber-Versicherungslösungen in ihr Risikomanagement

Quellen:

• Cybersecurity Ventures: Global Cybersecurity Spending To Exceed $1.75 Trillion From 2021-2025
• European Council / Council of the European Union: Cybersecurity: how the EU tackles cyber threats
• Bundesamt für Sicherheit in der Informationstechnik (BSI) Lagebericht 2021: Bedrohungslage angespannt bis kritisch
• Cybersecurity & Infrastructure Security Agency: 2021 Trends Show Increased Globalized Threat of Ransomware
• Chainalysis: 2022 Crypto Crime Report
• Ransomware Task Force (RTF)
• nomoreransom.org
• European Union Agency for Cybersecurity (enisa): Threat landscape for supply chain attacks
• World Economic Forum: Three reasons why cybersecurity is a critical component of ESG