Der Cyber-Versicherungsmarkt ist weiter gereift. Auch künftig wird der Fokus auf der Deckung der wachsenden Nachfrage und dem Management dynamischer Risiken liegen. Dabei stehen die nachhaltige Versicherbarkeit von Cyber-Risiken und die Funktionalität des Marktes im Mittelpunkt.

Thomas Blunck, CEO Rückversicherung: „Der Anteil nicht versicherter Cyber-Risiken ist immer noch zu hoch. In unserer aktuellen globalen Cyber-Umfrage geben 87 % der befragten Manager an, dass ihr Unternehmen nicht ausreichend gegen Cyber-Risiken geschützt ist. Das Risikobewusstsein und damit der Deckungsbedarf werden weiterhin steigen, auch vor dem Hintergrund der rasant zunehmenden Bedrohung durch aggressive Cyber-Kriminelle, neuer Technologien und Abhängigkeiten sowie geopolitischer Konflikte.“

Das Cyber-Risiko wächst unvermindert, angetrieben durch technologischen Fortschritt, wie etwa (generative) künstliche Intelligenz oder Cloud-Technologien. Globale Industrien sind zunehmend abhängig von IT, IoT (Internet of Things), OT (Operational Technology) und digitalen Services, beispielsweise Cloud Computing. All diese Technologien sind für viele Risikoeigner ein entscheidendes Element der Geschäftsprozesse. Darüber hinaus prägen immer ausgefeiltere Angriffe von Cyber-Kriminellen und die angespannte geopolitische Lage die Cyber-Bedrohungslandschaft und gefährden Gesellschaften und Demokratien weltweit.

In einer digitalisierten Weltwirtschaft leisten Versicherer einen bedeutenden Beitrag, indem sie Unternehmen vor den Cyber-Risiken in ihrem spezifischen Umfeld schützen. Mit ihrer Expertise, den bestehenden Kooperationsnetzwerken und einem klaren Fokus auf Datenanalyse, Risiko­quantifizierung und Kumulmodellierung verfügt die Versicherungsbranche über ein tief gehendes Verständnis der Bedrohungslandschaft und der Grenzen der Versicherbarkeit. Obwohl Wertschöpfungsketten heute überwiegend von digitalen Ressourcen abhängig sind, ist weiterhin ein zu geringes Sicherheitsniveau zu beobachten. Im Munich Re Cyber Risk and Insurance Survey 2024 geben 87 % der weltweit befragten Entscheidungsträger an, ihr Unternehmen sei gegenwärtig nicht ausreichend gegen Cyber-Angriffe geschützt. Die Cyber-Versicherungsdichte und die damit verbundene Resilienz sind dringend zu erhöhen. Im Folgenden gibt dieser Artikel einen Ausblick auf die Entwicklungen der Cyber-Risikolandschaft und deren Einfluss auf den Cyber-Versicherungsmarkt.

In den vergangenen Monaten hat Munich Re einen deutlichen Anstieg an Cyber-Angriffen beobachtet. Besonders bemerkenswert: Ransomware. Nach Angaben von Chainalysis stieg das Jahresvolumen an Ransomware-Zahlungen in Kryptowährungen von 567 Mio. USD im Jahr 2022 auf 1,1 Mrd. USD im Jahr 2023 an. Weitere kostenträchtige Angriffsarten waren Business-E-Mail-Compromise (BEC) und Angriffe auf Lieferketten. Zwischen 2021 und 2023 verursachten BEC-Angriffe Schäden in Höhe von 3 Mrd. USD und schädigten weltweit 22.000 Betroffene (Symantec). Allein 2023 verdoppelte sich die Zahl der BEC-Fälle (Verizon). Im Jahr 2023 verzeichnete man zudem doppelt so viele Lieferkettenangriffe wie in den drei vorhergehenden Jahren zusammen. Dabei fielen in 2023 bei Unternehmen Kosten in Höhe von 45,8 Mrd. USD für die Bewältigung von 245.000 Attacken auf die Softwarelieferkette an (Juniper Research). Der Angriff gegen MOVEit, bei der eine Zero-Day-Sicherheitslücke der Datentransfersoftware ausgenutzt wurde, war der bekannteste Fall in dieser Kategorie. Die Zahl der Datenschutzverletzungen blieb auf hohem Niveau, wobei die Durchschnittskosten eines Data Breaches mit 4,45 Mio. USD den bisherigen Höchststand erreichten (IBM).

Experten und Behörden stehen bei der Zusammenstellung verlässlicher Statistiken zu Cyber-Kriminalität vor enormen Herausforderungen. Mit großer Wahrscheinlichkeit repräsentieren die veröffentlichten Daten nur einen Bruchteil aller Cyber-Verbrechen. So schätzt das Bundeskriminalamt (BKA), dass bis zu 91,5 % aller Fälle von Cyber-Kriminalität nicht gemeldet werden. Einer Prognose von Statista zufolge werden die jährlichen weltweiten Kosten von Cyber-Kriminalität von 8,15 Bio. USD 2023 auf 13,8 Bio. USD bis 2028 ansteigen.

Diese Zahlen zeigen deutlich, dass Versicherungen innerhalb des Cyber-Risiko-Managements zu einem existenziellen Baustein geworden sind. Unternehmen und Organisationen, die Opfer von Cyber-Angriffen werden, erleiden oft hohe finanzielle Verluste. Diese entstehen beispielsweise durch ­Betriebsunterbrechungen und meist erhebliche Folgekosten für Forensik und/oder Daten­wieder­her­stellung sowie Schadenersatzforderungen und Reputationsschäden im Zusammenhang mit Daten­sicherheits­verletzungen. Eine Cyber-Versicherung kann vor diesen finanziellen Verlusten schützen.

Frühere Trends lassen nicht immer verlässliche Schlüsse auf zukünftige Entwicklungen zu. Dennoch liefern Angriffsmuster, Vulnerabilitäten und Schäden aus historischen Ereignissen wichtige Erkenntnisse, um sich besser gegen künftige Cyber-Angriffe zu wappnen. Ebenso ist es entscheidend, die  Auswirkungen potenzieller Bedrohungen frühzeitig und für alle Risikogruppen zu antizipieren – von Privatpersonen über Unternehmen bis hin zu Nationalstaaten. Den Experten von Munich Re zufolge werden die folgenden Risiken und Trends die Cyber-Bedrohungslandschaft 2024 und darüber hinaus prägen:

Mit der Einführung von ChatGPT sind große Sprachmodelle (LLMs) und generative künstliche Intelligenz massentauglich geworden. Allerdings hat die Ära der (generativen) KI gerade erst begonnen, und ihre langfristigen Auswirkungen auf Volkswirtschaft, Gesellschaft und Geopolitik sind schwer vorher­zusehen. KI wird zweifellos von staatlichen und wirtschaftlichen Akteuren in vielen Bereichen eingesetzt werden. In Bezug auf die Auswirkungen von KI auf Cyber-Sicherheit erwarten die Experten von Munich Re eine zunehmende Automatisierung und Personalisierung von Cyber-Angriffen – durch den Einsatz von KI werden diese zunehmend global skalierbar in allen Sprachen, bei geringeren Kosten und höherer Geschwindigkeit. So nutzen Angreifer zum Beispiel KI-gesteuerte Phishing-E-Mails und Vishing-Anrufe, um ihre Opfer hinters Licht zu führen. Neue bösartige LLMs wie WormGPT ermöglichen auch technisch weniger versierten Akteuren ­die Anwendung anspruchsvollerer Angriffsvektoren.

Die gute Nachricht: Auf der anderen Seite werden KI-Funktionen auch die Bemühungen von Cybersecurity-Experten unterstützen. KI und damit verbundene Technologien können genutzt werden, um insbesondere Funktionen für die Erkennung von Angriffen und die Reaktion darauf zu stärken sowie die Zuordnung von Cyber-Attacken zu Angreifern anhand ihrer Techniken, Taktiken und Vorgehensweisen zu erleichtern.

Auf erste Schritte hin zu einer wirksameren gesetzlichen Regulierung, wie den EU Artificial Intelligence Act, werden zeitnah weitere staatliche Maßnahmen zur Schaffung eines Rechtsrahmens auf dem Gebiet von KI-Governance und KI-Regulierung folgen.

Im Versicherungssektor wird KI höchstwahrscheinlich entlang der gesamten Wertschöpfungskette eingesetzt werden. Zum Beispiel erwartet Munich Re den Einsatz von KI in folgenden Bereichen:

• Verbesserte Risikoeinschätzung und Risikoquantifizierung ­
• Effizientere, passgenauer auf den Kunden zugeschnittene und individuellere Angebote mit optimierter  Gestaltung des Versicherungsschutzes
• Verbessertes Incident-Monitoring sowie schnellere Incident-Response-Maßnahmen und Schaden­bearbeitung
• Erhöhtes Bewusstsein für die Notwendigkeit von Cybersicherheits- und Risikomanagement-Lösungen zur Stärkung der Widerstandsfähigkeit
• Optimierung von Betriebsabläufen, Stärkung von Kundenbeziehungen und Vermittlern/Maklern, Effizienzgewinne in Underwriting- und Sales-Prozessen
• Fortschrittliche Datenanalyse, Nutzung von Telematik und Modellierung

Trotz dieser vielversprechenden Anwendungsfälle und Entwicklungen kann KI nicht die Expertise und das Wissen ersetzen, die heute für ein tiefgreifendes Verständnis von Cyber-Risiken und der diesbezüglichen Underwriting-Prozesse unabdingbar sind.

Stefan Golling, Mitglied des Vorstands und verantwortlich für den Bereich Global Clients and North America: „Technologische Entwicklungen, besonders die Anwendungs­möglichkeiten von KI, werden auch die Versicherungsbranche verändern. Dennoch bleiben unsere Investitionen in Mitarbeiter, Expertise und Kompetenzen auch weiterhin eine tragende Säule des Geschäfts von Munich Re, um auch weiterhin ein tiefes Verständnis und exzellentes Underwriting von Cyber-Risiken zu gewährleisten.“ 

Der Anstieg staatlich gesteuerter (bzw. beauftragter) Cyber-Aktivitäten und Attacken stellt eine ernste Bedrohung der globalen Cyber-Sicherheit dar. Die Gefahr, dass demokratiefeindliche Systeme und Nationalstaaten sich die Vorteile von generativer KI und LLMs zur gezielten Desinformation oder Initiierung eines Informationskriegs zunutze machen, ist real. Die potenziellen gesellschaftlichen, wirtschaftlichen und geopolitischen Auswirkungen könnten enorm sein, da die Grenzen zwischen physischer und virtueller Welt – wie auch zwischen Wahrheit und Fälschung – immer stärker verschwimmen.

Ein Schwerpunkt böswilliger staatlich gesteuerter Angriffe liegt vermutlich auf der Störung von Wahlen durch Propaganda und Manipulation, um letztlich Zweifel an deren recht­mäßigem Ablauf zu säen. Das diesbezüglich beherrschende Ereignis wird im Jahr 2024 wohl die Präsidentschaftswahl in den USA sein. Gleichwohl finden überall auf der Welt mehr als 40 weitere wichtige Wahlen mit über 4 Milliarden Wahlberechtigten statt, unter anderem in der EU, in Indien, Südkorea, Indonesien und Mexiko. Die Bekämpfung von Desinformation und die Offen­legung von Fake News stellt für jede Demokratie eine Herausforderung dar, genauso wie der Schutz des Wahlprozesses mit allen seinen digitalen Elementen.

Zusätzlich zu Desinformation (vorsätzliche Erstellung von falschen Inhalten oder Manipulation) wird Malinformation (vorsätzliche Veröffentlichung von schädigenden Daten oder privaten Informationen) eine kostenträchtige Bedrohung für Risikoeigner werden: Bis 2028 werden die Ausgaben von Unternehmen für die Bekämpfung von Malinformation 30 Mrd. USD über­steigen und damit 10 % ihrer Budgets für Cyber-Sicherheit und Marketing ausmachen (Gartner).

Nationalstaatliche Aktivitäten werden sich wahrscheinlich über arglistige Desinformation und die Einflussnahme auf Wahlen hinaus auf Wirtschafts-, Militär- und politische Spionage ausweiten. In manchen Fällen werden Cyber-Kriminelle von nationalstaatlichen Behörden entweder aktiv unterstützt oder zumindest toleriert. Die Arsenale der Nationalstaaten wachsen ungebremst und umfassen inzwischen standardmäßig zerstörerische Wiper-Attacken, die dazu ausgelegt sind, Daten auf Systemen dauerhaft zu löschen oder zu beschädigen. Es ist auch zu erwarten, dass staatlich unterstützte Angreifer verstärkt in das Thema Zero-Day-Sicherheitslücken investieren. Diese Schwachstellen können von Angreifern so lange ausgenutzt werden, bis entsprechende Patches installiert sind. Insgesamt ermöglicht dies nationalstaatlichen (bzw. staatlich unter­stützten) Akteuren, hoch effektive Cyber-Operationen unerkannt durchzuführen, die massive Schäden verursachen ­können. Hinzu kommt, dass nationalstaatliche große Sprachmodelle in manchen Fällen speziell für Malware entwickelt werden könnten.

Aufgrund des globalen Wettbewerbs im Bereich Weltraum-, Satelliten- und Kommunikationstechnik­ und der starken Abhängigkeit hiervon wird dieser Sektor ein entscheidender Faktor bei allen Überlegungen zur Cyber-Sicherheit sein – sowohl für Nationalstaaten als auch für große kommerzielle Betreiber von Satellitensystemen. Es überrascht daher nicht, dass 95 % der Ent­scheidungsträger in der Verteidigungs- und Raumfahrtindustrie der Meinung sind, die fortschreitende Digitalisierung habe zu einem dynamischeren und komplexeren Kampfgeschehen geführt (BAE Systems).

Schadendaten und langjährige Erfahrung von Munich Re liefern ein klares Bild von Cyber-Risiken und deren Auswirkungen auf die Cyber-Versicherung. Besonderen Einfluss haben Ransomware, Business-E-Mail-Compromise und Business-Communication-Compromise, Datensicherheits­verletzungen und Schwachstellen in Lieferketten.

Ransomware wird weiterhin der beherrschende Risiko- und Schadentreiber für Cyber-Versicherung bleiben. Fortschritte bei den angewendeten Technologien und Taktiken deuten auf eine kom­plexere und schadensträchtigere Ransomware-Landschaft hin, in der immer zahlreichere und schlagkräftigere Ransomware-Gruppen ihre Verweilzeiten in Zielsystemen verkürzen, etwa durch Einsatz von Prompt Injection. Ransomware-as-a-Service (RaaS)-Modelle werden auf Dark-Web-Märkten noch konkurrenzfähiger werden, unter anderem weil KI sie vorantreiben und effizi­enter machen kann. KI wird einen höheren Automatisierungsgrad bei Hacking-Prozessen fördern und zu einer starken Individualisierung von Attacken führen – mit maß­ge­schnei­dertem Phishing oder Erpressung per E-Mail, die durch KI mühelos in hoher Qualität in viele Sprachen übersetzt und somit gleichzeitig in vielen Regionen skaliert werden kann.

Die Experten von Munich Re erwarten zudem eine weitere Diversifizierung der Erpressungs­methoden, die über Verschlüsselung hinausgehen. Damit setzt sich die bereits beobachtete Verschiebung des Fokus fort von Datenverschlüsselung hin zum Datenverkauf bzw. dessen Androhung. Angriffszielgruppen können dadurch auch  Mitarbeiter, Lieferanten, Kunden und andere Dritte werden.

Die Daten von Munich Re zeigen die anteiligen Schäden durch Ransomware nach Industrie­sektor:  

Den Statistiken des Munich Re Cyber Data Analytics Team zufolge war Ransomware mit Abstand die Hauptursache für Schäden in der Cyber-Versicherung. Dabei wurde die größte Anzahl an Schadensfällen durch Ransomware im produzierenden Gewerbe festgestellt.

Für 2024 und darüber hinaus prognostizieren die Experten von Munich Re einen deutlichen Anstieg an BCC- und BEC-Angriffen. Bei solchen Angriffen werden Mitarbeiter in Unternehmen durch Täuschung zu schädlichen Handlungen verleitet, beispielsweise unautorisierte Zahlungen auszuführen oder vertrauliche Daten an externe Stellen zu übermitteln.  Im Gegensatz zu eher geringeren Scam-Schäden, gelten BEC-Angriffe als Angriffsvektoren mit sehr hohem Schadenpotential. Sie sind einfach auszuführen und erfordern praktisch kein technisches Knowhow, erzielen dabei aber die größtmögliche Beute. Nicht nur E-Mail-Systeme werden als Einfallstore genutzt, sondern auch alle anderen Kommunikationsplattformen und Social-Media-Kanäle. Gleichermaßen verursachen BEC- und BCC-Angriffe nicht nur hohe finanzielle Schäden, sondern auch Vertrauensverlust und Rufschädigung.

Beispiele hierfür sind Angriffe in Form von CEO-Betrug, bei denen sich Hacker beispielsweise als Führungskraft ausgeben und Mitarbeiter anweisen, Geld zu überweisen. Da KI-Tools und Deepfake-Technolo­gien inzwischen zum Standardarsenal von Kriminellen gehören, sind überzeugende Fake-Telefon­anrufe oder Online-Meetings und Videos leicht und kostengünstig für betrügerische Angriffe ver­fügbar. Anfang 2024 überwies ein Angestellter eines multinationalen Unternehmens in Hongkong fast 26 Mio. USD an Betrüger, nachdem er an einer Videokonferenz mit Deepfakes seiner vermeintlichen Kollegen, einschließlich des CFO, teilgenommen hatte. Der Mitarbeiter war tatsächlich die einzige in der Videokonferenz anwesende reale Person – die anderen „Teilnehmer“ waren durch KI erzeugte Fakes. 

Bis Ende 2024 werden drei Viertel aller weltweiten Konsumentendaten unter Datenschutz­bestim­mungen fallen. Allerdings werden 60 % aller regulierten globalen Unternehmen - angesichts des rasanten Anstiegs der Datenmengen durch den Einsatz von Technologie - bei der Einhaltung immer zahlreicherer Datenschutzvorschriften und Anforderungen vor Herausforderungen stehen (Gartner). 5G wird weiterhin die treibende Kraft für das Wachstum der Menge an mobilen Daten sein: Bis 2029 wird der Anteil von 5G am mobilen Datenverkehr auf 76 % steigen. Video­daten werden mit einem Anstieg von etwas über 70 % auf 80 % bis 2029 den Großteil des mobilen Datenverkehrs ausmachen (Ericsson).

Trotz all der technologischen Entwicklungen sollte ein Faktor bei der Betrachtung von Datenschutzverletzungen oder Cyber-Angriffen nicht vergessen werden: Der Wert und die Kritikalität von Daten werden im Zusammenhang mit den geltenden Datenschutzvorschriften und den damit verbundenen Haftungsfragen jene Gruppen weiter befeuern, die Hack-for-Hire- und Datendiebstahldienste anbieten. Auch künftig werden selbst die raffiniertesten "Data Breaches” noch in rund 90 % der Fälle den Faktor Mensch beinhalten (Forrester). Deshalb sind intensivierte Bemühungen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern und die Schaffung geeigneter Abwehrmechanismen heute und in Zukunft unabdingbar.

Die Schadendaten von Munich Re ergeben die folgende Rangliste in Bezug auf den Anteil an Schäden durch Datenschutzverletzungen, einschließlich unerlaubter Offenlegung und  Erhebung von Daten:

Diese Rangliste spiegelt die Kritikalität von Daten im Finanzwesen, IT- und Gesundheitssektor sowie deren jeweiliges Gefährdungspotenzial durch Datenschutzverletzungen wider.

Die Abhängigkeiten von Soft- und Hardwarelieferketten sowie digitalen Diensten werden weiterhin stark ansteigen. Dabei ist die Lieferkette als offensichtliche Achillesferse von Unter­nehmen ein durchwegs interessantes Ziel für Angreifer. Gemäß den Erwartungen der Munich Re Experten nimmt die Anzahl an Hacker-Angriffen auf die digitale Lieferketten (IT/OT/IoT) von Lieferanten, Herstellern und Anbietern weiter zu. Außerdem wird die Zahl der „Supply-Chain-Attacks-as-a-Service“ weiter ansteigen, womit auch technisch weniger versierte Hacker-Gruppen dieses Feld erschließen können.

Um diese potenzielle Entwicklung in die richtige Relation zu setzen: Laut einer Studie des Weltwirtschaftsforums (WEF 2024) waren 41 % der befragten Unternehmen durch einen Cyber-Angriff auf einen ihrer Partner betroffen. Kleine und mittelgroße Lieferanten werden dabei immer stärker ins Visier genommen mit dem Ziel, später in die Unternehmenssysteme ihrer größeren Kunden eindringen zu können. Schätzungen zufolge ist bei Unternehmen weltweit ein Anstieg der Kosten durch Angriffe auf die Softwarelieferkette von 46 Mrd. USD im Jahr 2023 auf 60 Mrd. USD im Jahr 2025 zu erwarten (Juniper Research).

Innerhalb eines Jahrzehnts hat sich Cyber-Versicherung für Unternehmen, Organisationen und Privatpersonen als wesentlicher  Baustein des Managements von Cyber-Risiken etabliert. Angesichts einer extrem dynamischen Bedrohungslage, in der geopolitische und technologische Stressfaktoren neue Prioritäten vorgeben, sind die Bewältigung von Heraus­forderungen im Hinblick auf Versicherbarkeit und das Management von Kumulrisiken entscheidend, um die Nachhaltigkeit und Funktionalität eines noch heranreifenden Marktes sicherzustellen. Dabei definieren Versicherer und Risikomodellierer die Grenzen und Möglichkeiten der Versicherbarkeit.  Die zu erwartende zukünftige globale Nachfrage verlangt ausreichende und verlässliche Kapazität von Versicherungs- und alternativen Kapitalmärkten

Cyber-Risiken müssen adäquat gemanaged werden. Dies gilt auch für Risiken, die der private Sektor nicht – oder zumindest nicht vollständig – allein bewältigen kann.

Kumulrisiken verlangen ein angemessenes Management, um die erforderlichen Kapazitäten für eine ausreichende Deckung bereitzustellen. Die Risikomodelle bilden die Grundlage für eine ausgewogene Risikobereitschaft der Versicherer und müssen potenziell katastrophale systemische Cyber-Szenarien mit ihren maximal möglichen Schäden adäquat widerspiegeln. Je genauer die Modellierung ist, desto weniger Unwägbarkeiten muss der Versicherer einkalkulieren.

Munich Re investiert in Initiativen und Ressourcen, die sowohl das eigene als auch das Verständnis der Branche für die gesamte Cyber-Exponierung vertiefen und die Risikomodellierung stetig verbessern. Eine robuste Kumulmodellierung ist die Grundlage aller Underwriting- und Risikomanagementaktivitäten. Bei Munich Re übernehmen dies multidisziplinäre Cyber-Expertenteams. 

Jürgen Reinhart, Chief Underwriter Cyber: „Unsere Aufgabe ist klar und spielt eine entscheidende Rolle: Wir arbeiten mit Kunden, Partnern und Maklern zusammen, um effektive Cyber-Versicherungslösungen bereitzustellen, die unsere digitalisierte Gesellschaft und Wirtschaft schützen und widerstandsfähiger machen. Eine der zentralen Herausforderungen für unsere Branche ist dabei, adäquate Cyber-Kumulmodelle weiterzuentwickeln. Diese sind die Grundlage für einen profitablen, nachhaltigen Cyber-Versicherungsmarkt. Munich Re strebt weiterhin nach Exzellenz in der eigenen Modellierung und unterstützt Initiativen, um die Modellierung in der gesamten Branche voranzubringen.“

Munich Re tauscht sich auch aktiv mit Stakeholdern in der Branche zu verschiedenen Aspekten der Kumulmodellierung aus, um Unterschiede in der Risikoeinschätzung zu identifizieren und um die Aussagekraft und Zuverlässigkeit von Modellen für den gesamten Markt zu verbessern. Beispielsweise kooperieren Experten von Munich Re mit externen Datenanbietern und Modellierungsexperten mit dem Ziel, die Qualität und Quantität von Daten zu steigern, Risiken noch besser zu verstehen und die Risikoquantifizierung weiterzuentwickeln. Adäquate Cyber-Kumulmodelle sind eine Grundvoraussetzung für einen profitablen, nachhaltigen Cyber-Versicherungsmarkt und deren Weiterentwicklung stellt für die gesamte Branche eine Heraus­forderung dar. Klarheit im Hinblick  auf die Grenzen der Versicherbarkeit ist unabdingbar. Die langfristige Nachhaltigkeit des Cyber-Versicherungsmarkts kann nur sichergestellt werden, wenn die notwendigen Risiko-Ausschlüsse, insbesondere Cyber-Krieg klar sind. Munich Re bleibt diesbezüglich bei ihrer konsequenten Haltung. Sie unterstützt sowohl lokale Marktinitiativen als auch individuelle kundenspezifische Lösungen. In Bezug auf das eigene Portfolio war zuletzt die Implementierung von geeigneten fit-for-purpose Kriegsausschlüssen insbesondere im Großindustriesegment erfolgreich. Dennoch gibt es auch Fälle in denen Munich Re Geschäft aufgibt. Im Vertragsgeschäft mit Erstversicherern wird das sogenannte “guardrail” Konzept die Transformation weiter beschleunigen, da dieser Ansatz den Risikoappetit bei gleichzeitig größtmöglicher Flexibilität auf der Originalseite unmissverständlich definiert.

Cyber-Versicherung hat zweifellos zum Aufbau einer höheren Resilienz beigetragen. Gleichzeitig gibt es  Grenzen der Versicherbarkeit. Die Schäden aus katastrophalen systemischen Ereignissen wie einem Cyber-Krieg oder einem Ausfall von kritischer Infrastruktur würden die Kapazität der Branche bei weitem übersteigen. Solche Szenarien bedrohen die makroökonomische Stabilität. Genau aus diesem Grund bedarf es der Mitwirkung von Regierungen bei der Bewältigung dieser potenziell katastrophalen Cyber-Risiken. Munich Re kann und wird die Entwicklung entsprechender Lösungen unterstützen und plädiert klar für die Einführung eines Cyber-Schutzschirmes für die Wirtschaft. Die Gespräche über derartige staatliche Absicherungen, auch als „Government Backstops“ bezeichnet, sind bereits im Gange.

Jürgen Reinhart, Chief Underwriter Cyber: „Die mit der Digitalisierung einhergehenden Risiken stellen eine gesamtgesellschaftliche Herausforderung dar. Die Versicherungswirtschaft trägt ihren Teil zur Bewältigung dieser Risiken bei. Jedoch können die größten systemischen Cyber-Risiken, etwa der Ausfall kritischer Infrastruktur oder Schäden durch einen Cyber-Krieg, nicht durch den privaten Sektor allein getragen werden. Wir stehen bereit,  Regierungen beim Management dieser potenziell katastrophalen systemischen Risiken für unsere Gesellschaften zu unterstützen, indem wir gemeinsam nach alternativen Lösungen suchen.“

Der globale Cyber-Versicherungsmarkt hat 2023 ein Volumen von circa 14 Mrd. USD erreicht und wird nach Schätzungen von Munich Re bis 2027 auf rund 29 Mrd. USD anwachsen. Das erhebliche Wachstumspotenzial des Marktes ergibt sich u.a. aus einer gesteigerten Sensibilisierung ­im Hinblick auf Cyber-Angriffe und den damit verbundenen möglichen finanziellen Folgen. Darüber hinaus tragen striktere regulatorische Anforderungen dazu bei, etwa die europäische Network and Information Security Directive (NIS 2), die im Oktober 2024 in Kraft tritt. NIS 2 ist ein wesentlicher Schritt bei der Anhebung der Cyber-Sicherheit und -Resilienz in Europa. Weitere Wachstumsfaktoren sind nach wie vor die andauernde digitale Transformation und der technologische Fortschritt in allen Sektoren sowie konkrete An­forderungen von Geschäftspartnern innerhalb der Lieferkette. Dieser Trend untermauert die Bedeutung von Cyber-Versicherung als Kernelement des Risikomanagements für ausreichende Cyber-Sicherheit. 

Der Markt für Cyber-Versicherung ist in den vergangenen fünf Jahren auf annähernd das dreifache Volumen angewachsen. Dies lässt sich unter anderem dem starken Engagement der Rückversicherer und dem in letzter Zeit zu beobachtenden – wenn auch noch schwachen – Interesse der Kapitalmärkte am Thema “Cyber” zuschreiben. Andererseits ist bis heute nur ein Bruchteil der Cyber-Risiken versichert. Der Löwenanteil des Cyber-Prämienvolumens stammt vorwiegend von Großunternehmen. Mittel­ständische Unternehmen tragen ihre Cyber-Risiken oftmals noch alleine.

Eine große Herausforderung besteht für Versicherer darin, die Lücke zwischen wirtschaftlichen und versicherten Verlusten zu schließen. Angesichts des sehr dynamischen Anstiegs der Risiken in einer digitalisierten Wirtschaft ist eine höhere Versicherungsdurchdringung bei Cyber-Risiken das oberste Ziel. Indem sie ihren Beitrag zum Schutz der digitalen Welt leistet, stellt die Versicherungsbranche einmal mehr ihre Bedeutung für die Widerstandsfähigkeit der Wirtschaft und der Gesellschaft unter Beweis. Versicherer werden weiterhin attraktive Lösungen anbieten und darauf hinarbeiten, noch nicht versicherte Unternehmen von deren Nutzen zu überzeugen. Hierbei ist es besonders wichtig, einen ausreichenden und nachhaltigen Versicherungsschutz zu gewährleisten. Mit unserer Expertise und Finanzstärke bleibt Munich Re dem Ziel verpflichtet, als relevanter Partner dem­ Bedarf der Kunden und Zedenten gerecht zu werden.

Quellen:

• Munich Re Cyber Risk and Insurance Survey 2024
• Chainalysis www.chainalysis.com/blog/ransomware-2024/
• Symantec www.symantec.broadcom.com/ransomware-threat-landscape-2024
• Verizon www.verizon.com/business/resources/reports/dbir/2023/summary-of-findings/
• Juniper Research www.juniperresearch.com/press/study-reveals-staggering-cost-of-software-supply/
• IBM https://newsroom.ibm.com/2023-07-24-IBM-Report-Half-of-Breached-Organizations-Unwilling-to-Increase-Security-Spend-Despite-Soaring-Breach-Costs
• BKA https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2022.pdf
• Statista www.statista.com/forecasts/1280009/cost-cybercrime-worldwide
• WEF www.weforum.org/agenda/2024/01/ai-democracy-election-year-2024-disinformation-misinformation/  and   www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2024.pdf
• Gartner www.gartner.com/en/newsroom/press-releases/2023-10-17-gartner-unveils-top-predictions-for-it-organizations-and-users-in-2024-and-byond and  www.gartner.com/en/newsroom/press-releases/2022-05-31-gartner-identifies-top-five-trends-in-privacy-through-2024
• BAE Systems www.baesystems.com/en/digital/blog/the-role-of-space-in-the-future-digital-battlefield
• Ericsson www.ericsson.com/en/reports-and-papers/mobility-report/dataforecasts/mobile-traffic-forecast and www.ericsson.com/en/reports-and-papers/mobility-report/mobility-calculator/innovative-video-formats-on-the-horizon
• Forrester www.forrester.com/blogs/the-future-is-now-introducing-human-risk-management/