dcsimg
Cyber Insurance: From risks to opportunitie
© Times Square/Gold GmbH/ B&M Noskowski/Getty Images; GarryKillian/Getty Images
Cyber

Cyberversicherung: Von Risiken zu Chancen

Cyberversicherung – nur ein Hype?

Cyberbedrohungen gehören sicherlich zu den größten Sicherheitsrisiken des 21. Jahrhunderts. Gerade in größeren Unternehmen gelten Cyberangriffe als eine der größten Bedrohungen – nicht nur, was Kundendaten oder interne IPs angeht, sondern auch in Bezug auf viele laufende Geschäftsprozesse. Es überrascht nicht, dass die Nachfrage nach Cyberdeckung im aktuellen unternehmerischen Umfeld steigt. 

15.10.2018

Die Notwendigkeit, den Betrieb zusätzlich zu den IT-Sicherheitslösungen auch mittels Cyberversicherung zu schützen, ist mehr als offensichtlich, was auch ein ständig wachsendes Interesse seitens kleiner und mittelständiger Unternehmen an Cyberdeckung bedeutet. Der zunehmende digitale Wandel, der Trend zu globaler Konnektivität und Vernetzung, das Internet der Dinge (IoT), die wachsende Anzahl virtueller Plattformen und Geschäftsmodelle in fast allen Branchen sowie Governance-Anforderungen durch internes Risikomanagement und verstärkte staatliche und legislative Maßnahmen, wie die im Mai in Kraft getretene Datenschutz-Grundverordnung (EU-DSGVO), werden diese Entwicklung ohne Zweifel weiter vorantreiben.

Und tatsächlich sind den Cyber-Versicherungsmarkt betreffenden Zahlen vielversprechend: Ende 2017 überstieg die weltweite Prämie 3,5 Milliarden US-Dollar, wobei der US-Anteil dominierte. Diese Dominanz der USA scheint jedoch inzwischen nachzulassen, da die aktuelle Entwicklung des europäischen Marktes eine sehr positive Entwicklung mit steigenden Prämienwerten in fast allen europäischen Ländern zeigt. Insgesamt sind und bleiben Cyber- oder Cyberbezogene Versicherungslösungen somit weit mehr als nur ein kurzer Hype in einer weichen Marktsituation.

Cyberdeckung - was sind die zentralen Herausforderungen?

Der Cyberversicherungsmarkt, der verschiedene Arten von Versicherungsschutz anbietet, hat sich in den letzten Jahren rapide entwickelt. Die Komplexität der Cybergefahr und die sich entwickelnde Natur des Risikos bringen vielfältige Herausforderungen bei der Gestaltung von Versicherungsprodukten, beim Underwriting, beim Risikomanagement und bei der Kumulkontrolle mit sich.

Wie in anderen Geschäftszweigen ist auch bei der Cyberversicherung eine korrekte Cyberrisikobewertung entscheidend wichtig. Der richtige Ansatz muss weiterentwickelt werden. Erstrecken kann sich dies beispielsweise von der Outside-in-Perspektive mit automatisierten Cyber-Rating-Tools hin zu einer Inside-out-Perspektive, die mit Überwachungstools oder traditionellen Cyber-Risikofragebögen und Interviews erreicht wird.

Eine geeignete Risikobewertungsmethode stellt eine der wichtigsten Säulen für die Bewertung des Cyberrisikos dar. Es wurden zwar Preismodelle entwickelt, allerdings ist die erweiterte Preisgestaltung auf der Grundlage gültiger historischer Daten und versicherungsmathematischer Modelle bisher nicht ausreichend getestet worden. Dies könnte dazu führen, dass Underwriter denken, dass Cyberrisiken zuverlässig bewertet und berechnet werden können, wenn dies tatsächlich nicht der Fall ist – zumindest nicht im Vergleich zu anderen Geschäftsbereichen.

Aufgrund des Geschäftspotenzials des wachsenden Cyberversicherungsmarktes sind viele unerfahrene Akteure auf den Markt gedrängt. Aufgrund des Wettbewerbs könnten einige Akteure dazu gezwungen sein, Cyberversicherungen unter dem Druck des Marktes anzubieten, ohne dass sie über ein tieferes Verständnis des zugrunde liegenden Risikos verfügen. In einer Situation, in der weder Versicherungspolicen getestet wurden noch ausreichende Schadensfalldaten vorliegen, stellt eine Prämienreduzierung darüber hinaus aufgrund der hohen Versicherungskapazität und des weichen Marktes ein großes Risiko dar. Außerdem führen diverse ergänzende Cybervertragsbestimmungen, die auf die Aufrechterhaltung des Prämienniveaus zielen, zu einem erhöhten Systemrisiko.

Die Komplexität eines Risikos, seine Bewertung und vor allem der Mangel an Daten und Verständnis werden bei Betrachtung des enormen Kumulpotenzials von Cyberpolicen zu entscheidenden Faktoren, was darüber hinaus auch für konventionelle Policen gilt, die ebenfalls eine gewisse Deckung für Cyberrisiken enthalten können. Da Konnektivität und Cybertechnologie allgegenwärtig sind, kann ein weit verbreitetes Einzelereignis zu einer Vielzahl von Cyberverträgen führen. Die wichtigsten möglichen Ausgangspunkte für Kumulszenarien sind:

  • Ein groß angelegter Angriff auf die Datensicherheit
  • Deckung von Rückwirkungsschäden
  • Ausfall externer Netzwerke wie Internet, Telekommunikations- oder Versorgungsnetze
  • Ausfall sonstiger Dienstleister mit hoher Kundenkonzentration wie Cloud-Anbieter oder DNS-Server
  • Sicherheitslücken in gängiger Standard-Software

Ein Internetausfall birgt für Versicherer und Rückversicherer Kumulgefahren in erheblicher Größenordnung. Deshalb ist es wichtig, die einschlägigen Vertragsbestimmungen genau zu kennen und zu wissen, inwieweit Deckung besteht. Aus Sicht der Munich Re handelt es sich beim Ausfall eines externen Netzwerks - wie z. B. Internet, Strom oder Telekommunikation, das je nach Netzwerk erhebliche finanzielle Auswirkungen auf die Kunden hat - nicht um ein versicherbares Risiko. Zumindest kein Risiko, das von der privaten Versicherungswirtschaft allein abgedeckt werden könnte, möglicherweise jedoch in Zusammenarbeit mit Regierungen und Cyberpool-Lösungen. Daher müssen die Vertragsbestimmungen für Versicherungen und Rückversicherungen einen Ausschluss dieser Risiken enthalten.

Zu den Herausforderungen, die in Zukunft zu bewältigen sein werden, gehört die Harmonisierung von Risikobewertung und Risikoselektionsprozessen, Vertragsbestimmungen, Definitionen sowie der in Deckungsbestandteilen verwendeten Terminologie.

Neben der Versicherungswirtschaft können auch andere Interessengruppen zur Bewältigung bestehender Herausforderungen beitragen, wie die folgenden Ergebnisse der Online-Abstimmung von Teilnehmern der OECD-Versicherungskonferenz (Paris, 22./23. Februar 2018) zeigen:

Datenquelle: OECD (2018), Freisetzung potentieller Cyber-Versicherungen
Datenquelle: OECD (2018), Freisetzung potentieller Cyber-Versicherungen
Link: www.oecd.org/finance/2018-oecd-conference-cyber-insurance-market.htm
Diese Umfrage zeigt sehr gut, dass es mehr als nur einen silobasierten Ansatz von Versicherungsunternehmen braucht, um den bestehenden Mangel an Marktreife und die sich verändernde Bedrohungslandschaft zu bewältigen. Von entscheidender Bedeutung wird stattdessen die Zusammenarbeit auf verschiedenen Ebenen und über eine Vielzahl von Ökosystemen hinweg sein.

Cyberrisiken versichern: Not if, but how

Neben der erforderlichen Zusammenarbeit mit Interessengruppen wie IT-Sicherheitsdienstleistern, F&E-Umgebungen, Regierungen, Aufsichtsbehörden und Risikoverantwortlichen muss die Versicherungswirtschaft einen gewaltigen Beitrag leisten, um der aktuellen digitalisierten Geschäftswelt gerecht zu werden. Es müssen daher neue Cyberversicherungsprodukte und Erweiterungen bestehender Versicherungsdeckung entwickelt und angeboten werden, mit einer klaren Tendenz zu eigenständiger Cyberdeckung. Der Kundenkreis reicht von Privatpersonen über kleine und mittelständige Unternehmen bis hin zu großen Unternehmen und kritischen Infrastrukturen.

Angesichts der immer stärkeren Exponierung von Unternehmen sollten alle Versicherungsgesellschaften über Lösungen für diese neuen Risiken nachdenken, insbesondere im Hinblick darauf, dass einige der bestehenden Versicherungspolicen in den traditionellen Geschäftsfeldern von Cyberversicherern und auch Marktteilnehmern, die keine Cyberversicherung anbieten, bereits von sogenannten „stillen Cyberrisiken“ betroffen sein können, obwohl dies im Vertrag nicht ausdrücklich festgelegt ist

Stille Cyberrisiken können im Rahmen verschiedener konventioneller Deckungen auftreten, von der Schaden- bis zur Unfallversicherung. Selbst Lebensversicherungen können durch ein stilles Cyberevent ausgelöst werden, da nicht nur gesundheitsbezogene Geräte, sondern auch Implantate wie Herzschrittmacher intelligent und vernetzt und daher anfällig für Cyberbedrohungen sind.

Aus Sicht des Risikomanagements und der Risikokontrolle ist es von entscheidender Bedeutung, dass die Versicherungswirtschaft sicherstellt, dass potenzielle stille Exponierungen explizit angesprochen und berücksichtigt werden. Versicherungsunternehmen sollten es vermeiden, Risiken ohne ordnungsgemäße Risikoprüfung, Risikobewertung, Preisgestaltung und Kumulmanagement einzugehen. Unsicherheiten müssen durch die Formulierung klarer Ausschlussklauseln bzw. durch Einführung klarer Deckungsklauseln in traditionellen Geschäftsbereichen beseitigt werden. Cyberrisiken müssen explizit in eigenständigen Cyberpolicen oder in Cyberzusatzklauseln geregelt werden.

Die Rolle der Versicherungen

Der Punkt Zusammenarbeit ist entscheidend - dies gilt insbesondere für die Partnerschaft mit der Rückversicherung. Aufgrund der Komplexität des Risikos und seines erheblichen Kumulpotenzials sind die Versicherer zur Bewältigung des Risikos stark auf Rückversicherungskapazitäten angewiesen. Für die Munich Re bleibt die Abdeckung von Cyberrisiken als strategisches Zukunftsmodell ein Schwerpunkt des Geschäfts. Um den hohen Erwartungen hinsichtlich des Marktzuwachses von Cyberversicherungen gerecht zu werden, hat die Munich Re erhebliche Ressourcen in den Bereichen Cyber-Underwriting und Claims geschaffen. Wir beschäftigen ausgewiesene Cyberexperten, deren Expertise auch dem Markt zur Verfügung gestellt werden kann. Darüber hinaus gibt es in allen Geschäftseinheiten für alle relevanten Märkte dedizierte Cyber-Underwriter und einen sogenannten Cyber-Experten-Pool.

Für das Zielkundensegment „Kleine und mittelständische Unternehmen“ bieten wir unseren Kunden umfassende Serviceleistungen rund um das Produkt Cyberversicherung. Denn gerade dort steht bei einem erfolgreichen Cyberangriff im schlimmsten Fall die Existenz der gesamten Firma auf dem Spiel.

Rückversicherungslösungen sollten sich daher immer auf die Infrastruktur, das Know-how und die jeweilige Risikobereitschaft des Erstversicherers verlassen können. Aus diesem Grund steht ein breites Spektrum an Dienstleistungen - das so genannte Munich Re Cyber-Toolkit - auf Anfrage während des gesamten Produktentwicklungsprozesses zur Verfügung.

Als weltweit führender Erst-, Exzedenten- und Rückversicherer bietet die Munich Re für Industriekunden Cyberdeckungen mit hohen Deckungssummen. Modulare Cyberlösungen für Industriekunden reichen von klassischen Deckungen für Datenschutzverletzungen über Kostenübernahme für Lösegeldforderungen für Cybererpressungen bis hin zu Betriebsunterbrechungsdeckungen, einschließlich der Übernahme der Kosten für Forensik. Abhängig vom Risikoprofil unserer Kunden integrieren wir innovative Deckungskonzepte wie etwa Reputationsschadendeckung, Schutz für Personen- und Sachschäden oder Vertragsstrafen oder Garantiezahlungen, wo diese durch ein Cyberevent ausgelöst werden.

Diese verschiedenen Dienstleistungen und Themen zeigen, dass mehr als ein einfacher Risikotransfer erforderlich ist: Die Rückversicherung muss gemeinsam mit den Versicherern dazu beitragen, kleine und mittelständische Unternehmen umfassend und ihrer individuellen Risikosituation angemessen vor existenzbedrohenden Ereignissen zu schützen. Große Unternehmen benötigen sehr oft maßgeschneiderte Lösungen für individuelle Bedürfnisse.

Wir verwenden Cookies um Ihr Internet-Nutzungserlebnis zu verbessern und unsere Websites zu optimieren.

Mit der weiteren Nutzung unserer Website stimmen Sie der Verwendung von Cookies dieser Website zu. Weitere Informationen zu Cookies und dazu, wie Sie die Cookie-Einstellungen in Ihren Browsereinstellungen anpassen können, finden Sie in unsereren Cookie-Richtlinien.
Sie können Cookies deaktivieren, aber bitte beachten Sie, dass das Deaktivieren, Löschen oder das Verhindern von Cookies Ihre Internet-Nutzung beeinflussen wird.