Cyberpolicen: Mehr als Risikotransfer

Selbstlernende Maschinen, Cloud Computing, digitale Ökosysteme: Im wachsenden Internet der Dinge steht jedes Objekt mit anderen im Austausch. Waren 2017 noch weltweit 27 Milliarden Geräte online, wird sich ihre Anzahl bis 2030 knapp verfünfacht haben, auf dann 125 Milliarden Geräte¹. Viele Industrien profitieren vom Megatrend „Konnektivität“.
 
In nahezu jeder Branche sorgen automatisierte Prozesse für mehr Effizienz und somit eine höhere Produktivität. Zudem erhofft sich die Wirtschaft durch die Auswertung einer Vielzahl von Daten neue Erkenntnisse über Interessenten und Kunden sowie deren Kaufverhalten oder welches Risiko sie darstellen können. Eine gezieltere Kundenansprache wird dadurch möglich. Zugleich fördert die Vernetzung neuartige Geschäftsmodelle. Erfolgreiche Sharing-Konzepte oder Online Plattformen sind Beispiele dafür.

Den Vorteilen der zunehmenden Vernetzung stehen allerdings auch Risiken gegenüber. Es ist eine große Herausforderung in der komplexen Welt stets die Sicherheit von Daten zu garantieren. Das bedeutet, dass Unternehmen beim Auf- und Ausbau einer digitalen Infrastruktur auch permanent in Knowhow über Datensicherheit sowie in technische Sicherheitssysteme investieren müssen, nicht zuletzt für die Abwehr von Cyberangriffen. Das wurde spätestens 2017 deutlich, als die Schadsoftware-Attacken durch WannaCry und NotPetya weltweit zu Betriebsunterbrechungen und Produktionsstopps führten. Die durch WannaCry entstandenen Kosten aus Datenverlust und Betriebsunterbrechungen übertrafen die Schäden durch Lösegeldforderungen um ein Vielfaches. Bei anderen Angriffen war häufig Erpressung auch gar nicht das Ziel, sondern die Sabotage von Betriebsabläufen oder die Vernichtung von Daten. Phishing, also das Abgreifen von sensiblen Personen- und Zugangsdaten und sogenannte DdoS-Attacken, die ganze Server durch gezielte Überlastung lahmlegen, verursachen jährlich ebenso Kosten in Milliardenhöhe. Genaue Summen sind schwer zu ermitteln; Schätzungen gehen derzeit von wirtschaftlichen Schäden durch Cyberangriffe zwischen 400 Milliarden US$ und einer Billion US$ pro Jahr aus. Insgesamt nehmen Cyberattacken, und damit die verursachten Schäden, weiter zu. 2019, so Schätzungen des Marktforschungsinstituts Cybersecurity Ventures, werden weltweit Unternehmen durchschnittlich alle 14 Sekunden einem solchen Angriff zum Opfer fallen.² Europol weist zudem darauf hin, dass es in der Vergangenheit bereits Angriffe auf kritische nationale Infrastrukturen gab, die bei Erfolg Menschenleben hätten kosten können.

Mit wachsender Gefährdung steigt die Zahl der Unternehmen, die großen Wert auf eine gute Prävention legen und sich auch Versicherungsschutz suchen. Auch rechtliche Anforderungen, wie die im Mai 2018 in Kraft getretene europäische Datenschutzgrundverordnung (DSGVO), die bei Verstößen empfindliche Strafen nach sich zieht, erhöhen den Druck, Daten besser zu schützen. Insbesondere kleinere Firmen und Mittelständler erkennen angesichts digitaler Abhängigkeit, automatisierter Prozesse oder vernetzter Lieferketten, dass es nicht mehr ausreicht, sich auf die IT-Sicherheit im eigenen Betrieb zu fokussieren. 
 
Für die Versicherungsindustrie weiten sich Cyberpolicen sukzessive zu einem wichtigen, eigenständigen Geschäftsfeld aus. Das Prämienvolumen wird sich Schätzungen zufolge weiter deutlich erhöhen: 2017 lag es bei 3,5 bis 4 Mrd. US$, für das Jahr 2020 werden bereits 8 bis 9 Mrd. US$ prognostiziert. Insbesondere Europa bietet in den kommenden Jahren gute Wachstumschancen.

Für die Versicherung stellen Cyberrisiken ganz neue Herausforderungen dar, allen voran durch das Kumulrisiko: Ein einziges Cyberereignis kann gleichzeitig viele verschiedene Unternehmen treffen und darüber hinaus Betriebsunterbrechungen bei weiteren Unternehmen verursachen. 
 
Wie lassen sich die Marktchancen nutzen, aber die neuen Risiken beherrschen? Sind Cyberrisiken am Ende gar nicht versicherbar, wie einige Branchenvertreter sagen? Sicher ist: Es gibt einige extreme Risiken, die die Versicherungswirtschaft nicht alleine tragen kann. Dazu zählen aktuell Netzwerkausfälle, die die Strom-, Internet- oder Telekommunikationsversorgung unterbrechen. Solche Szenarien und die mit ihnen einhergehenden Kosten sollten daher im Schulterschluss mit Regierungen und Unternehmen, etwa als Pool-Lösungen, adressiert werden.

Cyberrisiken unterscheiden sich in wesentlichen Punkten von traditionellen Risiken. So sind beispielsweise Daten aus der Vergangenheit, wie sie etwa bei Naturgefahren verwendet werden, mit Blick auf künftige Ereignisse wenig aussagekräftig. Daten, die heute mehr als zehn Jahre alt sind, als es noch keine Cloud oder nenneswerte Verbreitung von Smartphones gab,  helfen wenig, um die Risiken aus den heutigen Technologien einzuschätzen. Versicherer und Rückversicherer müssen im Zuge der rasanten technologischen Entwicklung auch die sich permanent ändernden Risiken erkennen und modellieren können. Ein Ansatz, der allein auf Versicherungs-Knowhow setzt, gerät schnell an seine Grenzen. Vielmehr sollte das Ziel aller Beteiligten sein, eine größtmögliche Transparenz über Cyberrisiken zu schaffen. Auch IT-Spezialisten, Behörden sowie Wissenschaft und Forschung, können dazu beitragen, für Gefährdungen zu sensibilisieren und ihr Knowhow in die Entwicklung von entsprechenden Cyberdeckungen einzubringen.

Munich Re setzt bei ihren Lösungen für Cyberrisiken auf Kollaboration mit Technologieunternehmen und IT-Security Providern. Denn die Anforderung an einen umfänglichen Schutz sind komplex und die Absicherung gegen finanzielle Einbußen ist nur ein Teil eines Gesamtkonzepts. Dafür entwickeln wir mit unseren Technologiepartnern für die Kunden hochwirksame und automatisierte Präventionsservices. Sie sollen permanent die Infrastruktur der Kunden überwachen und so zeitnah Risiken erkennen und Schäden verhindern. Und ganz wichtig: Im Schadenfall muss ein Unternehmen schnell reagieren, um den Schaden zu begrenzen und den Normalbetrieb rasch wieder aufnehmen zu können. Dabei stehen wir unseren Kunden mit einem Netzwerk von Experten zur Seite.
 
Cyberrisiken bleiben eine Herausforderung. Die Versicherungswirtschaft muss diese annehmen. Nur wenn sie ihre Angebote an neue oder veränderte Risiken und Bedarfe kontinuierlich anpasst, bleibt sie für Kunden relevant. Und es eröffnen sich Chancen für neue Geschäftsfelder.