Das vorstellbare Kumul in Cyber ist beachtlich und deswegen sehr ernst zu nehmen. Bedingt wird dies dadurch, dass eine solche Cyberattacke vor geographischen Grenzen nicht Halt macht und bisher nur limitiert Vergangenheitsdaten vorliegen: Deshalb sind Kumule nur schwer zu modellieren.

Anzeige  

 

Weiterhin tut sich die Versicherungsbranche mit dem Erfassen der Gesamtexposure-Situation in Cyber schwer. Es gibt die „affirmative“ Cyber-Deckung, Add-on-Produkte zu bestehenden P&C-Produkten („property and casualty insurance“: Schaden- und Unfall-Versicherung), bei der die Abgrenzung zwischen den Deckungselementen ein Problem werden könnte, und last but not least „Silent Cyber“-Risiken, die Versicherer heute noch ganz generell in ihren Beständen haben, wenn sie neben Cyber auch andere Schaden- und Unfall-Sparten anbieten.
[„Silent Cyber“: Damit gemeint sind potenzielle Cyber-Schäden, die in „konventionellen“ Sach- und Haftpflichtversicherungen verborgen sind, oft unbemerkt. Der Versicherer muss auch für diese Folgeschäden zahlen, wenn der Versicherungsnehmer keine spezielle Cyberpolice abgeschlossen hat: etwa für Personenschäden, wenn die Steuerung eines autonomen Fahrzeuges manipuliert wird und es in eine Menschenmenge fährt, Anmerkung Redaktion].

Cogitanda Group

Lloyd’s scheint von den „unsichtbaren“ Cyber-Risken jetzt genug zu haben - In einem radikalen Schritt hat der Markt vor Kurzem angekündigt, dass alle P&C-Policen, die über Lloyds abgewickelt werden, ab spätestens 2021 klar deklarieren müssen, ob und in welchem Umfang Cyber-Risiken gedeckt sind oder nicht.

Während wir eigene Modelle entwickeln, um das Cyber-Kumul einschätzbar zu machen, muss festgestellt werden, dass diese Aufgabe kaum von einem einzelnen Unternehmen bewältigt werden kann. Aus diesem Grund stehen wir im regen Austausch mit verschiedenen Stakeholdern der Cyber-Versicherungs- und Cyber-Security-Industrien, wie zum Beispiel Cyber-Risikomodellierern, Rückversicherern und IT-Security-Dienstleistern und Beratungen, Herstellern von Hard- und Software, etc. Wir müssen und werden dieses Thema gemeinsam in den Griff bekommen.

Ob die aktuellen Schätzungen zu Cyber-Kumulen „seriös“ sind, ist sicherlich vom Betrachtungswinkel abhängig. 2030 werden die Cyber-Kumul-Modelle von heute vermutlich belächelt werden – Daten und Erkenntnisse sind heute noch recht begrenzt. Dies bedeutet für uns jedoch nicht, dass die aktuellen Modelle und Bepreisungen von Cyber unseriös sind. Jede Zeit in der Entwicklung einer neuen Sparte hat ihre eigenen Herausforderungen. Heute, wo der Cyber-Versicherungsmarkt sich noch in den Kinderschuhen befindet, gilt es, sich mit einem tendenziell vorsichtigen Pricing aufzustellen. Schritt für Schritt werden Pricing und Kumul-Einschätzung an Qualität zulegen.

Cyberschäden ändern sich: Mir scheint, es besteht eine Art Wettlauf zwischen Hackern und Sicherheits-Dienstleistern. Bedeutet auch die Tarifkalkulation ein ständiges Hinzulernen?

Ja, der eingeschränkte „Vorhersagewert“ von Daten zu Cyber-Schäden kommt erschwerend zu den bereits zum Thema „Cyber-Kumul“ umrissenen Modellierungs-Herausforderungen hinzu. Das beste Beispiel hierfür sind die Policen, die Cyber-Versicherer bis Ende 2016 bepreist haben, bevor die beiden Ransomware-Angriffe von NotPetya und WannaCry im Folgejahr ungeahnte Schäden verursacht haben. Das Schadenpotential von Ransomware und damit die durchschnittlichen Cyber-Schäden eines Unternehmens wurden also, wenn man sich nur nach historischen Daten vor 2016 ausgerichtet hat, stark unterschätzt und die Policen waren dementsprechend nicht adäquat bepreist.

Anzeige  

 

Die Fragen stellte Mirko Wenig