Ein Gastbeitrag von Dr. Clemens Frey, Mathematiker und Aktuar DAV. Er leitet innerhalb der Deutschen Aktuarvereinigung e.V. die Arbeitsgruppe zum Thema Cyber.

Anzeige

Zunächst zum Begriff: Unter Cyberrisiko versteht man, dass IT-Systeme oder Daten nicht (mehr) verfügbar oder dass Vertraulichkeit und Integrität von Daten nicht (mehr) gewährleistet sind. Dabei ist es egal, ob ein Cyberereignis versehentlich oder bewusst herbeigeführt wurde. Ebenso ist egal, ob eigene oder externe IT-Ressourcen (wie jene eines Cloud-Anbieters) betroffen sind.

Marktentwicklung

Clemens Frey, Mathematiker und Aktuar DAVDAVEiner repräsentativen Umfrage des Kriminologischen Forschungsinstituts Niedersachen zufolge gaben zwei Fünftel der deutschen Unternehmen an, dass sie in den letzten zwölf Monaten Ziel eines Cyberangriffs waren, verursacht derzeit vor allem durch Ransomware-Attacken. Lloyd’s warnte jüngst aber auch vor Attacken, die auf physische Assets und kritische Infrastruktur zielen. Laut einer aktuellen Umfrage von Forsa im Auftrag des GDV erwarten 60 Prozent der deutschen Mittelständler, dass im Zuge des Ukraine-Krieges mehr Cyberangriffe auf deutsche Unternehmen stattfinden. Im weltweiten Maßstab beliefen sich Ende 2020 laut einer Studie von McAfee die Schäden auf eine Billion, also 1.000 Milliarden US-Dollar.

Cyberrisiken werden daher von der Bevölkerung und der Wirtschaft als relevante, teilweise sogar als bedrohliche Risikokategorie wahrgenommen. Die Bedeutung der Cyberversicherung nimmt also zu. Für 2020 betrug das weltweite Cyber-Prämienvolumen mehr als sieben Milliarden US-Dollar – bis 2025 wird von 20 bis 22 Milliarden US-Dollar ausgegangen.

Spezifische Herausforderungen

Für Versicherungsunternehmen, die Cyberpolicen entwickeln und vermarkten, wird es somit immer wichtiger, diese möglichst zuverlässig zu kalkulieren. Dabei stellen sich Herausforderungen, die stark von klassischen Versicherungssparten abweichen.

Zunächst unterliegen Cyberrisiken kontinuierlichen Veränderungen. Angriffsmuster und Gegenmaßnahmen entwickeln sich ständig weiter – das heißt, die Gefährdungslage ändert sich fortlaufend. Auch die Haftungssituation verändert sich durch neue Präzedenzfälle laufend, was direkt auf die Produktgestaltung und auf die Ausschlüsse durchschlägt.

Weiter weisen Cyberrisken eine starke Kumulgefährdung auf. Ein einzelnes Cyberereignis kann eine sehr große Anzahl von versicherten Einzelrisiken betreffen, ähnlich wie Stürme oder Erdbeben. Die Auswirkungen eines Cyberereignisses sind allerdings geografisch nicht begrenzt, können zudem sowohl Eigenschäden als auch Drittschäden hervorrufen. Es können Schäden finanzieller Art entstehen, aber auch Infrastrukturschäden, physische Schäden und Personenschäden. Und ein solches Ereignis kann auch auf der Anlageseite der Versicherungsbilanzen negative Auswirkungen haben.

Die vermutlich größten Herausforderungen haben Versicherer auf der Daten- und Modellseite. Cyberrisken müssen mit geeigneten mathematischen Modellen bewertet werden, um Cyberpolicen mit einem angemessenen Preis versehen zu können. Ein Modellierungsstandard wie in anderen Versicherungssparten hat sich für Cyber noch nicht herausgebildet; dies ist noch Gegenstand aktueller wissenschaftlicher Forschung. Auch die Deutsche Aktuarvereinigung (DAV) beteiligt sich aktiv an der Modellentwicklung.

Anzeige

In jedem Fall benötigen all diese Modelle geeignete Daten, die der aktuellen Risiko- und Haftungssituation entsprechen. Allein aufgrund der Neuartigkeit der Produkte, aber auch wegen der oben bereits angesprochenen Dynamik fehlt es meist an aussagekräftigen Daten in hinreichender Qualität. Diese Datenherausforderung beschränkt sich nicht nur auf reine Cyberpolicen. Auch in klassischen Policen sind Cyberrisiken – falls nicht mit einem Ausschluss belegt – eine mögliche Schadenursache und damit einzupreisen (Stichwort Silent Cyber).

Lösungsansätze

Natürlich sehen sich Versicherungsunternehmen unterschiedlich von den oben genannten Herausforderungen betroffen – je nach Art und Umfang der gezeichneten Cyberpolicen, dem angesprochenen Kundensegment und dem eingekauften Rückversicherungsschutz. Dennoch lassen sich einige Handlungsmuster für Versicherer sowie auch für Versicherungsnehmer nennen, um die Kalkulation und das Underwriting von Cyberrisiken zu erleichtern:

  • Versicherungsnehmer sollten ihr Exposure gegenüber Cyber-Risiken aktiv managen, Gegenmaßnahmen auf dem aktuellsten Stand halten und ganz allgemein ihre Cyber-Resilienz steigern;
  • Versicherer sollten in Experten für Cyber-Underwriting und -Risikomanagement investieren und eine enge Zusammenarbeit der relevanten Fachbereiche ermöglichen, um alle Dimensionen der Cyber-Herausforderung abzudecken;
  • Dynamische Marktgegebenheiten, haftungsrechtliche und IT-technische Entwicklungen sollten eng verfolgt und zeitnah in den angebotenen Versicherungsprodukten berücksichtigt werden – in Ausschlüssen bzw. in der Kalkulation;
  • Versicherer sollten potenzielle Kumule eng überwachen und preislich bzw. durch Ausschlüsse auf der Produktseite berücksichtigen;
  • Infrastruktur und Prozesse im Underwriting und in der Schadenbearbeitung sollten weiterentwickelt werden, um Exposure- und Schadendaten granular sammeln und zeitnah analysieren zu können;
  • ModelliInnovationen sollten zeitnah in den Produktentwicklungsprozess übernommen werden;
  • Versicherungsunternehmen und Versicherungsnehmer sollten eng zusammenarbeiten, von der Schadenprävention bis hin zum Schadenfall.

Anzeige

Fazit

Die allgemein fortschreitende, umfassende Digitalisierung aller Lebensbereiche sorgt derzeit zusammen mit einigen speziellen Entwicklungen dafür, dass IT- und Cyberrisiken immer stärker in das allgemeine Blickfeld rücken; der gesamtwirtschaftliche Bedarf an Cyberversicherung nimmt zweifellos weiter zu.

Gerade Cyberrisken erfordern oft eine flexible und schnelle Reaktion. Daher arbeiten Versicherungsunternehmen aktiv an der Verbesserung ihrer Datenlage und ihrer Fähigkeiten, Cyberrisken zu modellieren und zu bewerten. Dies ist aber keine Einbahnstraße: Insbesondere eine enge Zusammenarbeit mit den Versicherungsnehmern wird es Versicherern erlauben, Cyberrisken zukünftig immer risikogerechter und zuverlässiger zu kalkulieren.

Seite 1/2/
Auf einer Seite lesen

Anzeige