Cyberrisiken lassen sich nicht länger mit klassischen Heatmaps oder Schwachstellenlisten ausreichend bewerten. Stattdessen bedarf es datenbasierter Cyber-Risk-Quantification (CRQ). Warum quantitative Risikobewertung zum entscheidenden Faktor für moderne Cyberversicherungen werden, erklärt Squalify-CEO Asdrúbal Pichardo.
Sich für alle Eventualitäten abzusichern, ist für die meisten Unternehmen das übliche Vorgehen. So simpel wie es klingt, ist es allerdings nicht – schon gar nicht seit KI gefühlt jede Woche neue Gefahrenpotenziale auf der Cybersicherheitsseite schafft. Cyberangriffe sind per se bereits eine schwer einzuschätzende Größe in der Versicherungsbranche. Neue Regularien, wie NIS2, steigern die Nachfrage von Unternehmen nach passgenauen Versicherungen enorm. Für Versicherungsbroker liegt die Herausforderung darin, ihre Kunden optimal zu beraten und passende Deckungssummen und Prämien zu empfehlen, um eine Über- oder, im schlimmsten Fall, eine Unterversicherung zu vermeiden. Um diese Problematik zu lösen, bedarf es einer konkreten Cyber-Risk-Quantification (CRQ).
Wenn Heatmaps nicht mehr helfen: Die Grenzen klassischer Risikobewertung
Cyberrisiken lassen sich auf Entscheider- und Underwriting-Ebene nur schwer zielgerichtet steuern, solange sie lediglich als einfache Heatmaps oder umfangreiche Schwachstellenlisten dargestellt werden. Für Broker und Berater wird das besonders relevant, weil “Cyber” längst nicht mehr nur ein „Datenthema“ ist: Angreifer nehmen immer häufiger direkt den operativen Betrieb ins Visier. Bei diesen Attacken geht es etwa um den Ausfall zentraler IT-Services, Störungen in Leit- und Produktionssystemen oder Unterbrechungen in Abrechnung und Lieferketten. Damit rückt Business Interruption als Schadens- und Deckungstreiber in den Vordergrund. Beispiele aus der Industrie zeigen, dass Cybervorfälle reale Produktionsprozesse treffen können: Bei Jaguar Land Rover führte ein Vorfall 2025 zu einem mehrwöchigen Produktionsstopp. Für die Beratung muss das ein Signal sein, dass Deckungssummen, Sublimits und Prämien nicht allein aus technischen Scores abgeleitet werden sollten, sondern aus realistischen Szenarien, einschließlich Worst-Case- und Expected-Loss-Betrachtung.
Vom Risiko zum Euro-Betrag: Die Logik der Cyber-Risk-Quantification
CRQ setzt genau dort an, wo klassische Risikobewertungen an ihre Grenzen stoßen: Statt technische Schwachstellen zu zählen, übersetzt CRQ Cyberrisiken in finanzielle Verlustgrößen, entlang weniger geschäftskritischer Szenarien. Für Broker wird damit greifbar, welche Größenordnung erwarteter Schäden realistisch ist und wie sich Extremereignisse auf Deckung, Retention und Limits auswirken. Diese quantitative Sicht schafft eine belastbare Grundlage, um Kunden fundiert zu beraten und Deckungssummen präziser zu empfehlen.
Sicherheit statt Schätzung
Datenbasierte CRQ-Analysen decken Schwachstellen präzise auf und liefern statt vager Annahmen realistische Verlustszenarien. Für Broker bedeutet das konkrete Vorteile in der Beratung: Sie gewinnen verlässliche quantitative Referenzpunkte für Deckungssummen, Limits und Prämien. Gleichzeitig entwickeln Kunden durch Metriken wie den maximal möglichen Schaden (z.B. 100-1000y MLL) und den jährlich erwarteten Verlust (Annual Expected Loss) ein tieferes Verständnis für ihr eigenes Risiko. Diese transparente, zahlenbasierte Grundlage steigert das Kundenvertrauen enorm und schafft klare Verhältnisse zwischen Brokern, Unternehmen und Versicherern, besonders bei kritischen Themen wie Selbstbehalten oder schwer abdeckbaren Risiken.
Um eben jenes böse Erwachen bei der Prüfung einer Versicherungssumme zu vermeiden, sind quantitative Bewertungen unerlässlich. Denn Cyberrisiken haben oft einen langen Rattenschwanz und selbst kleine Vorfälle können große Schäden auslösen: eine Phishing-Mail, ein verpasstes Update, ein verlorener Zugang. Qualitative Einschätzungen bleiben dabei oft vage. Quantitative Modelle hingegen zeigen, wie wahrscheinlich bestimmte Schäden sind, welche Größenordnung droht und welche Szenarien besonders ins Gewicht fallen. Elementar hierfür sind allerdings belastbare historische Schadensdaten. Sonst bleiben Schweregradannahmen Spekulation.
Daten als Währung: Die Basis für vertrauenswürdige Modelle
Ein essenzieller Bestandteil der CRQ sind die historischen Verlust- und Schadensdaten, auf denen sich die Modellierung stützt. Je höher die Qualität dieser Daten, desto genauer kann die Risikoanalyse durchgeführt werden. Der CRQ-Spezialist Squalify nutzt hierfür beispielsweise die Daten der Munich Re: Durch die Nutzung historischer Daten zu Cyber-Verlusten mit über einer Million Datenpunkten von 100.000 Unternehmen aus mehr als 130 Branchen bietet die Plattform zuverlässige und quantifizierbare Einblicke sowie Branchen-Benchmarks. Insbesondere für Broker wird dadurch eine stabile und datengestützte Argumentationsgrundlage geschaffen, die ihre Empfehlungen für Kunden nachvollziehbar macht.
Cyberversicherungen müssen ebenso zuverlässig oder verlässlich sein, wie alle anderen herkömmlichen Versicherungen, die in vielen Branchenbereichen bereits existieren. Es müssen klare Annahmen, nachvollziehbare Limits und Preise genannt werden. CRQ schafft Mehrwert für alle Seiten: Es verhindert, dass unerkannte Risiken zum Worst Case werden, und zeigt Unternehmen zugleich, wo Versicherungsschutz wirklich sinnvoll ist. Wo liegen die größten Lücken? Wo droht der größte Schaden? So entsteht eine fundierte Entscheidungsbasis für die Beratung. CRQ gibt Orientierung und führt Broker und ihre Kunden sicherer durch die Unsicherheiten des Cyberraums.