Cyber-Versicherung

Cyberrisiken sind keine Theorie, sondern real


Cyber-Versicherung: Cyberrisiken sind keine Theorie, sondern real News

Einmal auf einen falschen Link geklickt und schon tritt ein Worst-Case-Szenario ein: Ein Teil oder die gesamte IT-Infrastruktur steht still – der Cyberangriff war erfolgreich. Dieses Szenario gehört heute zu den realen Bedrohungen, denen Unternehmen ausgesetzt sind. Die Cyber-Versicherung wird daher seit einigen Jahren immer wichtiger, auch wenn ihr Erfolg in der breiten Masse bislang noch ausgeblieben ist. Ende Januar 2019 fand zum zweiten Mal die Fachkonferenz Cyber-Versicherung der Versicherungsforen Leipzig statt, auf der über 90 Experten der Branche die Herausforderungen und weiteren Fragestellungen des Themas diskutierten.

Vielfältige Ursachen für Cyberrisiken

Die Welt der Cyberrisiken ist vielfältig und bunt: Hackerangriffe, Ransomware, Verlust von sensiblen Daten und Betriebsunterbrechung sind nur einige mögliche Zwischenfälle, die die Schadenkosten schnell in die Höhe treiben. Aber auch im Privatkundengeschäft ist der Cyber-Schutz heutzutage durchaus sinnvoll.

Auf der zweitägigen Fachkonferenz berichtete Sebastian Kober von der Leipziger Messe über die IT-Sicherheitsmaßnahmen, die die Messe vorhält, mögliche Bedrohungsszenarien sowie Abwehrmaßnahmen, die auf deren Basis entwickelt wurden. Zudem stellte er dar, warum sich die Messe Leipzig zusätzlich für eine Cyber-Versicherung entschieden hat. Tina Groll, Wirtschaftsjournalistin, beleuchtete das Thema von der Verbraucherseite. Sie wurde vor über zehn Jahren Opfer von Identitätsdiebstahl und -missbrauch und ihr Fall gilt heute als einer der umfangreichsten und bekanntesten Fälle von Datenmissbrauch und Warenkreditbetrug in Deutschland. Obwohl es mittlerweile entsprechende Versicherungen gibt, bewertet sie das Thema kritisch. Oftmals sei der Leistungsumfang der Policen unklar formuliert, so Tina Groll. Oder es werden relevante Leistungen, wie Suchmaschinenoptimierung nach Reputationsschaden, von den Leistungen ausgeschlossen. Sie appellierte daher an die Versicherer, hier die Bedürfnisse der Kunden besser abzubilden.

Ein passendes Produkt stellten Wolfgang Wittmann und Charina Geiger (beide Bavaria Direkt) vor. In einem agilen Produktentwicklungsprozess entwickelte die Bavaria Direkt 2017 eine Cyber-Police für Privatkunden, die neben Identitätsmissbrauch auch die Rettung verlorener Daten absichert und im Schadenfall psychologische Erstberatung vermittelt. Als einen der wichtigsten Bausteine führten Wittmann und Geiger die 24/7-Hotline an, die für Kunden zu jeder Zeit erreichbar ist. Nur wenn der Versicherer im Schadenfall direkt verfügbar sei, können Kunden sich sicher fühlen und wirklich auf die Cyber-Versicherung vertrauen.

Unterstützung bei der Schadenprävention

Auf Unternehmensseite sind die möglichen Schadenfälle zwar ebenso unangenehm, aber mit weitaus größeren Kosten verbunden. Mit der Digitalisierung befinden wir uns in einem neuen Zeitalter, das schnelllebiger ist, als je zuvor. Sascha Jooss, United Security Providers, betonte, dass die Herausforderungen, denen Unternehmen heute in diesem Bereich gegenüberstehen, schneller steigen als die vorhandenen Skills, diesen zu begegnen. Im konkreten Schadenfall befällt Kunden dann ein "Gefühl von Hilflosigkeit", so Britta Kruse, HDI Versicherung. Johannes Beckers, AXA Versicherung, wies zudem darauf hin, dass viele Kunden gar nicht wüssten, was sie mit ihrer Cyber-Versicherung überhaupt konkret versichern. Erschwerend hinzukäme, dass es keine einheitliche Definition von Cyber-Versicherung gäbe und jedes Haus andere Leistungsbausteine in ihre Policen einschließen würde. Es sei daher gerade in diesem Bereich wichtig, sich als Partner der Kunden zu positionieren, also nicht nur im Schadenfall zu bezahlen, sondern unerfahrene Kunden bereits vorab zum Thema Cyberrisiken zu beraten und bei der Schadenprävention zu unterstützen. Denn eine Versicherung kann nur die finanziellen Schmerzen nach einem Cyberangriff mildern. Wichtiger ist die Prävention auf der Ursachenseite.

Keine soliden Schadendaten verfügbar

Ein großes Thema, das immer noch die meisten Versicherer beschäftigt, sind fehlende belastbare Schadendaten. Obwohl die ersten Cyber-Policen in Deutschland bereits vor neun Jahren auf den Markt kamen, fehlt es bisher an großen Datenmengen. Dies liegt vor allem auch an der niedrigen Anzahl an Kunden. Laut dem aktuellen Allianz Risk Barometer sind Cyber-Vorfälle unter den Top 3 der größten Geschäftsrisiken Deutschlands gelistet. Gleichwohl ist die große "Welle" am Markt bisher ausgeblieben, wie Carsten Wiesenthal, Allianz AG, in seinem Vortrag ausführte. Die Allianz rechnet trotzdem mit steigender Nachfrage in den kommenden Jahren. Resultierend hieraus stellt sich die Frage nach einer soliden Grundlage für die Kalkulation einer Cyberversicherung.

Als Versicherer mit vergleichbar viel Erfahrung im Cyber-Bereich sieht die Hiscox Cyber-Versicherung als strategisch wichtig und verdoppelt momentan jährlich ihren Bestand an Cyber-Policen. Ole Sieverding, Hiscox, betonte, dass Versicherer bei ihren Kunden ein Bewusstsein für Cyber-Risiken schaffen müssen. Schäden seien heute – durch die digitale Abhängigkeit der Gesellschaft – nicht mehr nur theoretisch, sondern real. Jedoch sei eine Cyber-Versicherung ein Produkt, in dem viel Arbeit seitens des Versicherers steckt, da Daten kontinuierlich gesammelt und ausgewertet werden müssen, um Prozesse zu optimieren, die eigene Expertise stetig weiterentwickelt werden muss, um Risiken adäquat bewerten zu können und die Bedrohungen sich trotzdem ständig ändern und zu einem gewissen Teil unvorhersehbar bleiben.

Risiken resultierend aus einer Cyberrisiko-Dominorallye

Ein wichtiges Thema ist auch der Umgang mit Kumulschäden, d.h. bei unterschiedlichen Versicherungsnehmern eingetretene Schäden, die durch das gleiche Schadensereignis verursacht wurden, beispielsweise eine Schwachstelle in einem Betriebssystem, was Millionen von Menschen weltweit im Einsatz haben oder eine konzertierte Cyberattacke auf Infrastruktureinrichtungen (etwa Stromnetze). Carsten Topsch, Münchener Rück, stellt auf der Fachkonferenz die vier wesentlichen Kumulpotenziale (Softwareschwachstelle in weitverbreiteter Software, Hardwareschwachstelle in weitverbreiteter Hardware, Störungen bei IT-Service-Providern und Angriffe auf kritische Infrastrukturen und/oder industrielle Steuerungen) vor und erklärte, wie die Münchener Rück diese modelliert. Einzig das letzte Kumulszenario, Ausfall kritischer Infrastruktur, wird von der Münchener Rück in den Produkten aktuell nicht gedeckt. Trotzdem sieht der Rückversicherer Cyberrisiko als strategisches Wachstumsfeld, das durch wesentliche Treiber wie die fortschreitende Digitalisierung, globale Vernetzung und zunehmende Anzahl digitaler Geschäftsmodelle in vielen Industrien noch weiter an Relevanz gewinnen wird.

[ Bildquelle Titelbild: Adobe Stock ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.