Darum geht's:
  • Die steigende Nachfrage nach Cyberversicherungen bringt versicherungstechnische Herausforderungen mit sich
  • Das Risiko ist schwer zu quantifizieren
  • Der Fokus liegt auf internen Risikomodellen und Expertenteams 

Mit der fortschreitenden Digitalisierung steigt die Gefahr, Opfer eines Cyberangriffs zu werden, immer weiter weiter an. Einen hundertprozentigen Schutz gibt es für Privatpersonen, Unternehmen und Organisationen dabei nicht. Allerdings: Nach jüngsten Erhebungen des Schweizerischen Versicherungsverbandes (SVV) sind erst etwas mehr als sieben Prozent der Unternehmen in der Schweiz gegen Cyberangriffe versichert. 

Partner-Inhalte
 
 
 
 
 
 

Risiko ist schwer einzuschätzen

Gleichzeitig steigt die Nachfrage nach Cyberversicherungen rasant - mit den entsprechenden versicherungstechnischen Herausforderungen, gerade was die Quantifizierbarkeit des Risikos anbelangt, gab Darren L. Pain, Director Cyber & Evolving Liability bei der Geneva Association, am Webinar «Cyber Accumulation: Tackling the insurability challenge» zu bedenken. Es gebe derzeit nicht viele verfügbare Daten von Extremereignissen, welche bei der Berechnung des Risikos hilfreich sein könnten. Zudem seien Daten aus der Vergangenheit nicht unbedingt relevant für zukünftige Ereignisse - denn Cyber ist ein sehr dynamisches Risiko.  

Enormes Schadenpotenzial

Durch die zunehmende Vernetzung sind auch kritische Infrastrukturen immer mehr von Ausfällen bedroht und ein einziger Ausfall kann eine Kettenreaktion auslösen und massive Schäden anrichten. Produktionslieferketten sind darüber hinaus immer abhängiger von Drittanbietern, die unter anderem digitale Services zur Verfügung stellen, stellte Pain die Gefahrenlage dar. Zero-day und Open-source-Software-Schwachstellen treten damit fast unweigerlich auf, was die Risiken erhöht. Da viele Organisationen dazu neigen, ähnliche Software, Sicherheitsprogramme und andere IT-Infrastrukturen zu verwenden, sind oft mehrere Organisationen gleichzeitig anfällig.

Drohende Massenklagen

Das kann zu massenhaften Entschädigungsansprüchen von Kunden, Lieferanten und anderen Beteiligten führen, deren Daten und Systeme möglicherweise kompromittiert wurden, so Pain. Und auch das Risiko von Massenklagen sei für Versicherer nicht zu vernachlässigen. Kein Wunder, wollen Versicherungen ihr Exposure bei Cyberrisiken möglichst gering halten - sei es über erhöhte Sicherheitsanforderungen an Unternehmen oder entsprechende Rückversicherungslösungen.  

HZ Insurance-Newsletter DAILY
Das werktägliche Newsupdate für Insurance-Professionals. Zur Tagesmitte erfahren Sie im «DAILY», was die nationale und internationale Versicherungswelt bewegt und worüber gerade gesprochen wird.
HZ Insurance-Newsletter DAILY

Risiken minimieren

Auf der anderen Seite wird von Unternehmen und grossen Cloud-Service-Anbietern viel unternommen, um die Cybersicherheit zu erhöhen und zu verhindern, dass der Ausfall eines Elements sofort auf andere übergreift. So werden beispielsweise Cloud-Infrastrukturen führender Unternehmen auf verschiedene geografische Regionen verteilt. Diese disaggregierenden Faktoren tragen laut Pain dazu bei, die geografische und sektorale Auswirkung eines Cybervorfalls zu reduzieren und die damit verbundenen Kosten für Betriebsunterbrechungen oder Schäden an Vermögenswerten zu verringern.

Korrekte Antworten finden

In der anschliessenden Diskussion skizzierten Simon Heather, Head of Cyber Catastrophe Modelling bei Gallagher Re und Max Perkins, Head of Strategy and Innovation für Cyber & Technology bei Axis Capital, die Bedeutung von Cyber-Risikmodellen. Grundsätzlich sei es wichtig, kompetente Expertenteams für dieses schnell voranschreitende Risiko zu bilden und über eine solide Kapitalbasis zu verfügen. Der Fokus auf das Risiko und interne Modelle müsse konstant beibehalten werden, wie Perkins klar machte: «Wir wollen die korrekte Antwort, nicht die beste.»

Verschiedene Risiken, verschiedene Modelle

Dass Risikomodelle unterschiedlich funktionieren, unterstrich Simon Heather. Es gebe zwar viel Erfahrung mit Naturkatastrophen, aber Cyberrisiken seien nicht vergleichbar. Dort müsse man pragmatischer sein. Es gelte, kontinuierlich in das Modelling von Cyberrisiken zu investieren. Denn der Wille im Markt, auf Cyberversicherungen zu setzen, sei sowohl bei Erst- wie auch Rückversicherern vorhanden. Um eine bessere Datengrundlage zu erhalten, müssten auch andere Stakeholder wie Cloud-Provider oder IT-Unternehmen ins Boot geholt werden. 

Am Ende waren sich alle einig, dass es eine ganzheitliche Betrachtungsweise brauche, um den Herausforderungen im Underwriting von Cyberrisiken zu begegnen - und auch ein gewisses «Out of the box-Denken».