- Die steigende Nachfrage nach Cyberversicherungen bringt versicherungstechnische Herausforderungen mit sich
- Das Risiko ist schwer zu quantifizieren
- Der Fokus liegt auf internen Risikomodellen und Expertenteams
Mit der fortschreitenden Digitalisierung steigt die Gefahr, Opfer eines Cyberangriffs zu werden, immer weiter weiter an. Einen hundertprozentigen Schutz gibt es für Privatpersonen, Unternehmen und Organisationen dabei nicht. Allerdings: Nach jüngsten Erhebungen des Schweizerischen Versicherungsverbandes (SVV) sind erst etwas mehr als sieben Prozent der Unternehmen in der Schweiz gegen Cyberangriffe versichert.
Risiko ist schwer einzuschätzen
Gleichzeitig steigt die Nachfrage nach Cyberversicherungen rasant - mit den entsprechenden versicherungstechnischen Herausforderungen, gerade was die Quantifizierbarkeit des Risikos anbelangt, gab Darren L. Pain, Director Cyber & Evolving Liability bei der Geneva Association, am Webinar «Cyber Accumulation: Tackling the insurability challenge» zu bedenken. Es gebe derzeit nicht viele verfügbare Daten von Extremereignissen, welche bei der Berechnung des Risikos hilfreich sein könnten. Zudem seien Daten aus der Vergangenheit nicht unbedingt relevant für zukünftige Ereignisse - denn Cyber ist ein sehr dynamisches Risiko.
Enormes Schadenpotenzial
Durch die zunehmende Vernetzung sind auch kritische Infrastrukturen immer mehr von Ausfällen bedroht und ein einziger Ausfall kann eine Kettenreaktion auslösen und massive Schäden anrichten. Produktionslieferketten sind darüber hinaus immer abhängiger von Drittanbietern, die unter anderem digitale Services zur Verfügung stellen, stellte Pain die Gefahrenlage dar. Zero-day und Open-source-Software-Schwachstellen treten damit fast unweigerlich auf, was die Risiken erhöht. Da viele Organisationen dazu neigen, ähnliche Software, Sicherheitsprogramme und andere IT-Infrastrukturen zu verwenden, sind oft mehrere Organisationen gleichzeitig anfällig.
Drohende Massenklagen
Das kann zu massenhaften Entschädigungsansprüchen von Kunden, Lieferanten und anderen Beteiligten führen, deren Daten und Systeme möglicherweise kompromittiert wurden, so Pain. Und auch das Risiko von Massenklagen sei für Versicherer nicht zu vernachlässigen. Kein Wunder, wollen Versicherungen ihr Exposure bei Cyberrisiken möglichst gering halten - sei es über erhöhte Sicherheitsanforderungen an Unternehmen oder entsprechende Rückversicherungslösungen.
Risiken minimieren
Auf der anderen Seite wird von Unternehmen und grossen Cloud-Service-Anbietern viel unternommen, um die Cybersicherheit zu erhöhen und zu verhindern, dass der Ausfall eines Elements sofort auf andere übergreift. So werden beispielsweise Cloud-Infrastrukturen führender Unternehmen auf verschiedene geografische Regionen verteilt. Diese disaggregierenden Faktoren tragen laut Pain dazu bei, die geografische und sektorale Auswirkung eines Cybervorfalls zu reduzieren und die damit verbundenen Kosten für Betriebsunterbrechungen oder Schäden an Vermögenswerten zu verringern.
Korrekte Antworten finden
In der anschliessenden Diskussion skizzierten Simon Heather, Head of Cyber Catastrophe Modelling bei Gallagher Re und Max Perkins, Head of Strategy and Innovation für Cyber & Technology bei Axis Capital, die Bedeutung von Cyber-Risikmodellen. Grundsätzlich sei es wichtig, kompetente Expertenteams für dieses schnell voranschreitende Risiko zu bilden und über eine solide Kapitalbasis zu verfügen. Der Fokus auf das Risiko und interne Modelle müsse konstant beibehalten werden, wie Perkins klar machte: «Wir wollen die korrekte Antwort, nicht die beste.»
Verschiedene Risiken, verschiedene Modelle
Dass Risikomodelle unterschiedlich funktionieren, unterstrich Simon Heather. Es gebe zwar viel Erfahrung mit Naturkatastrophen, aber Cyberrisiken seien nicht vergleichbar. Dort müsse man pragmatischer sein. Es gelte, kontinuierlich in das Modelling von Cyberrisiken zu investieren. Denn der Wille im Markt, auf Cyberversicherungen zu setzen, sei sowohl bei Erst- wie auch Rückversicherern vorhanden. Um eine bessere Datengrundlage zu erhalten, müssten auch andere Stakeholder wie Cloud-Provider oder IT-Unternehmen ins Boot geholt werden.
Am Ende waren sich alle einig, dass es eine ganzheitliche Betrachtungsweise brauche, um den Herausforderungen im Underwriting von Cyberrisiken zu begegnen - und auch ein gewisses «Out of the box-Denken».