Hacker
HackerQuelle: Bild von Pete Linforth auf Pixabay
Schlaglicht

Verborgenes Risiko bei Cybergefahren

Von Chris Fischer HirsTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Stille Cyberexponierungen in konventionellen Schaden-/Unfallversicherungen für Unternehmen sorgen bei Kunden, Maklern und Versicherern gleichermaßen für Unbehagen. Wie geht man neue Wege im Underwriting, um Transparenz für alle Beteiligten zu schaffen? Ein Gastbeitrag.

Erst Ende April meldete der Aluminiumproduzent Norsk Hydro wieder "weitgehenden Normalbetrieb“, nachdem am 19. März 2019 ein Cyberangriff die IT-Systeme lahmgelegt hatte und Prozesse und Produktion in vielen Werken auf Handbetrieb umgestellt werden mussten. Den Schaden durch die Erpressungssoftware LockerGoga bezifferte das Unternehmen auf 50 Mio. US-Dollar. Diese Attacke folgte auf die Großangriffe WannaCry und NotPetya im Jahr 2017, die weltweit Unternehmen aus unterschiedlichsten Branchen zum Stillstand brachten. Zu den prominentesten Opfern zählen der US-Pharmagigant Merck, die Schifffahrtsgesellschaft Maersk oder der Schokoladenfabrikant Mondelez. 

 

Diese Vorfälle zeigen: Cyberrisiken zählen mittlerweile zu den größten Bedrohungen für Unternehmen. Einer Studie des Ponemon Institutes zufolge sahen sich bereits 98 Prozent der Unternehmen mit Schadsoftware konfrontiert. Im Allianz Risk Barometer 2019 stehen Cybervorfälle erstmals an der Spitze des Rankings der globalen Geschäftsrisiken, gleichauf mit Betriebsunterbrechungen. Das Bedrohungspotenzial erhöht sich mit der zunehmenden Vernetzung von Geräten und Maschinen, die neue Einfallstore schafft. Hackergruppen, die immer häufiger auch mit Staaten assoziiert sind, entwickeln ihre Angriffsstrategien laufend weiter, Internetkriminalität hat sich zu einem florierenden Geschäftsmodell entwickelt.
Für die Versicherungswirtschaft ist Cyber aktuell eines der wichtigsten Themen. Die Nachfrage nach Schutz, finanziellem Ausgleich und Incident-Response-Leistungen steigt kontinuierlich.  Munich Re schätzt, dass der weltweite Cyberversicherungsmarkt, dessen Volumen derzeit auf vier bisfünf Mrd. US-Dollar taxiert wird, sich bis 2020 auf acht bis neun Mrd. US-Dollar Bruttoprämien verdoppeln könnte. Ein Großteil dieses Wachstums wird dabei von kleinen und mittelgroßen Unternehmen stammen, die zunehmend das Cyber-Bedrohungspotenzial erkennen. 


Um als Versicherer an diesem aufstrebenden Markt teilzuhaben, sind mehrere Herausforderungen zu bewältigen: Zum einen gilt es ein sich ständig wandelndes Risiko fassbar zu machen und die Kumulgefahr der potenziell systemischen Cyberrisiken einzudämmen, die eine klassische Risikodiversifikation nach Branchen und Ländern weitgehend aushebeln. Big-Data-Analysen und künstliche Intelligenz können dabei die (noch) fehlenden historischen Schadendaten ersetzen – die Allianz entwickelt zusammen mit Guidewire Cyence vorausschauende Cyber-Modellierungen zu Einzelrisiken wie dem Gesamtportfolio. Zum anderen ist es wichtig, die sogenannten stillen Cyberexponierungen in traditionellen Sach- und Haftpflichtdeckungen zu regeln – eine  Herausforderung, die die internationale Versicherungsbranche derzeit unter dem Stichwort "silent cyber" intensiv beschäftigt.

Die meisten heutigen Versicherungsverträge wurden entwickelt als es keine Cyberrisiken gab

Denn die eingangs dargestellten Ransomware-Attacken zeigen eindeutig, dass Cybervorfälle über verschiedene Versicherungssparten hinweg Schäden verursachen können – und eben nicht nur unter speziellen Cyberpolicen. Nach Angaben von Property Claims Services übersteigen die versicherten Schäden aus Petya/NotPetya mittlerweile drei Mrd. US-Dollar - und knapp 90 Prozent davon sind auf traditionelle Deckungen zurückzuführen, darunter vor allem Sach- und Betriebsunterbrechung, aber auch Errors & Omissions und Kidnap & Ransom. Tatsächlich können sich Cybervorfälle - dazu zählen Hackerattacken ebenso wie Fehlbedienungen oder unvorhergesehene technische Probleme - in vielfältigen Sach- und Personenschäden manifestieren. Willis Towers Watson listet einige Szenarien auf: Ein Hackerangriff auf ein Transportsystem führt zu einer Zugentgleisung oder ein von einem Schadprogramm befallenes GPS-Navigationssystem bringt ein Schiff vom Kurs ab. Ein Hacker könnte auch in die Steuerungssysteme eines Wasserkraftwerks eindringen, das Stauwehr öffnen und so flussabwärts Hochwasserschäden verursachen.


Gleichwohl ist die Deckung von Cyberrisiken in den wenigsten der herkömmlichen Sach- und Haftpflichtdeckungen bewusst vorgesehen und entsprechend im Pricing oder Portfoliomanagement berücksichtigt. Denn die meisten der heutigen Versicherungsverträge wurden in einer Zeit entwickelt, zu der Cyberrisiken noch kein großes Thema waren und dementsprechend in den Wordings gar nicht in Betracht gezogen wurden. Solche stillen Cyberexponierungen in konventionellen Deckungen führen dazu, dass allen Beteiligten – dem Kunden, dem Makler und dem Versicherer - die notwendige Transparenz  und Sicherheit fehlen. Im Falle eines Schadens drohen Diskussionen darüber, ob und in welchem Umfang tatsächlich Deckung besteht.

Aufsichtsbehörden machen (noch) keine Vorgaben

Das Thema beschäftigt zunehmend auch die Aufsichtsbehörden. In Großbritannien hat die Prudential Regulation Authority (PRA) Lloyds und die britischen Versicherer schon 2017 aufgefordert, das "cyber underwriting risk" in traditionellen P&C-Policen mit geeigneten Maßnahmen anzugehen.  Für die erste Jahreshälfte 2019 verlangt die PRA nun sogar die Vorlage eins Aktionsplans.  In Deutschland hat die Bundesanstalt für Finanzdienstleistungsaufsicht angekündigt, "silent cyber" im Jahr 2019 zu einer ihrer Prioritäten zu machen. Auch die Ratingagenturen haben ein wachsendes Interesse, dass Versicherer Cyberexponierungen in ihren Portfolien identifizieren, analysieren und quantifizieren. Wie Versicherer die Präzisierung von "silent cyber" im Underwriting konkret umsetzen sollen, dazu machen die Aufsichtsbehörden (noch) keine Vorgaben. Es gibt zahlreiche Möglichkeiten - schlussendlich muss jeder Versicherer seinen eigenen Weg finden, der den individuellen Bestandsrisiken und künftigen Cyber-Wachstumsplänen Rechnung trägt. Auch Makler, Rückversicherer und Modellierungsanbieter sind zunehmend aktiv: Bei Aon hat der Bereich Reinsurance eine Silent-Cyber-Facility aufgelegt; AIR Worldwide analysiert mit Capsicum Re, welchen Versicherungssparten Verluste durch Cybervorfälle drohen könnten.


Die Allianz Gruppe hat die stillen Cyberexponierungen bereits vor einigen Jahren ins Visier genommen. In einem internationalen Konzernprojekt wurden Cyberrisiken in bestehenden Schaden-/Unfalldeckungen der Industrie-, Firmen- und Spezialversicherung identifiziert, geprüft und eine neue weltweite Zeichnungsstrategie entwickelt. Als Industrieversicherer der Gruppe setzt die Allianz Global Corporate & Specialty (AGCS) das neue Vorgehen im Underwriting bereits seit Jahresanfang um und koordiniert zugleich als neues Cyber-Kompetenzzentrum der Allianz die Implementierung der neuen Strategie im Firmengeschäft aller Sachversicherungseinheiten bis 2020. Auch die Entwicklung einheitlicher Standards für Allianz Cyber-Policen und der Auf- und Ausbau eines Dienstleistungsnetzwerks aus IT-Sicherheits- und Krisenmanagementexperten zählt  zu den Aufgaben des Kompetenzzentrums.

AGCS · Chris Fischer Hirs · Cyberrisiken
Auch interessant
Zurück
08.07.2019VWheute
"Policen, die Cyber-Angriffe nicht explizit einschließen, bereiten den Versi­che­rern großes Unbe­hagen" Wie gehen Versicherer am besten mit …
"Policen, die Cyber-Angriffe nicht explizit einschließen, bereiten den Versi­che­rern großes Unbe­hagen"
Wie gehen Versicherer am besten mit Cyberrisiken um? Problematisch wird es spätestens dann, wenn im Falle einer Cyberattacke "physische Auswirkungen von Cyberangriffen nicht …
08.07.2019VWheute
Getsafe-CEO glaubt an Smart­phone, Sensoren und Ganz­ein­heit­lich­keit Christian Wiens ist Gründer und CEO von Getsafe und gefragter …
Getsafe-CEO glaubt an Smart­phone, Sensoren und Ganz­ein­heit­lich­keit
Christian Wiens ist Gründer und CEO von Getsafe und gefragter Digitalisierungsexperte. In einem Artikel für ein Nachrichtenmagazin hat er die Zukunft der Versicherungswirtschaft skizziert. Wir steuern auf …
09.04.2019VWheute
GDV: Ärzte und Apotheker sind beim Sicher­heits­check durch­ge­fallen Durch eine Reihe von Fehleinschätzungen und Nachlässigkeiten in Bezug auf ihre …
GDV: Ärzte und Apotheker sind beim Sicher­heits­check durch­ge­fallen
Durch eine Reihe von Fehleinschätzungen und Nachlässigkeiten in Bezug auf ihre IT-Sicherheit haben Ärzte, Kliniken und Apotheken in Deutschland ein ernstes Problem. Zu diesem Schluss kommt eine mehrstufige …
08.04.2019VWheute
Das gestörte Verhältnis zwischen Mitar­bei­tern und ihren Versi­che­rungs­chefs Als Arbeitgeber vermitteln Versicherer gerne das Bild der stillen …
Das gestörte Verhältnis zwischen Mitar­bei­tern und ihren Versi­che­rungs­chefs
Als Arbeitgeber vermitteln Versicherer gerne das Bild der stillen Champions. Außen für gute Bedingungen wenig beachtet, innen dafür bestens ausbalanciert. Doch passt dieses Selbstbild noch in eine Zei…
Weiter