Quelle: rgaymon/ Pixabay
Schlaglicht

Problemfall Silent Cyber: Versicherungskunden drohen harte Ausschlüsse

Von Sabine Pawig-SanderTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Es ist laut geworden um das Phänomen Silent Cyber. Auf Seiten der Kunden, aber mehr noch auf Seiten der Versicherer herrscht Unsicherheit darüber, ob Versicherungsverträge außerhalb der Sparte Cyber über die bisherigen Bedingungswerke und Gefahrendefinitionen - möglicherweise unbemerkt und ungewollt – Schäden durch Hacker & Co decken. Die Sachlage stellt Versicherer vor große Probleme.

Unter dem Schlagwort „Silent Cyber“ befasst sich der Versicherungsmarkt mit der Fragestellung, ob und ggfs. in welchem Umfang cyber-induzierte Sach- und Personenschäden in den konventionellen Sparten – also außerhalb von Versicherungsverträgen der „Sparte Cyber - möglicherweise stillschweigend versichert sind.  

Beispiele:

  • Die Steuerung der Aufzuganlage eines Hochhauses wird über einen Cyber-Angriff manipuliert, eine Aufzugkabine kann über längere Zeit weder geöffnet, noch belüftet werden, es kommen Menschen, sowie die Aufzuganlage selbst und Teile des Gebäudes zu Schaden.

 

  • Hacker verschaffen sich Zugriff auf die Medizintechnik eines Krankenhauses. Die angezeigten Funktionsdaten der Geräte weichen daraufhin von den ausgeführten Funktionsdaten ab, was zunächst nicht bemerkt wird. Es gibt einige Todesfälle.

 

  • Aufgrund einer in die Wärmesteuerung eines Lagers für biotechnologisches Material eingeschleusten Schadsoftware, wird keine Temperaturkontrolle und Steuerung mehr vorgenommen, es kommt zu einer Explosion.   

Die Versicherbarkeit derartiger Cyberrisiken ist aktuell ein großes Thema in der Branche und beschäftigt die Versicherer in allen Sparten, sei es Sach, Haftpflicht, Transport oder Unfall.  Was genau hat es damit auf sich und warum ist es für Versicherer derzeit so schwierig, damit in bestehenden Deckungen umzugehen?

„Silent“ ist hier nicht im Sinne von „still“ zu verstehen, sondern als ein Sachverhalt, der sich implizit ohne ausdrückliche Erwähnung oder Erläuterung ergibt, also „undeclared“. Betroffen sind zum einen sämtliche Versicherungssparten, die in ihrer Definition des Versicherungsfalles auf ein Allgefahrenkonzept aufbauen und keinen ausdrücklichen Ausschluss für Cyber-Gefahren beinhalten.  

 

Neue Risiken nicht gut genug eingeschätzt

 

Doch auch in den Deckungen auf der Basis sog. „benannter Gefahren“ kann das Cyber- Risiko schlummern. Beispiel: Feuerversicherung - Brand ist ein Feuer, dass ohne einen bestimmungsgemäßen Herd entstanden ist oder diesen verlassen hat und sich aus eigener Kraft auszubreiten vermag. Durch einen Hackerangriff oder das Einspielen von Schadsoftware in beispielsweise maschinelle Steuerungsanlage können Steuerungsbefehle so manipuliert werden, dass es etwa zu Kurzschlüssen oder Überhitzungen kommt, die ein Feuer auslösen. Der Brandbegriff dürfte als erfüllt anzusehen sein.

 

Die altbekannten Gefahrendefinitionen sind noch nicht angepasst an die neuen Risiken aus der vierten industriellen Revolution. Cyber-Risiken wurden bisher allenfalls in Verbindung mit der Kommunikations-IT gesehen. Doch das Internet der Dinge ist da: Cyber-Risiken sind damit nun endgültig aus der virtuellen Welt in die Welt der Sachen und Personen übergetreten, die ihnen charakteristischen Schadenszenarien schließen Sach- und Personenschäden nun mit ein.

 

Die aktuelle Herausforderung für die Versicherungswirtschaft: die Grundlagen der Risikoeinschätzung und Prämienkalkulation bei den Versicherern dürften diese neuen Risiken in der Regel noch nicht angemessen berücksichtigen.

 

Fragebögen, Tarifmerkmale, kurzum: die Underwriting-Tools sind noch nicht auf die neue Welt eingestellt. Konkrete Schadenerfahrungen liegen noch nicht in ausreichender Anzahl vor; Schäden werden möglicherweise nicht bewusst als Verwirklichung einer Cyber-Gefahr erkannt oder können, falls dies doch gelingt, wegen fehlender Schadenursachenschlüssel noch nicht zielführend aggregiert und ausgewertet werden.

 

Kumulrisiko viel größer als bei konventionell versicherten Gefahren

 

Das Thema ist für Versicherer nun ausgesprochen sensibel: Cyber-Risiken können eine deutliche Ausprägung zum Kumul aufweisen. Diese Kumulrisiken der in den Versichererbeständen möglicherweise schlummernden Cyber-Risiken unterliegen jedoch ohne adäquate Steuerungsmechanismen größtenteils noch keiner Kumulkontrolle.

 

Erschwerend kommt hinzu: Cyber kumuliert global. In der alten Welt zeigt sich beispielsweise in den Sachversicherungssparten das Kumulrisiko typischerweise in einer regional begrenzten Ausprägung, etwa in Form von Erdbeben oder Überschwemmungen - derartige Szenarien sind über Ausschlüsse oder auf bestimmte Gefahren bezogenen Sublimite aus Underwriting-Sicht gut beherrschbar, sie werden durch die Versicherer aktuell sehr genau kontrolliert und gesteuert.  Doch anders als Naturgefahren haben Cyber-Kriminelle weltweite Reichweite, das Internet der Dinge ist weltweit vernetzt – das Kumulrisiko über das Einfallstor Cyber ist um ein Vielfaches weiter und höher als bei konventionell versicherten Gefahren. All das verschärft den Handlungsdruck der Gesellschaften erheblich.  

 

Wird es zur Formulierung von Ausschlüssen kommen? Neu wäre das nicht: Als Folge des im Mai 2000 weltweit angreifenden sog. „I love you virus“ hatten Versicherer in ihren Elektronik-Beständen zum Renewal 2000/ 2001 bis dahin „stillschweigend“ mitversicherte Cyber-Gefahren über einen neuen Ausschluss von Schäden durch Schadsoftware zu kontrollieren versucht. Nach einiger Zeit war ein Wiedereinschluss möglich, auf der Grundlage einer dann sehr spitz gefassten und um das Kumulrisiko bereinigten Cyber-Gefahrendefinition. Ähnliches könnte uns nun spartenübergreifend erwarten.

 

Prüfung des Wordings

 

Einige Versicherer haben angekündigt, nach einer eingehenden Prüfung ihrer Spartenwordings und Rückversicherungsverträge in jedem Einzelfall vertragsbezogen klarstellen zu wollen, ob das Cyber-Risiko nach den jeweils vereinbarten Versicherungsbedingungen mitversichert sei oder nicht. Der Ausdruck „affirmative cyber“ beschreibt die damit verbundene Klarstellung in der Police, die Cyber als Risiko ausdrücklich als versicherte Gefahr benennt. Hier wird man sehr genau betrachten müssen, ob bei der klarstellenden Gefahrendefinition en passant nicht auch bisher schlummernde Deckungsanteile verloren gehen.

 

Denn auch Versicherungsnehmer haben Handlungsdruck. Sie sind in ihren Unternehmen unmittelbar mit den neuen Risiken konfrontiert. In der unternehmerischen Realität zeigt sich nicht selten, dass aus Gründen des Wettbewerbsdruckes sowie Mangel an Zeit und Geld rechtliche und risikoseitige Abwägungen zu digitalen Transformationsprozessen erst nach ihrer technologischen Umsetzung durchgeführt werden. Der Unternehmer übernimmt ein neues Risiko und fragt sich erst im Anschluss, ob es denn wohl auch versichert ist, im schlechtesten Fall erst dann, wenn ein Schaden schon eingetreten ist. Es ist daher auch aus Kundensicht zu begrüßen, dass Versicherer sich nun intensiv des Themas annehmen. Transparenz ist das Gebot der Stunde.

Silent Cyber