Cyber-Attacken sind ein ernstes Thema. Der Angriff der Ransomware NotPetya 2017 kostete den Pharmariesen Merck 870 Millionen US-Dollar, Maersk, die große dänische Containerschiffreederei, etwa 300 Millionen und das britische Gesundheitssystem rund 116 Millionen US-Dollar. Der Finanzdienstleister Equifax verlor durch einen weiteren Sicherheitsverstoß 2017 etwa 4 Milliarden US-Dollar. Und im März 2019 wechselte Hydro, einer der größten Aluminiumhersteller weltweit, wegen eines Cyber-Angriffs von automatisierten, digitalen Prozessen zum manuellen Betrieb.

Cyber-Kriminalität birgt heute das gleiche Risiko wie Brandschäden oder Diebstähle. Sie kann ein Unternehmen und dessen Ruf auf die gleiche Weise ruinieren wie ein Feuer ein Gebäude bis auf die Grundmauern zerstören kann. Angesichts einer wachsenden Zahl an Cyber-Verbrechen lautet die Frage nicht länger, ob, sondern wann und wie Unternehmen Opfer eines Angriffes werden. Da Firmen sich vor Cyber-Angriffen schützen wollen, eröffnen sich für Versicherungsunternehmen beträchtliche Chancen.

Der Markt für Cyber-Versicherungen ist relativ neu, weist aber ein exponentielles Wachstum auf. PwC geht davon aus, dass dieser Markt weltweit bis 2020 auf ein Volumen von 7,5 Milliarden US-Dollar anwachsen wird. Der US-Markt ist am ausgereiftesten – Europa versucht aufzuholen. Das Schweizer Versicherungsunternehmen Baloise arbeitet daran, kleinen bis mittelgroßen Kunden Schutz vor Cyber-Risiken anzubieten, steht damit jedoch noch ganz am Anfang.

 

Unbekannte Gewässer

Das Thema Cyber-Risiko ist komplex. Angesichts dieser Komplexität gilt es für Versicherer zahlreiche Herausforderungen zu berücksichtigen:

  • Es fehlt an historischen Daten oder bewährten Modellen.
  • Bedrohungen entwickeln sich schnell weiter.
  • Die Technologielandschaft verändert sich kontinuierlich.
  • Die Regulierung ist komplex.
  • Es werden genaue Informationen über die Vermögenswerte und die Sicherheitspraktiken des Kunden benötigt.
  • Cyber-Risiken lassen sich nur begrenzt quantifizieren.

Versicherer verfügen über eine Fülle von Daten zu Verkehrsunfällen, die zur Risikoberechnung und zur Prämienfestsetzung herangezogen werden. Dies ist bei Cyber-Risiken nicht der Fall. Selbst wenn Sie über Daten aus den letzten fünf oder zehn Jahren verfügen, lässt sich daraus nur schwer ein Risiko berechnen, weil sich das Bedrohungspotential in einem Jahr komplett verändern kann.

Eine weitere Herausforderung ist die Entwicklung eines entsprechenden Versicherungsproduktes. Was versichern Sie? Eine Anwendung? Den Ruf des Unternehmens? Das Geld, das entwendet werden könnte? Die Kosten der Wiederherstellung nach einer Cyber-Attacke? Und wie bewerten Sie die Stärke der aktuellen IT-Sicherheitsvorkehrungen des Unternehmens?

Wie sieht es mit Schadensforderungen aus? Wird ein Kunde Opfer eines Hackerangriffs, müssen Versicherer die richtige Methode finden, um zu prüfen, ob der Schaden durch die abgeschlossene Versicherung gedeckt ist. Das bedeutet, dass das Versicherungsunternehmen über das entsprechende IT-Know-how verfügen muss, um festzustellen, ob der Kunde alles getan hat, um einen Angriff zu verhindern. Ist ein Schaden gedeckt, muss das Unternehmen einen intelligenten Weg finden, um den Schaden zu bearbeiten. Hier gilt es abzuwägen: Einerseits müssen Versicherer das Sicherheitssystem des Kunden verbessern und das „Einfallstor“ schließen, über das in das System eingedrungen wurde, um zukünftige Cyber-Angriffe zu verhindern. Andererseits sollte diese Verbesserung möglichst minimal sein, um zu verhindern, dass Kunden die Versicherung dazu nutzen, ihr IT-System zu modernisieren und zu verbessern.

Versicherungsunternehmen müssen erkennen, wie wichtig es angesichts eines sich ständig verändernden Bedrohungsszenarios ist, über die Cyber-Risiken, ihre Wahrscheinlichkeit und die Möglichkeiten, sie zu verringern, Bescheid zu wissen. Wichtig ist auch die Zusammenarbeit mit IT-Sicherheitsexperten, die diese Bedrohungen kennen.

 

Tipps zur Versicherung von Cyber-Risiken

  • Versicherer sollten versuchen, Versicherungsprämien für Cyber-Risiken mit ihrem vorhandenen Sicherheits-Know-how zu handhaben, das sie zum Schutz ihres eigenen Unternehmens nutzen. Dann sollten sie in die Verbesserung ihrer IT-Systeme investieren.
  • Sie sollten Mitarbeiter mit umfassenden digitalen Skills einstellen, die sich mit Cyber-Bedrohungen auskennen und Versicherungsprämien kalkulieren können. Versicherungsunternehmen brauchen ein Team, das potenzielle Kunden hinsichtlich ihrer aktuellen Gefährdungslage im Bereich Cyber-Security bewerten kann. Da sich die Cyber-Gefahren ständig ändern, kann unter Umständen auch eine regelmäßige Neubewertung der Gefährdungslage erforderlich sein (z. B. bei einer Vertragsverlängerung), um sicherzustellen, dass die Prämien auch wirklich dem versicherten Risiko entsprechen.
  • Eine schnelle Reaktion ist unerlässlich. Ein Team muss im Falle eines Angriffes sofort reagieren können, um den Schaden zu bewerten und zu begrenzen. Darüber hinaus muss es über ausreichende Ressourcen verfügen, um auf mehrere Angriffe gleichzeitig reagieren zu können, da davon auszugehen ist, dass ein groß angelegter Cyber-Angriff mehrere Kunden gleichzeitig trifft. Die Skalierbarkeit der zum Einsatz kommenden Kräfte ist also äußerst wichtig.
  • Die Versicherung von Cyber-Risiken ist ein komplexes Thema, doch Versicherer können sich mit IT-Unternehmen zusammentun, um die Dinge zu vereinfachen. IT-Unternehmen verfügen über rund um die Uhr verfügbare Einsatzzentren und können jederzeit weltweit bei der Erkennung von Problemen und potenziellen Angriffen helfen. Darüber hinaus haben sie die richtigen Mitarbeiter, um auf Cyber-Angriffe zu reagieren, da die Bereitstellung von Problembehebungen und forensischen Dienstleistungen Teil ihres Geschäftsmodells ist. Die Frage lautet also: Wollen Versicherer das digitale Team mieten oder selbst ein Team aufbauen?

 

Marktpotenziale nutzen

Angesichts gesättigter Märkte im Versicherungswesen ist das Erkennen neuer Trends unerlässlich, um zu überleben. Versicherer, die sich gründlich mit der Komplexität von Cyber-Versicherungen auseinandersetzen, können daraus ein profitables und nachhaltiges Geschäftsmodell entwickeln.