„Das macht es für Versicherungsunternehmen umso wichtiger, den daraus entstehenden speziellen Herausforderungen angemessen zu begegnen“, erklärt Frank Schiller, DAV-Vorstandsmitglied und Vorsitzender des DAV-Ausschusses Enterprise Risk Management. Insgesamt arbeiten Versicherer nach DAV-Erkenntnissen sehr aktiv an der Verbesserung ihrer Datenlage und ihren Fähigkeiten zur Risikomessung und -steuerung von Cyberrisiken und -versicherungen.
Das Bundeskriminalamt erfasste 2021 rund 146.000 Cyberstraftaten in Deutschland, beinahe die Hälfte der deutschen Unternehmen wurde in diesem Zeitraum Ziel von Cyberangriffen. Die weltweiten Schäden durch Cyberkriminalität beliefen sich laut einer Studie von McAfee aus dem Jahr 2020 auf etwa eine Billion US-Dollar und verdoppelten sich damit beinahe seit dem Jahr 2018. Entsprechend steigt der Bedarf für Cyberversicherungen. Aktuelle Schätzungen zum Markt von Cyberpolicen geben ein weltweites Prämienvolumen von über neun Milliarden US-Dollar an. Bis 2025 wird von einem Wachstum auf über 20 Milliarden US-Dollar ausgegangen.
Cyberversicherungen bringen spezielle Herausforderungen für die Anbieter mit sich
Das Management eines Cyberversicherungsbestandes birgt eine Reihe spezieller Herausforderungen. „Diese erwachsen aus drei Quellen: aus der eigenen Geschäftstätigkeit des Versicherungsunternehmens, aus speziell entwickelten Cyberpolicen und aus klassischen Versicherungsprodukten, bei denen Schäden auch durch Cyberereignisse hervorgerufen werden – sogenanntes Silent Cyber“, erläutert Clemens Frey, Leiter der DAV-Arbeitsgruppe Cyberrisiken. Cyberrisiken können starken Dynamiken in Bezug auf konkret angebotene Versicherungslösungen, der rechtlichen Situation und der marktweiten Risikolage unterliegen. Die beiden ersten können von den einzelnen Versicherungen direkt beeinflusst werden.
Zusammenarbeit zwischen Versicherung und Versicherten
Eine Professionalisierung insbesondere in der engen Zusammenarbeit zwischen Versicherten und Versicherern, um gemeinsam die Risiken besser zu bewerten und zu managen, und die Standardisierung der Lösungen wird bei beiden über die Zeit zu einer Stabilisierung führen.“ Die marktweite Risikolage werde allerdings durch stetig neue Angriffs- und Abwehrmechanismen dynamisch bleiben.
Daneben weisen Cyberrisiken eine starke Kumulgefährdung auf: Ein einzelnes Cyberereignis, etwa ein Fehler in einer Standardsoftware, der sich durch Hacker für Angriffe ausnutzen lässt, kann eine enorm große Anzahl von Einzelschäden hervorrufen. Das kann potenziell zu einem großen, geografisch nicht begrenzten Gesamtschaden führen. Versicherer stehen nach DAV-Analysen vor der Herausforderung, Cyberrisken mit geeigneten Daten und mathematischen Modellen zu bewerten, Policen mit einem angemessenen Preis zu versehen und die Gesamtrisikolage zeitnah zu monitoren.
Wirtschaft sollte Daten teilen
„Die Grundlage für alle weitergehenden Maßnahmen des Cyberrisikomanagements sind umfassende, aktuelle und möglichst detaillierte Informationen – sowohl über frühere Schadenszenarien als auch über aktuelle und potenzielle zukünftige Bedrohungssituationen“, erläutert Frey. Eine Data Citizenship – also die breite Teilhabe an den in den Unternehmen vorhandenen Daten – ist im Kontext von Cyberrisiken aufgrund der großen Dynamik und Komplexität besonders wichtig.