Rückversicherung

Von

Max Broodryk, AXA XL Product Leader-Cyber Risk, APAC & Dennis Bertram, Senior Underwriter Cyber Germany

Während Cyberkriminalität weiter auf dem Vormarsch ist, sind Cyberversicherungen mittlerweile ein wichtiger Bestandteil der Risikomanagementprogramme vieler Unternehmen. Versicherungen gegen Cyberrisiken stellen Underwriter jedoch vor mehrere Herausforderungen. Max Broodryk, AXA XL Product Leader-Cyber Risk, APAC, und Dennis Bertram, Senior Underwriter Cyber Germany, erläutern die Details.

Wenn wir gemeinsam mit Kunden an vorderster Front gegen Cyberangriffe kämpfen, kommen uns manchmal Phrasen wie „Kampf gegen Windmühlen“ oder „Sisyphusarbeit“ in den Sinn.

Wie das kommt? In erster Linie, weil sich Cyberbedrohungen weiterhin stark ausbreiten. In der heutigen Zeit kann schlicht jede Art von Unternehmen Opfer von Cyberangriffen werden. Genauso wie Einzelpersonen, lokale/regionale Behörden, Hochschulen, Krankenhäuser und gemeinnützige Organisationen. Oder anders ausgedrückt: Es besteht immer das Risiko eines Cyberangriffs, wenn man nicht völlig abgeschirmt lebt und keinerlei mit dem Internet verbundene Geräte verwendet.

Zweitens entwickeln Cyberkriminelle ständig neue Tools und Methoden, um Schwachstellen in dem riesigen Universum an unverzichtbaren Systemen und Technologien auszunutzen, die unsere Volkswirtschaften antreiben und unser Leben bereichern. Das Patchen fehlerhafter Codes kann beispielsweise ein IoT-Gerät sicherer machen, was Cyberkriminelle jedoch nicht daran hindert, sich mithilfe von Phishing Zugang zu den Systemen eines Unternehmens zu verschaffen.

Prävention und Schadensbegrenzung

Auch wenn Cyberrisiken praktisch allgegenwärtig sind, konzentriert sich dieser Artikel auf die Herausforderungen, die Cyberbedrohungen für unsere Kunden und uns selbst darstellen. Zunächst möchten wir betonen, dass Sicherheit nach wie vor eine zwingende Notwendigkeit ist. Wie bei allen Risiken steht Prävention an erster Stelle, gefolgt von Schadensbegrenzung. Für die Absicherung von Systemen und Anwendung sowie zur Verringerung der Wahrscheinlichkeit, Ziel eines Angriffs zu werden, stehen Kunden stehen umfangreiche Informationen und Expertenressourcen zur Verfügung – einschließlich der Risikoberatungsteams ihrer Versicherer. Daher raten wir Kunden nachdrücklich, sich die Zeit zu nehmen, die Cyberbedrohungen für ihr Unternehmen genau zu verstehen und sicherzustellen, dass ihre Systeme und Prozesse so sicher wie möglich sind.

Auch Cybe8rdeckungen sind eine Möglichkeit zur Verringerung des Risikos und mittlerweile wichtiger Bestandteil vieler Risikomanagementprogramme von Unternehmen. Wie wir jedoch noch erläutern werden, stellt die Versicherung gegen Cyberrisiken Underwriter vor verschiedene Herausforderungen.

Einschneidende Verluste

Der globale Cyberversicherungsmarkt verzeichnete 2019 und 2020 mehrere große Schadenfälle, die sich erheblich auf die Gesamtprofitabilität der Versicherer auswirkten. Als Reaktion darauf reduzierten einige Versicherer ihr Engagement in dieser Sparte, indem sie Deckungssummen senkten, Selbstbehalte erhöhten, ihr Angebot auf bestimmte Kunden- oder Branchensegmente beschränkten oder eine Kombination dieser Maßnahmen einführten. Einige Versicherer haben sich sogar gänzlich aus diesem Markt zurückgezogen.

Eine sich ständig weiterentwickelnde Bedrohung

Die unerfreuliche Tatsache ist, dass Cyberverbrechen als profitabel angesehen werden: Sie erfordern nicht viel Startkapital, fünf- bis achtstellige Gewinne sind nicht ungewöhnlich und das Risiko, erwischt zu werden, ist relativ gering. Das macht sie für kriminelle Banden, einige Staaten und sogar Amateure attraktiv, die dann die Erfahrungen aus früheren „Kampagnen“ dazu nutzen, immer wirkungsvollere Methoden zu entwickeln, um verschiedenen Arten von Organisationen das Geld aus der Tasche zu ziehen.

In jüngster Vergangenheit hat sich insbesondere Ransomware als vielleicht besorgniserregendste Dimension in der Entwicklung der Cyberkriminalität herausgestellt. Vor 2018 wurde Ransomware in der Regel zufällig und ungezielt eingesetzt. In den Anfangsjahren konnten Angreifer nur erraten, welche Unternehmen mehr oder weniger wahrscheinlich zahlen würden und ob sie die Lösegeldforderungen hoch oder niedrig ansetzen sollten. Mit anderen Worten: Sie mussten sich mit den gleichen Problemen auseinandersetzen, mit denen Unternehmen bei der Einführung neuer Produkte oder dem Eintritt in neue Märkte konfrontiert sind: z. B. welche Arten von Zielgruppen anvisiert werden sollten und ob man sich auf einige große Erfolge oder viele kleinere Erfolge konzentrieren soll. Ransomware-Angreifer fanden schnell heraus, dass sich viele Opfer für die Zahlung des Lösegelds entschieden, wenn sie die Forderungen als relativ gering ansahen, da die Entschlüsselungsprozesse als zuverlässig sowie als billiger und schneller angesehen wurden als die Systemwiederherstellung aus Backups.

Auf der Grundlage dieser ersten Erfahrungen gehen Ransomware-Banden nun dazu über, größere Unternehmen ins Visier zu nehmen und viel höhere Lösegelder zu fordern. Darüber hinaus sind ihre Angriffe komplexer und viel invasiver, da oft sensible Daten gewonnen und Netzwerke deaktiviert werden. In Folge dessen sind die Kosten zur Schadenbeseitigung wie forensische Untersuchungen, Datenwiederherstellung, sowie damit verbundene Kosten für Betriebsunterbrechungen und Rechtsberatung exponentiell gestiegen.

Die Aufsichtsbehörden greifen ein

In einigen prominenten Fällen sind Aufsichtsbehörden auf Fälle aufmerksam geworden und haben gegen Unternehmen erhebliche Geldbußen verhängt, nachdem durch Datenschutzverletzungen vertrauliche Daten kompromittiert wurden.

Während diese Entwicklungen zwar Unternehmen dazu bewegen sollten, Cybersicherheit noch ernster zu nehmen, könnten sie jedoch auch die Herausforderungen der Versicherer bei der Festlegung eines fairen und nachhaltigen Preisgefüges für Cyberversicherungen weiter verschärfen. Insbesondere, da Regulierungsbehörden eine proaktivere Rolle dabei spielen, Unternehmen für ihre Cybersicherheitssysteme und -verfahren zur Verantwortung zu ziehen, könnte sich dies auf die Langfristigkeit der Haftung auswirken, da Strafen und Entschädigungsansprüche Dritter in der Regel lange nach Eintritt der Vorfälle erhoben werden.

Und dann ist da noch das Thema Kumul

Versicherer investieren viel Zeit und Mühe in die Bewertung und das Management ihrer Kumulrisiken, also der Möglichkeit, dass ein einzelnes Ereignis zahlreiche Policen betrifft. Im Gegensatz zu Sachversicherungen, bei denen Kumule auf einen bestimmten Ort oder eine bestimmte Region beschränkt sind, könnte das Cyberrisiko jedoch auf verschiedene Weise aggregiert werden, z.B. über:

  • verschiedene Sparten hinweg, einschließlich Produkten, bei denen Cyberrisiken „stillschweigend“ mit gedeckt sind („Silent Cyber“)
  • gemeinsame Schwachstellen in einem bestimmten Gerätetyp, Betriebssystem oder einer Anwendung, die von Malware ausgenutzt werden können
  • Malware, die weit verbreitet ist
  • gemeinsam genutzte Infrastrukturen, einschließlich Cloud-Diensten, Zahlungsdiensten, Navigations- und Timing-Systemen, die durch Angriffe, Systemausfälle oder einfach menschliche Fehler ausfallen
  • Lieferketten mit einem gemeinsamen Anbieter, der Opfer eines Angriffs wird
  • eine bestimmte Branche hinweg
  • Diebstahl von Passwörtern oder anderen Zugangsdaten, die wiederverwendet werden können.

Da die aggregierten Risiken im Bereich Cyber so diffus sind, müssen Versicherer ihre Portfolios sorgfältig überwachen. Dieselben Herausforderungen bestehen auch in anderen Sparten, in denen ein Cyberereignis eine Deckung auslösen könnte. Und in einigen Fällen können sich Versicherer für strengere Underwriting-Kontrollen entscheiden, um Kumulrisiken zu begrenzen.

Ein Blick in die Zukunft...

Wie geht es also weiter? Cyberrisiken werden wohl auch künftig weiter zunehmen und sich verändern. Tatsächlich hat die Zunahme der Telearbeit („Homeoffice“) aufgrund der COVID-19-Pandemie viele Unternehmen noch anfälliger für Cyberangriffe gemacht.

Gleichzeitig sollten sich viele Unternehmen aus den bereits genannten Gründen – und einigen, auf die wir noch nicht eingegangen sind, z. B. die Rolle der Kapitalmärkte und erhöhte Rückversicherungskosten – auf die Wahrscheinlichkeit vorbereiten, dass ihre Ausgaben für das Management und die Minderung des Cyberrisikos steigen werden.

Daher ist es unerlässlich, dass Kunden, Makler, Versicherer und Cybersicherheitsexperten weiterhin Fachwissen, Best Practices und gewonnene Erkenntnisse austauschen. Jedes Verbrechen, einschließlich Cyberkriminalität, ist eine Belastung für die Gesellschaft und es liegt in unser aller Interesse, diese Aktivitäten so weit wie möglich einzudämmen. Nur wenn wir zusammenarbeiten, die Sicherheit erhöhen und die Erträge aus Straftaten reduzieren oder unterbinden, ist es möglich – wenn auch nicht gewiss – dass eines Tages Cyberkriminalität zu einem Problem von gestern wird.

Bitte füllen Sie das folgende Formular aus, um den Autor dieses Artikels zu kontaktieren.

Ihr Vorname
Ihr Nachname
Länderauswahl
E-Mail-Adresse
Invalid Captcha
 
Newsletter

Weitere Artikel