Ein Kommentar von Detlef Frank, Vorstand des Bereichs Schadenversicherung bei Deutsche Aktuarvereinigung e.V.
Die Versicherbarkeit von Cyberrisiken wird aktuell wieder zunehmend diskutiert. Die wesentlichen Gründe hierfür sind hohe Kumulgefährdung, schnelle Dynamik der Risikoentwicklung, unzuverlässige Datenlage und wenig standardisierte Risikomodelle. Diesen Aspekten muss man sich annähern, um die infrage stehende Versicherbarkeit im Bereich Cyber aktuariell zu beurteilen. Immer wieder sorgen aber auch medienwirksame Cyber-Vorfälle dafür, dass die Debatte um die Versicherbarkeit von Cyber-Risiken erneut geführt wird.
Hohe Kumulgefährdung
Bei Cyberereignissen ist angesichts der zunehmend digitalisierten und vernetzten Gesellschaft ein erhöhtes Kumulrisiko gegeben. Kleine Einzelrisiken entwickeln sich dann zu Großschäden, inklusive eines möglichen Ausfalls von IT-Diensten sowie kritischer Infrastruktur – das mitunter über Landesgrenzen sowie betroffene Unternehmen und Branchen hinweg. Anfällig macht dabei neben dem hohen Vernetzungsgrad und dem Fehlverhalten von Einzelpersonen insbesondere die Verwendung von IT-Monokulturen an Betriebssystemen, Software, Hardware und Sicherheitsprogrammen. Im Bereich des Cloudcomputings ist der Markt zudem auf wenige Cloud-Service-Provider fokussiert.
Bei Schäden können – durch eine Mischung von affirmativen, also mit expliziter Deckungszusage versehenen, und non-affirmativen Cyber-Deckungskomponenten – mehrere Versicherungszweige durch verschiedene Schadenkomplexe getroffen werden. Hinzu kommen die mögliche Betroffenheit der Kapitalanlagen des Versicherungsunternehmens und entsprechende volkswirtschaftliche Folgen, sobald Unternehmen oder Staaten, in die investiert wurde, Schäden erleiden.
Schnelle Dynamik erschwert Risikoeinschätzung
Zum einen ändern sich fortlaufend und schnell die Produkte, die Geschäftsfelder und Märkte, in denen agiert wird und die von Cyberrisiken betroffen sein können. Zum anderen ändern sich auch die Wege, auf denen angegriffen wird. Die Angriffe werden immer häufiger und ausgeklügelter. Daran passt sich auch die verteidigende Gegenseite an.
Offene Daten-, Methoden- und Modellfrage
Für die Kalkulation einer Versicherungsprämie sind Daten ein Grundpfeiler. Mit Blick auf die angesprochene Dynamik im Feld Cyber ist das eine Schwachstelle. Die schwierige Datenlage ergibt sich durch unzuverlässige historische Daten, fehlende Meldungen von Vorfällen und durch einen nicht definierten Marktstandard zur Begriffsbestimmung sowie Klassifizierung von Cyberrisiken. Relevante Merkmale werden sowohl bestands- als auch schadenseitig häufig nicht erfasst, beispielsweise das IT-Sicherheitsniveau des versicherten Risikos oder etwa die Ursache des Schadens.
Diese Faktoren unterliegen jedoch Veränderungen, welche wiederum die Schadenhöhe beeinflussen. Bislang haben sich auf dem Feld der Cyberversicherung keine Standardverfahren in der Modellierung entwickelt. Daher muss mit umso größerer Sorgfalt und Marktkenntnis vorgegangen werden. Die Methodenfindung muss weiterentwickelt werden und muss aufgrund der Komplexität des Cyber-Themas gegenüber anderen Risiken zu sehr elaborierten mathematischen Methoden führen.
Versicherbarkeit leisten - was tun?
All diese Fakten stellen die Versicherbarkeit von Cyberrisiken auf den Prüfstand. Sie machen sie aber nicht unmöglich. Auf Basis der durch die DAV erarbeiteten Ergebnisse sollte das Risikomanagement des Versicherungsunternehmens dabei drei Aspekte berücksichtigen, um die Versicherbarkeit von Cyberrisiken grundsätzlich zu gewährleisten.
- Risikomanagement des Underwriting-Risikos: Die Steuerung des Underwriting-Risikos umfasst zum Beispiel ein aktives Management von Deckungen und Ausschlüssen, gegebenenfalls kürzere Laufzeiten oder unterjährige Anpassungsoptionen, die Weiterentwicklung der Aktivitäten rund um Datensammlung und -bewertung, Schulungen der Mitarbeitenden und die konsistente Anpassung des Rückversicherungsschutzes. Auch ist es wichtig, zu wissen, welche Verträge gegenüber welchen Schadenszenarien exponiert sind. Deshalb ist eine adäquate Kumulkontrolle vonnöten.
- Gewährleistung der Cyber-Resilienz: Bei Cyber-Angriffen von außen müssen auch Versicherer selbst wieder schnell handlungsfähig werden und benötigen folglich angemessene Abwehrmechanismen.
- Assessment der Risikolage: Dafür sind eine intensive und ständige Beobachtung und Einschätzung der Risikosituation, der Abwehrmöglichkeiten und der Rechtslage wesentlich.
Fazit: Komplex, aber versicherbar
Auch wenn die Versicherungsnehmer immer einen Teil des Risikos selbst tragen werden müssen, bleibt ein wesentlicher Teil der Gefahren durch Cyber versicherbar. Voraussetzung ist, dass das Risikoverständnis und das operative Risikomanagement valide erfolgen und stets aktuellen Standards genügen. Als Aktuare gehen wir davon aus, dass traditionelle Daten und Pricing-Methoden für Cyber-Versicherungen nur bedingt geeignet sind. Stattdessen ist ein ganzheitlicher Ansatz gefragt. Das fängt bei der Vernetzung über Funktionsbereiche wie Aktuariat, Underwriting und IT hinweg an. Ganz entscheidend ist außerdem ein tiefes Verständnis von IT, Netzwerken und Cyberrisiken. Diese Expertise muss bei der Tarifgestaltung, der Steuerung des Underwritings und im Schadenmanagement berücksichtigt werden.
Versicherer müssen sich organisatorisch und vertraglich so aufstellen, dass erkannte Risiken zeitnah kommuniziert und adressiert, dass Annahmen häufig überprüft, wenn nötig geändert und dass Risikoeinschätzungen entsprechend angepasst und kommuniziert werden können. Die DAV liefert durch entsprechende Arbeitsgruppen fundierte und praxisorientierte Beiträge, um insbesondere die Modellierungsfertigkeiten zu verbessern und um das Risikomanagement an die Kumulgefahr und die dynamische Veränderung der Cyber-Bedrohungslage anzupassen.
Hinweis: Der Text erschien zuerst im kostenfreien Versicherungsbote Fachmagazin 01/2023.