Cyber-Versicherungen sind nur ein Teil der Lösung
Mit der steigenden Anzahl erfolgreicher Cyber-Attacken auf Unternehmen überrascht es nicht, dass Versicherungen von dieser Entwicklung profitieren möchten und vermehrt Cyber-Versicherungen anbieten. Die Eigenschaften von Cyber-Attacken stellen jedoch sowohl die Versicherer als auch deren Kunden vor Herausforderungen.
Risiken gehören zum privaten und geschäftlichen Leben, und mit der Zeit haben wir verschiedene Wege entwickelt, mit ihnen umzugehen – von der Akzeptanz über Massnahmen zur Senkung der Eintretenswahrscheinlichkeit hin zum Abschluss von Versicherungspolicen. Man kann sich heutzutage gegen alle erdenklichen Risiken versichern lassen. Versicherungen sind aus dem Risikomanagement-Framework nicht mehr wegzudenken.
So erstaunt es nicht, dass der Markt für Cyber-Versicherung durch die steigende Anzahl von Vorfällen und einem stärkeren Bewusstsein kontinuierlich gewachsen ist, insbesondere da die Schäden oft nicht durch bereits bestehende Policen gedeckt sind.
Bei Cyber-Angriffen fallen oft sehr hohe Schadensummen an, und eine einmal identifizierte Schwachstelle kann sich auf eine Vielzahl von möglichen Opfern auswirken. Eine Schwachstelle in einem populären Betriebssystem kann unzählige Anwender treffen. Deshalb haben Rückversicherungen früh den Bedarf für Cyber-Policen entdeckt. Bald haben Versicherer sie um Angebote für Unternehmen und Privatkunden ergänzt.
Überall Gewinner?
Die Entwicklung scheint auf beiden Seiten Gewinner zu schaffen: Versicherungen haben einen neuen Markt gefunden, wo sie auf einem sonst eher gesättigten Feld neue Produkte verkaufen können. Versicherungsnehmer können etwas ruhiger schlafen angesichts von Malware, Hacking, Datenpannen etc.
Aber auch hier gilt: was zu gut klingt, um wahr zu sein, ist es auch. Aus drei Gründen.
Erstens und im Gegensatz zu bereits seit langer Zeit bekannten Risiken, sind die rechtlichen Rahmenbedingungen zu Cyber-Attacken noch recht unklar, angefangen bei den verschiedenen Definitionen der Vorfälle. Wo liegen die Verantwortlichkeiten in Bezug auf den Schutz gegen Angriffe? Was wäre ein vernünftiger IT-Sicherheitsstandard, der für eine gültige Police erfüllt sein müsste? Und was passiert, wenn hinter einem Vorfall ein Staat oder staatsnahe Akteure stehen?
Die letzte Frage ist nicht so weit hergeholt, wie es scheinen mag. Im grössten bisherigen Cyber-Versicherungsfall argumentierte Zurich, dass sie gegenüber dem Kunden Mondelez zu keiner Auszahlung verpflichtet sei. Der Angriff hinter den geltend gemachten Schäden sei von einem Staat durchgeführt worden und falle deshalb unter die Kriegsausnahme.
Zweitens gibt es viele konzeptionelle Fragen, die es für Cyber-Versicherungen zu klären gilt, vor allem wie Schäden gemessen und Risiken abgeschätzt werden können. Die erste Herausforderung ist, überhaupt einen Schaden festzustellen. Denn viele Unternehmen entdecken Cyber-Attacken entweder gar nicht oder erst sehr spät. Eine weitere Herausforderung, eher für die Versicherungen, ist die Berechnung des Schadens. Entstandene Schäden aufgrund eines Ausfalls eines Rechenzentrums mögen noch relativ einfach zu berechnen sein, doch andere Fälle sind schwieriger zu beurteilen.
Wie hoch ist beispielsweise der Wert eines gestohlenen Datensatzes? Wie stuft eine Versicherung die IT-Landschaft eines Versicherungsnehmers ein? Aber auch: Wie läuft die Abgrenzung zwischen einer Cyber-Versicherung und anderen Policen ab? Schliesslich möchte man als Versicherungsnehmer sowohl eine überlappende Versicherungsdeckung als auch Lücken in der Abdeckung verhindern. Das Beispiel des Rechenzentrums zeigt die Herausforderung. Ist ein solcher Vorfall unter einer business continuity-Police gedeckt oder Teil einer Cyber-Versicherung?
Daraus folgt, dass klare und transparente Kommunikation zwischen Versicherungen und Versicherungsnehmern entscheidend ist, um Missverständnisse und böse Überraschungen im Schadensfall zu verhindern.
Dünne versicherungsmathematische Datenlage
Drittens, da Cyber-Risiken im Vergleich zu anderen Risiken noch nicht lange anerkannt werden, fehlt es an versicherungsmathematischen Daten und Standards, die Versicherungen bei der Berechnung der Prämien helfen. Für gesundheitliche Risiken können sich Versicherungen auf einen Berg an zuverlässigen historischen Daten verlassen, um vernünftige Prämien zu berechnen – basierend auf verschiedenen Eigenschaften und Verhaltensweisen der Kunden. Junge und gesunde Personen zahlen üblicherweise weniger als ältere und kranke Personen.
Ebenso kann man für eine Feuerschutzversicherung auf gewisse Standards zurückgreifen, die ein Versicherungsnehmer erfüllen kann und die einen direkten Einfluss auf die Prämie haben. Folgt ein Unternehmen den best practices und hat neben einem Rauchmelder auch einen Feuerlöscher im Haus, wird sie weniger Prämie bezahlen als eine Gesellschaft, die diesen Standard nicht einhält.
Für Cyber-Versicherungen haben wir aber weder klare Standards noch Möglichkeiten, die Wahrscheinlichkeit einer erfolgreichen Attacke oder das Ausmass des Schadens zu antizipieren. Auch fehlen historische Daten, weshalb es für Cyber-Risiken keine versicherungsmathematischen Tabellen à la Gesundheitsrisiken gibt.
Natürlich gibt es best practices, die man als Unternehmen und Individuum ergreifen kann. Massnahmen wie Backups und regelmässige Updates empfehlen Versicherungen auch tatsächlich. Aber es bleibt weiterhin viel Unsicherheit. Das macht es wahrscheinlich, dass Versicherungen auf der sicheren Seite stehen wollen und deshalb tendenziell hohe Prämien für Cyber-Versicherungen setzen. Dies, kombiniert mit der Frage der Abdeckung, reduziert den Nutzen von Cyber-Versicherungen für die Versicherungsnehmer.
Eine Cyber-Versicherung ist nicht die Lösung, um mit den neuen Risiken umzugehen. Es führt kein Weg daran vorbei, die eigene Cyber-Sicherheit zu erhöhen, statt der Versuchung zu verfallen, sich mittels einer Cyber-Versicherung «sicher zu kaufen». Trotzdem können Cyber-Versicherungen als Teil des Risikomanagements eine wichtige Rolle spielen. Denn das Verständnis von Cyber-Attacken wird bei Versicherungen und deren Kunden über die Zeit immer besser werden.
Nicolas Zahn
Internationalen Beziehungen befasst er sich ausserdem mit geopolitischen und regulatorischen Entwicklungen. Zahn ist Mitglied der Think-Tanks foraus und reatch sowie der Operation Libero.
