Die Problematik von unentdeckten Cyberrisiken in laufenden Versicherungsverträgen – ein Kommentar von René Schoenauer, Guidewire
Cyberattacken schaffen es immer wieder in die Schlagzeilen. Man denke an WannaCry, Petya oder die erst kürzlich bekannt gewordene Microsoft-Schwachstelle BlueKeep. Hackerangriffe verursachen einerseits enorme finanzielle Schäden, ziehen langfristig allerdings noch viel schwerwiegendere Konsequenzen nach sich. Unternehmen, die einer erfolgreichen Cyberattacke ausgesetzt waren, leiden in der Folge oftmals jahrelang unter Reputationsverlust. Immer häufiger werden Hackergruppen auch mit Staaten und deren Regierungen in Verbindung gebracht.
Cyberangriffe können schwerwiegende Schäden verursachen
Die Auswirkungen derartiger Angriffe auf die Infrastruktur spezifischer Unternehmen können nicht minimiert werden. Sie können vielfältig sein, wie Komplettausfälle von Geldautomaten und Versorgungsanlagen für Wasser, Gas und Strom oder das Lahmlegen von Webseiten von Dienstleistern. Darüber hinaus sind Szenarien denkbar, die digitale Geräte der Medizintechnik beeinträchtigen und direkte Auswirkungen auf Patienten hätten.
Die Haftungsfrage im Schadenfall
Die Behebung solcher Störungen hat die Frage nach versteckten Cyberrisiken in Versicherungspolicen von Unternehmen und anderen Organisationen aufgeworfen. Viele von Unternehmen und anderen Organisationen gemeldete Schäden, die auf Cyberattacken zurückzuführen waren, waren durch bestehende Versicherungspolicen nicht abgedeckt. Cyberrisiken waren in diesen Fällen kein Bestandteil der Verträge. Zahlreiche, eher unwahrscheinliche Szenarien werden in Versicherungspolicen generell nicht einzeln aufgeführt. Das kann sowohl für Versicherer als auch für Versicherte negative Folgen haben. Szenarien, die nicht explizit in einer Versicherungspolice aufgeführt sind, wurden entweder im Pricing nicht berücksichtigt oder sie sind im Schadenfall nicht abgedeckt.
Hohes Risiko für Versicherungsnehmer
Wenn in einem spezifischen Vertrag eines Unternehmens physische Auswirkungen von Cyberangriffen nicht aufgeführt sind, gleicht ein Schadenfall einem Würfelspiel. Das Unternehmen kann dann nur hoffen, dass die Versicherung die Folgen des Angriffs abdeckt. Es ist ein Trugschluss, zu glauben, dass eine Police, die Cyber-Angriffe nicht explizit ausschließt, diese automatisch mitversichert. Im Extremfall weist eine Versicherung die Deckung von sich und das Unternehmen bleibt auf dem Schaden sitzen.
Großes Unbehagen bei Versicherern
Versicherern bereiten existierende Policen, die Cyber-Angriffe nicht explizit einschließen, großes Unbehagen. Oft fehlt der Überblick, in welchem Ausmaß mitversicherte Systeme, die den Betrieb eines Unternehmens sicherstellen, exponiert und für Angreifer zugänglich sind. In der Folge sind die auf Sachversicherungen basierenden auszubezahlenden Versicherungssummen um ein Vielfaches höher als die spezieller Cyber-Versicherungspolicen.
Cyberangriffe können Milliarden verschlingen
Im vergangenen Jahr haben Guidewire und Aon, ein führender globaler Anbieter von Risiko-, Alters- und Krankenversicherungen, eine Analyse möglicher Auswirkungen verborgener Cyberrisiken durchgeführt. Für die Studie wurde das Szenario eines hypothetischen Hackerangriffs auf einen hydroelektrischen Staudamm in den USA modelliert. Die Folgen der Attacke könnten sowohl Unternehmen als auch Anwohner treffen. Es wurde simuliert, welche Schäden auftreten, wenn Hacker die Schleusentore des Staudamms öffnen würden. Im Falle eines derartigen Szenarios wäre stromabwärts mit erheblichen Flutschäden zu rechnen. Diese würden zu enormen Verlusten bei Versicherern führen. Auf Basis eines computergestützten Modells wurde der Gesamtversicherungsschaden auf etwa 10 Milliarden US-Dollar geschätzt. Dies entspricht in etwa der Schadensumme, die im Falle eines Hurrikans durch Wind und Flutwellen verursacht wird.
Große Unsicherheit bei Versicherern und Versicherungsnehmern
Stille Cyber-Exponierung ist keine bewusste Taktik von Versicherern, um sich aus der Verantwortung zu stehlen. Tatsächlich führen nicht explizit aufgeführte Risiken dazu, dass Versicherungen ihre Leistungsversprechen nicht in der Form erfüllen können, in der der Kunde das erwarten würde. Dies führt zu einem Gefühl von Unsicherheit beim Versicherungsnehmer. Außerdem kann es sein, dass eine abgeschlossene Versicherung unter falschen Annahmen abgeschlossen wurde und die eigentlichen Risiken des Kunden damit nicht abdeckt werden.
Cyberrisiken müssen explizit versichert werden
Um dieses Problem nachhaltig zu lösen, bedarf es einer konkreten Definition von Cyber als versichertes Risiko. Genau wie Sturmschäden und Überschwemmungen haben Cyberangriffe das Potenzial, enorme Schäden anzurichten. Versicherungsverträge müssen demnach so modifiziert werden, dass Cyberrisiken entweder ausdrücklich im Versicherungsschutz inkludiert oder ausgeschlossen sind. Da Formulierungen in Versicherungsverträgen teilweise stark variieren, ist die Umsetzung dieses Schrittes sicher nicht einfach. Trotzdem entscheiden sich immer mehr Versicherer, diesen Schritt zu gehen und dadurch mehr Sicherheit für alle Beteiligten zu schaffen.
Überarbeitung alter Verträge und Spezialversicherungen
Verborgene Cyberrisiken zu adressieren wird grundlegende Änderungen von Versicherungspolicen nach sich ziehen. Um neue Policen anzubieten, bedarf es der Entwicklung und Bereitstellung von Versicherungsprodukten, die durch Cyberrisiken verursachte physische Schäden abdecken. Vorstellbar sind hierbei sowohl modifizierte Sachversicherungen als auch spezielle Cyber-Versicherungen.
Neue Tools als Basis für Underwriting
Versicherer benötigen zudem neue Tools, um schwer vorhersehbare Risiken zu identifizieren und zu verstehen. Wetter-, Hochwasser- oder Brandrisiken können sowohl örtlich als auch zeitlich relativ gut antizipiert werden. Um das Portfolio an Sachversicherungen bezüglich Cyberrisiken zu optimieren, bedarf es einer regelmäßigen Überprüfung des enthaltenen Versicherungsumfangs. Cybergesteuerte Szenarien, die kritische physische Infrastrukturen beschädigen, müssen simuliert und die Auswirkungen analysiert werden. Durch das Verstehen potenzieller physischer Auswirkungen von Cyberrisiken können Versicherer außerdem vorhandene Risiken in Zusammenarbeit mit dem Kunden abmindern. Sie können so dazu beitragen, die Cyber-Anfälligkeit von Unternehmen zu reduzieren oder Rückversicherungspartner miteinzubeziehen.
Modernisierung des Versicherungsportfolios notwendig
Letzten Endes muss das oberste Ziel von Versicherern der Aufbau eines breiteren Marktes für Versicherungen gegen Cyber-Verluste sein. Das Ziel ist, dass nicht ausschließlich Unternehmen mit einem hohen Risiko potenzieller Cyberangriffe Zugang zu diesen Policen haben. Auch kleinen und mittelständischen Unternehmen sowie Privatpersonen soll ein passgenauer Versicherungsschutz offenstehen. Mit einem vielfältigen Angebot an Cyber-Versicherungsprodukten kann die Branche einen Markt aufbauen, der selbst schwerwiegende Cyber-Angriffe auf nationaler Ebene absichern kann.
Verantwortlich für den Inhalt:
Guidewire Software, Hopfenstraße 8, 80335 München, Tel: +49 89 20 60 54 210, Fax: +49 89 20 60 54 110, www.guidewire.com