Gastbeitrag 15.11.2021, 07:30 Uhr

Cyberversicherungen: Quo vadis?

Die zuletzt zahllosen Cyberangriffe haben die Nachfrage nach Versicherungen explodieren lassen. Doch mit jedem Schadensfall wird das heutige Modell unrentabler. Anbieter benötigen neue Policen – und auch für die Kunden hat die Entwicklung erhebliche Konsequenzen.
Die Policen von Cyberversicherungen werden sich künftig massiv verändern
(Quelle: Shutterstock/VideoFlow)
Eine aus Sicht der Kriminellen erfolgreiche Cyberattacke hat nicht nur verheerende Folgen für den Ruf eines Unternehmens. Sie hat unter Umständen auch massiven Einfluss auf den Unternehmensgewinn, ins­besondere wenn Dritten Schäden entstehen, beispielsweise durch die Herausgabe personenbezogener Daten oder die Veröffentlichung geistigen Eigentums. So versuchen immer mehr Unternehmen, dem Risiko von Cyberangriffen entgegenzuwirken, indem sie eine Cyberversicherung abschliessen.
Dies zeigt sich auch am Wachstum des weltweiten Cyberversicherungsmarkts. Dieser hatte 2019 noch ein Volumen von annähernd 6 Milliarden US-Dollar, bis 2027 soll er sich laut Schätzungen mehr als versechsfachen und auf 32,5 Milliarden US-Dollar anwachsen.
Doch während man sich in vielen Branchen über eine stark ansteigende Nachfrage nur selten beklagen wird, wurden Cyberversicherer dadurch vor ein wohl einzigartiges Problem gestellt. Denn im Bereich der Cyberversicherungen stehen immer mehr Policen einer steigenden Zahl von Schadensfällen gegenüber mit immer höheren Schadenssummen.
Versicherer bemessen die Rentabilität ihrer Policen auf Basis der «Defense and Cost Containment»-Quote (DCC) – einer Kennzahl, die sich auf den Anteil der Einnahmen einer Versicherung bezieht, der an Geschädigte ausgezahlt wird. Sobald diese DCC-Quote 80 Prozent erreicht, verliert ein Versicherungsunternehmen Geld mit seinen Policen. Im vergangenen Jahr lag sie bereits bei 73 Prozent und war damit im Vergleich zu 47 Prozent im Jahr zuvor bereits deutlich näher an die kritische 80-Prozent-Marke herangerückt.

Wie verändert sich das Cyberrisiko?

In anderen Bereichen, beispielsweise bei der KFZ-Versicherung, nehmen Versicherer für jeden Versicherungsnehmer eine Risikobewertung vor, die auf Basis zahlreicher histo­rischer Daten ermittelt wird. Auf Grundlage dieser Fakten erfolgt dann die Festlegung einer Versicherungsprämie.
Bei Cyberversicherungen handelt es sich hingegen um ein relativ neues Angebot. Folglich existieren nur wenige historisch verlässliche Daten, die sich für die Risikobewertung heranziehen lassen. Darüber hinaus ist dieses Marktsegment von hoher Dynamik geprägt, also lassen sich die wenigen vorliegenden Daten nur schwerlich und unter grossem Vorbehalt auf die Zukunft extrapolieren.
Weiterhin sind bis heute die Folgen von Cyberangriffen im Vorfeld sehr schwer genau zu kalkulieren. Denn bei Cyberversicherungen besteht das Problem des systemischen Risikos. Sollte eine Firma Opfer eines schwerwiegenden Angriffs werden, können unter anderem auch deren Lieferanten, Kunden, Investoren und Banken betroffen sein.
Zudem spielt ein weiterer Faktor eine wichtige Rolle: Cyberkriminalität kennt keine geografischen Grenzen. Daher wird von den Versicherern erwartet, dass sie diesen Dominoeffekt bei der Deckung berücksichtigen. Im Zuge des SolarWinds-Angriffs stellte das New York State Department of Financial Services u. a. fest, dass die Versicherer dieses Risiko berücksichtigen müssen. Es entsteht, «wenn ein weitreichender Cybervorfall viele Versicherte gleich­zeitig schädigt». Dies kann zu einer deutlichen Erhöhung der Auszahlungssummen führen und damit die Fähigkeit der Versicherungsbranche einschränken, richtig zu planen, sich rückzuversichern und zahlungsfähig zu bleiben.

Wie reagieren die Versicherer?

Zweifelsohne stehen die Versicherungsunternehmen vor einem Dilemma. Verzichten die Gesellschaften auf einen wichtigen Teil ihres Geschäfts, der sich noch bis vor Kurzem als lukrativ erwiesen hat? Erhöhen sie einfach die Prämien, um das grösser werdende Risiko auszugleichen? Oder versuchen sie, das Risiko zu begrenzen, indem sie als Voraussetzung für die Versicherung auf der Einhaltung bestimmter Cybersicherheitsstandards bestehen? Dies hätte zur Konsequenz, dass plötzlich die Versicherer selbst einen De-facto-Mindeststandard für die Cybersecurity-Anstrengungen der Firmen festschreiben würden.
Aufgrund der steigenden Zahl digitaler Angriffe kann man gegenwärtig wohl kaum davon ausgehen, dass die Nachfrage nach Cyberversicherungspolicen in nächster Zeit sinken wird. Unternehmen aller Branchen benötigen Schutz vor Ausfällen, Sicherheitsverletzungen und anderen Cybervorfällen, die ihren Betrieb unterbrechen oder schlimmstenfalls nachhaltig schädigen könnten.
“Cyberversicherungen rechnen sich für die Anbieter schon heute kaum mehr„
Andrew Rose
Die geschilderten Umstände begründen, warum die Versicherungsunternehmen selbst eine Form der Absicherung benötigen, um den steigenden Kosten für Schadensfälle Rechnung zu tragen. Zwar erhöhen viele von ihnen bereits die Prämien, um diesem Risiko zu begegnen. Dies ist jedoch keine langfristige Lösung.
So dürfte es nun kaum überraschend sein, dass einige Versicherungsunternehmen bereits begonnen haben, ihre Verträge und Geschäftsmodelle zu überdenken. Hier ist in einem ersten Schritt an verschiedene Einschränkungen bei der Abdeckung der Policen zu denken. AXA war einer der ersten grossen Versicherer, der diesen Schritt gegangen ist und die Deckung für Ransomware-Angriffe in Frankreich zurückzog. Möglicherweise als Vergeltung für die nunmehr versiegende Einnahmequelle attackierten Cyberkriminelle das Unternehmen Tage später mit Ransomware.
Andere Versicherer haben begonnen, strengere Bedingungen festzulegen oder Rabatte für diejenigen anzubieten, die über bestimmte Sicherheitsvorkehrungen verfügen. Das heisst konkret: Um überhaupt eine Cyberversicherung abschliessen zu können, muss ein Mindestmass an Sicherheit in den Unternehmen vorhanden sein. Und je schwerer es die Unternehmen den Cyberkriminellen machen, Erfolg mit ihren Angriffen zu haben, desto niedriger werden die Beiträge sein.

Spannende Zeiten für Cyberversicherer

Folglich ist jetzt der Moment, in dem Cyberversicherungsunternehmen die Möglichkeit haben, neue Standards zu setzen. Wenn sie dabei strategisch vorgehen, könnten sie damit weitreichende positive Veränderungen anstossen. Darüber hinaus würden sie einen zentralen Beitrag dazu leisten, die Sicherheitsmassnahmen von grossen und kleinen Unternehmen zu erhöhen. Klar definierte und vor­geschriebene Sicherheitsverfahren würden aber nicht nur dazu beitragen, das Sicherheitsniveau aller zu steigern; diese Vorgaben könnten ebenso helfen, das mit dem Daten­austausch innerhalb der Lieferkette verbundene Cyber­sicherheitsrisiko einzudämmen, das viele Chief Informa­tion Security Officers derzeit umtreibt. Auf diese Weise entstünde ein allgemeines Mindestmass an digitaler Sicherheit, das sicherlich positiven Einfluss auf die Bewertung des
Risikos durch die Versicherungsunternehmen hat.
Adressieren die Versicherer jedoch diese Herausforderung nicht konsequent und zügig, werden sie bald feststellen müssen, dass ein einst profitables Angebot zu einer wirtschaftlichen Katastrophe wird – und das trotz einer regelrechten Nachfrage-Explosion. Für Unternehmen sowie auch Einzelpersonen könnte dies enorme, nunmehr nicht mehr versicherbare finanzielle Folgen haben.
Angesichts der Tatsache, dass sich 79 Prozent der Unternehmen in den nächsten zwölf Monaten dem Risiko eines schwerwiegenden Cyberangriffs ausgesetzt sehen, ist es unwahrscheinlich, dass der Puffer von 7 Prozent in der DCC-Quote noch lange Bestand haben wird. Es muss sich etwas tun – und das sehr schnell.
Der Autor
Andrew Rose
Proofpoint
Andrew Rose ist Resident CISO von Proofpoint. www.proofpoint.com/de



Das könnte Sie auch interessieren