In den letzten paar Jahren wurden Stimmen lauter zu einem neuen Wachstumsmarkt im Versicherungsbereich: Die Cyber-Versicherung. Viele Versicherer springen unterdessen auf den Zug auf, wobei gefühlt jeder einen anderen Ansatz wählt. Einige Versicherer bauen einen komplett eigenen Cyber-Bereich auf, andere integrieren das Produkt in ihre Property&Casualty-Teams. Einige versichern nur Kleinbetriebe, andere wagen sich an Giganten. Was ist der richtige Ansatz? Was sind die grössten Herausforderungen? Durch meine persönliche Erfahrung in Versicherungen im Bereich Underwriting stellen sich mir selbst einige Fragen. Im folgenden Artikel werde ich einige meiner eigenen Gedanken genauer erläutern.

Selbst habe ich bisher noch nie im Underwriting von Cyber-Produkten oder Sach-/Haftpflichtversicherungen gearbeitet. Dennoch sehe ich hier einige Schwierigkeiten, die sich Versicherern stellen könnten. Oftmals verlässt man sich im Underwriting vorwiegend auf historische Daten, welche man analysiert. Anhand der Schadenshistorie wird versucht, ein möglicher zukünftiger Verlauf zu prognostizieren. Sei dies mit einfachen Berechnungen oder anhand von anspruchsvollen Simulationen. Solche werden je nach Geschäftsbereich durchgeführt, teilweise verlässt man sich aber auch in hohem Masse auf Statistiken.

Jeder Underwriter weiss, dass experience-rating nicht “alles” ist. Es gibt auch noch ein entsprechendes exposure-rating. Doch wie soll man vorgehen, wenn noch gar keine historischen Daten vorhanden sind? Kein Schadensverlauf bekannt ist? Wie wird ein entsprechender Tarif in einer Versicherung kalkuliert?

Zusätzlich stellt sich das Problem der asymmetrischen Information. Eine Firma selbst weiss, welche Massnahmen Sie bezüglich IT-Sicherheit getroffen haben, ob sie beispielsweise über eine Überwachung bzw. ein eigenes SOC (Security Operations Center) verfügen und regelmässig Backups erstellen. Der Versicherer nicht. Anhand von Fragebögen bei einem Antrag kann versucht werden, dieses Risiko zu vermindern. Dennoch ist es schwierig später in einem Schadenfall zu beweisen, dass Aussagen beispielsweise nicht wahrheitsgetreu waren. In Grossbetrieben ist es ausserdem für die Firma selbst oftmals auch schwierig, ein Inventar der Infrastruktur aufzustellen, mit entsprechenden Geldwerten.

Werfen wir einen Blick auf Rückversicherer. Ein Erstversicherer kann sein Risiko mindern, in dem er entsprechende Rückversicherungsprodukte erwirbt. Oftmals ist eines der wichtigsten Konzepte von Rückversicherungen in Bezug auf Kumulrisiken dasjenige der Diversifikation. Globale Tätigkeiten sollen das Portfolio in ein gewisses Gleichgewicht bringen. Wie wahrscheinlich ist es, dass in Japan ein Erdbeben zahlreiche Schäden verursacht, und gleichzeitig in der Schweiz auch ein derartiges Beben stattfindet? Minimal. Gerade dieses Konzept könnte aber bei Cyber-Versicherungen nicht greifen. Ein immenser Angriff ist häufig global. Lände sind deshalb gleichzeitig betroffen während eines ähnlichen Zeitfensters. Wie kann ein Rückversicherer dieses Risiko also abfedern? Oder wie gehen sie damit um? Querfinanzierungen wäre eine Möglichkeit, bis ein gewisses Produkt etabliert ist und rentabel verläuft. Damit ein Produkt rentiert, muss es entsprechend kalkuliert werden. Die Frage stellt sich auch hier, ob ein “korrekter” Tarif errechnet werden kann. Ist das Risiko wirklich greifbar? Denn einerseits ist ein hohes Wissen in der Informatik notwendig, jedoch auch die mathematischen Fähigkeiten für eine entsprechende Kalkulation, wie andererseits auch das Verständnis in Bezug auf Versicherungsprodukte. Entsprechende Experten dürften schwer zu finden sein.

Die möglichen Konsequenzen

Natürlich ist die Komplexität der Versicherungsleistungen ebenfalls entscheidend. Was ist genau versichert? Nur der Ersatz von Geräten? Die Wiederherstellung von Daten? Oder ebenfalls die entgangenen Gewinne aufgrund einer Lahmlegung eines Betriebs? Wie hoch ist das Versicherungslimit?

Dann gibt es noch einen Unterschied zwischen einer All-Risk-Versicherung vs. named perils. Bei der einen ist alles eingeschlossen abgesehen von Ausschlüssen in den AVB, bei der anderen sind nur die explizit erwähnten Ereignisse versichert. Gerne übersehen sind die AVB (Allgemeine Versicherungsbestimmungen). Diese können in einem Schadenfall jedoch match-entscheidend sein. Welche Vorkehrungen hat der Versicherungsnehmer zu treffen (z.B. Sorgfaltspflichten) und welche Ausschlüsse sind darin manifestiert?

Ein gewisses rechtliches Know-How bezüglich Beweislast schadet ebenfalls nicht. Oftmals gilt: Wer einen Vorteil aus der Forderung ableitet, steht in der Beweispflicht. Insbesondere in solch einem Fall kann es entscheiden sein, ob die Versicherung nun all risk oder nur named perils beinhaltet. Bei all risk, leitet der Versicherer einen Vorteil daraus ab. Er sollte beweisen, dass ein entsprechendes Ereignis gerade nicht versichert ist (Vorteil = keine Schadenszahlungen). Bei named perils liegt es am Versicherungsnehmer zu beweisen, dass gerade das eingetroffene Ereignis versichert ist (Vorteil = Schadenszahlung).

Haben Cyber-Versicherungen eine Zukunft?

Wie schwierig es ist eine Cyber-Versicherung zu kalkulieren und wie hoch ein entsprechender Schaden sein kann, zeigt der Fall Notpetya im Jahr 2017. Ein entsprechend ausstehendes Gerichtsurteil beim Präzedenzfall Zürich vs. Mondelez könnte einen wesentlichen Einfluss auf die Zukunft von Cyber-Versicherungen haben. Gemäss Berichten wird dabei um über 100 Mio. $ gekämpft. Zu relativieren ist, dass gemäss Quellen es sich nicht um eine reine Cyber-Versicherung handelt, welche Mondelez erworben hat, sondern um eine Sachversicherung mit inkludiertem Cyber-Schutz als Zusatzdeckung. Die Zürich Versicherung plädiert dabei auf eine feindliche und kriegerische Handlung, welche gemäss AVB nicht gedeckt ist.

Allgemein ist sich die Frage zu stellen: Sind solche Wirtschaftsgiganten das Zielpublikum einer Versicherung? Einerseits haben sie oftmals ein entsprechendes Budget zur Verfügung und könnten hohe Prämieneinnahmen generieren, andererseits ist gerade in einem Schadenfall mit enormen Verlusten zu rechnen.

Kleinere Unternehmen wären hier eventuell “überschaubarer”, jedoch ist dort die Security-Awareness oftmals noch nicht ganz so weit und das Risiko weniger greifbar. Oder man spielt mit dem Gedanken, dass es sich für einen Angreifer nicht “lohnt”, eine solch “kleine” Firma anzugreifen.

Fazit

Cyber-Versicherungen werden meiner Meinung nach in den kommenden Jahren weiterhin ein Thema bleiben. Der Verlauf von entsprechend grösseren Schadenfällen werden jedoch wohl das Angebot entsprechend beeinflussen. Möglicherweise wird sich auch das Produkt selbst verändern (mehr ausgerichtet auf rentable Zielgruppen) oder nur beschränkte Versicherungsleistungen.

Über die Autorin

Valérie Kastner studiert Betriebsökonomie mit Schwerpunkt Risk & Insurance an der Zürcher Hochschule für Angewandte Wissenschaften. Nach mehreren Jahren im Underwriting und Technical Center von Versicherungen, arbeitet sie seit 2018 im Bereich IT-Security mit Fokus auf Web Application Security Testing und Social Engineering. (ORCID 0000-0002-9214-572X)

Links

• https://malicious.life/episode/episode-64/
• https://www.handelszeitung.ch/unternehmen/toblerone-besitzer-mondelez-verklagt-zurich-wegen-cyberattacke
• https://www.nzz.ch/wirtschaft/versicherungen-cyber-attacken-sind-schwieriger-als-hurrikans-ld.1482675