Standpunkt - BIGS Potsdam
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Standpunkt
zivile Sicherheit
Cyberversicherungen als Beitrag zum IT-Risikomanagement –
Eine Analyse der Märkte für Cyberversicherungen in
Deutschland, der Schweiz, den USA und Großbritannien
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey
Nummer 8 . September 2017
IMPRESSUM
Die Brandenburgische Institut für Gesellschaft Die Publikation „Cyberversicherungen als Beitrag
und Sicherheit (BIGS) gGmbH ist ein unabhän- zum IT-Risikomanagement – Eine Analyse der
giges, überparteiliches und nicht-gewinnorien- Märkte für Cyberversicherungen in Deutschland,
tiertes wissenschaftliches Institut, das zu gesell- der Schweiz, den USA und Großbritannien“ ist im
schaftswissenschaftlichen Fragen ziviler Sicherheit Zuge des Verbundprojekts „RiskViz – Risikolage-
forscht. bild der industriellen IT-Sicherheit in Deutschland“
Das BIGS publiziert seine Forschungsergebnisse entstanden, das vom Bundesministerium für Bil-
und vermittelt diese in Veranstaltungen an eine dung und Forschung im Rahmen des Programms
interessierte Öffentlichkeit. Das BIGS entstand im „IKT 2020 – Forschung für Innovation“ gefördert
Frühjahr 2010 in Potsdam unter der Beteiligung der wird. Wir danken herzlich für die Unterstützung.
Universität Potsdam und ihrer UP Transfer GmbH so- Das diesem Bericht zugrunde liegende Vorhaben
wie der Unternehmen Airbus, IABG und Rolls-Royce. wurde mit Mitteln des Bundesministeriums für Bil-
dung und Forschung unter dem Förderkennzeichen
16KIS0253 gefördert.
Autoren der Studie: Alle Aussagen und Meinungsäußerungen in diesem
Dr. Constance P. Baban, Tyson Barker, Papier liegen in der alleinigen Verantwortung der
Yvonne Gruchmann, Dr. Christopher Paun, Autoren.
Anna Constanze Peters, Dr. Tim H. Stuchtey
Titel der Studie:
Cyberversicherungen als Beitrag zum IT-Risiko-
management – Eine Analyse der Märkte für Cy-
berversicherungen in Deutschland, der Schweiz,
den USA und Großbritannien
Herausgeber:
Brandenburgisches Institut für
Gesellschaft und Sicherheit gGmbH
Dr. Tim H. Stuchtey (V.i.S.d.P.)
ISSN: 2191-6748
Zu zitieren als:
BIGS Standpunkt Nr. 8, September 2017 BIGS (2017): Cyberversicherungen als Beitrag
Titelbild: bluebay © 123RF.com zum IT-Risikomanagement – Eine Analyse der
Märkte für Cyberversicherungen in Deutschland,
der Schweiz, den USA und Großbritannien. BIGS
Standpunkt Nr. 8, September 2017, Potsdam:
Brandenburgisches Institut für Gesellschaft und
Sicherheit.
Weitere Informationen über die Veröffentli-
Brandenburgisches Institut für chungen des BIGS befinden sich auf der Webseite
Gesellschaft und Sicherheit gGmbH des Instituts: www.bigs-potsdam.org.
Geschäftsführender Direktor:
Dr. Tim H. Stuchtey Copyright 2017 © Brandenburgisches Institut für
Dianastraße 46 Gesellschaft und Sicherheit gGmbH. Alle Rechte
14482 Potsdam vorbehalten. Die Reproduktion, Speicherung oder
Übertragung (online oder offline) des Inhalts der
Telefon: +49-331-704406-0
vorliegenden Publikation ist nur im Rahmen des
Telefax: +49-331-704406-19
privaten Gebrauchs gestattet. Kontaktieren Sie
E-Mail: info@bigs-potsdam.org uns bitte, bevor Sie die Inhalte darüber hinaus
www.bigs-potsdam.org verwenden.
2 BIGS Standpunkt Nr. 8 / September 2017
VORWORT Ebenso diskutieren wir die Notwendigkeit von Si-
cherheitsstandards im Cyberraum und damit ver-
bunden die Notwendigkeit staatlicher Regulierung,
um das Sicherheitsniveau zu erhöhen. Auch in
diesem Zusammenhang können Versicherungen
als Quasi-Regulierer über ihre Versicherungsbe-
Warum kann man sich eigentlich nicht genau so dingungen eine wichtige Rolle spielen und Anreiz
gegen Cyberrisiken versichern wie gegen Ein- für verstärkte Schutzanstrengungen der Industrie
bruch? Diese Frage stand am Anfang unserer sein. Ob sie die Rolle auch wahrnehmen, ist eine
Überlegungen. Geht man dieser Frage nach, stellt weitere Frage, der wir in dieser Studie nachgehen.
man schnell fest, dass es in einigen Ländern und
von einigen Versicherungsunternehmen zwar ein- Diese Studie und die in ihr steckende Arbeit wären
zelne Angebote gibt, diese sind aber häufig maß- nicht möglich gewesen ohne die finanzielle Unter-
geschneidert auf die Bedürfnisse von Großkunden stützung des Bundesministeriums für Bildung und
und decken oftmals nur Teilaspekte des Cyberrisi- Forschung und seines IT-Sicherheitsforschungs-
kos ab. In einigen Ländern (z.B. USA) gibt es eine programms. In dem Projekt RiskViz (Risikolagebild
beachtliche Nachfrage nach solchen Produkten; in der industriellen IT-Sicherheit in Deutschland) und
anderen Ländern (Großbritannien) gibt es die mei- von unseren Projektpartnern haben wir viel über
sten Versicherungspolicen, die auf dem globalen die technischen Hintergründe industrieller Cyberri-
Markt für Cyberversicherungen angeboten wer- siken gelernt. Diese waren notwendig, um sich der
den. Woran liegt das? Welche ordnungspolitischen gestellten Aufgabe widmen zu können. Dennoch
Rahmenbedingungen begünstigen Nachfrage und beantwortet diese Studie aber bei weitem nicht alle
Angebot in den jeweiligen Märkten und gelingt es, Fragen zur Versicherbarkeit von Cyberrisiken. Wir
effizient das Cyberrisiko berechenbar zu machen hoffen daher auch auf eine weitere Unterstützung
und in die Hände von Versicherungsunternehmen insbesondere des BMBFs für unsere Arbeit.
zu transferieren? Besonders danken möchten wir den vielen ano-
Diesen Fragen gehen wir in der vorliegenden Studie nymen Interviewpartnern von Versicherungen und
nach. Dabei wird zunächst die Rolle von Versiche- Maklern, Verbänden, den Regulierungsbehörden,
rungen beim ökonomischen Umgang mit Cyber- Forschungseinrichtungen und Sicherheitsbehörden
risiken analysiert und ein ganz besonderer Fokus in Deutschland, der Schweiz, Großbritannien und
auf industrielle Cyberrisiken gelegt. Nicht so sehr den USA, die mit ihrem Wissen maßgeblich zum
der Datendiebstahl mit dem Tatwerkzeug Internet Gelingen der Studie beigetragen haben.
steht also im Vordergrund, sondern die Manipula- Als Autoren freuen wir uns, wenn der Leser die
tion oder gar Sabotage industrieller Produktions- Studie von Anfang bis Ende liest. Wir glauben aber,
prozesse über SCADA- und Industrielle Kontrollsy- dass die einzelnen Kapitel auch für sich lesbar
steme. sind, wenn man sich entweder nur für den ökono-
Immer häufiger werden industrielle Prozesse über mischen Hintergrund oder einzelne Länder interes-
das Internet gesteuert. Industrie 4.0 und die Ent- siert. Natürlich freuen wir uns dann ebenfalls über
wicklung in Richtung eines Internet der Dinge (IoT) Kommentare oder ein Hinterfragen der hier getrof-
erhöhen die Anzahl der potentiellen Angriffsvek- fenen Aussagen.
toren, so dass ein wirtschaftlicher Umgang mit
IT-Sicherheitsrisiken für Unternehmen eine ele-
Dr. Tim H. Stuchtey
mentare Managementaufgabe wird, wenn sie die
Chancen der Digitalisierung nutzen wollen, ohne Geschäftsführender Direktor
zugleich unkalkulierbare Risiken einzugehen. Der
BIGS – Brandenburgisches Institut für Gesellschaft
Risikotransfer zu Versicherungen spielt bei der Be-
und Sicherheit
wältigung der Managementaufgabe eine heraus-
gehobene Rolle. Gelingt dies nicht, wird auch die
Digitalisierung der Produktion in seiner Entwicklung
gebremst.
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey · Cyberversicherungen als Beitrag zum IT-Risikomanagement 3
EXECUTIVE SUMMARY
Digitalization promises enormous gains in producti- already heavily regulated and includes several re-
vity but comes with significant cyber risks. In order quirements to inform customers about instances of
to make full use of its potential, certain downsides unauthorized access to their data. Insurance poli-
of digitalization need to be properly addressed in cies regarding ICS-related risks and critical infra-
IT risk management strategies. This study focuses structure, however, are few and far between. There
on one particular aspect of risk management: cy- is no established market segment for ICS and CI
ber insurance. From a microeconomic perspective, risks.
cyber insurance can be used to transfer residual
The market in the United Kingdom is the largest in
risk to insurance companies, thus simplifying cost-
Europe, due in large part to the internationality of
benefit analyses for digitalized business activities.
the London market, where many policies are sup-
From a policy perspective, insurance companies
plied to customers in the United States. Yet market
can function as quasi-regulators, able to set IT se-
volume generated by domestic demand for cyber
curity standards that are required to obtain cyber
insurance policies is less than a sixth of the Lon-
insurance or obtain it at reduced rates. Complying
don market’s total size. English policies addressing
with security standards does not only heighten the
ICS-related risks and critical infrastructure occur
individual client’s security, but affects the security
infrequently and mainly address demand from the
of other members of society as well, considering a
United States.
security breach in one company can easily affect
other devices connected to the internet. The Swiss insurance market in general is interesting
because spending on insurance per capita is the
This study examines the German cyber insurance
highest in the world. Yet this is not the case when
market in particular and compares it to markets
cyber insurance is considered: Swiss companies
in Switzerland, the United States, and the United
rely on a high equity ratio in order to cope with the
Kingdom. The German market analysis is therefore
potential costs that stem from cyber-attacks, thus
the most detailed and includes a cyber insurance
making the market the least developed in compari-
policy database developed by BIGS. The other
son to other countries studied. To date, the market
market studies serve mainly comparison purpo-
for ICS-related risks and critical infrastructure es-
ses and as a source of “best practice” and “lessons
sentially does not exist.
learned”, information that could potentially be ap-
plicable to the German market. In addition to the The German market for cyber insurance policies in
market comparisons, this study makes a distinc- general is more advanced than the Swiss market,
tion between general cyber insurance markets and lags slightly behind the UK market, and significantly
specific markets regarding cyber risks for Industrial behind the US market. German policies have only
Control Systems (ICS) and Critical Infrastructure been offered since 2011 and the aforementioned
(CI), where the potential harm from a cyber-attack BIGS Cyber Insurance Policy Database included 26
is of greater significance for the economy and so- insurers as of July 2017. The market for ICS-rela-
ciety. ted risks and critical infrastructure is non-existent
so far. There is potential for significant growth in
The US cyber insurance market is the oldest, lar-
the German cyber insurance market, but a number
gest, and most developed market worldwide:
of factors need to be addressed in order to bolster
American policies have been on the market since
such growth:
1996. The United States boasts a large demand for
protection against data breaches, an area that is
4 BIGS Standpunkt Nr. 8 / September 2017
• Calculating premiums is difficult with limited dards were unsuccessful as the cost of getting
information about cyber risks. The US market compliance certified was higher than savings on
shows that reporting requirements can lead to premiums. If this gap cannot be closed, the posi-
more risk transparency, which can then make it tive externalities from higher security standards
easier to calculate insurance prices. The German would justify the state to step in with financial
IT Security Law of 2015 introduced reporting re- support for certifications or for the insurance po-
quirements for critical infrastructure providers, licies that require them.
but their effect remains to be seen. In particular
• The German insurance industry could position
it is an open question if the information will be
itself as a relevant actor on the IT security lands-
made available, for example in an anonymized
cape by adding security assessment componen-
form, to insurance companies for better risk
ts to its risk assessments and putting more em-
calculation. Increased information-sharing and
phasis on support services. This would aid clients
widening the scope of reporting requirements
in preemptively improving their IT security and
should be considered if further risk information
would offer emergency assistance in the event
is needed.
of a security breach. It would also help insurance
• It is very difficult for customers to compare cy- companies to gather information about cyber
ber insurance policies due to a lack of a common risks and calculate premiums more efficiently.
standard. While this has been addressed with
• The German insurance industry faces significant
model conditions published by the German Insu-
international competition on the German mar-
rance Association (GDV) in 2017, a further step
ket. These international competitors are espe-
would be to create a database where potential
cially strong when it comes to data breach-rela-
clients could search for and compare cyber po-
ted risks, where they have gathered experience
lices.
in the more developed US market. Business
• Cyber terrorists may attack individual compa- interruption and support services are less of a
nies, though they target the entire state or so- focus for international competitors and German
ciety. Therefore, insuring terrorism-related risks insurers could therefore fill this gap.
needs to be a feasible option. If this is not possi-
• German companies remain largely unaware of
ble on the insurance market, the state can step
their own cyber risks, but these risks must be-
in as a reinsurer, following the example of Pool
come a more important component of overall risk
Re in the UK.
management strategies in order to make full use
• Cyber insurance can transfer risks to an insurer, of the potential of digitalization. Cyber insurance
but also has the potential to set IT security stan- can be an important component in such strate-
dards required to get insurance or insurance at gies and are especially attractive with regard to
a reduced rate, thus increasing security for all the transfer of residual risk where potential da-
members of society. This potential, however, is mages are very high and cannot reasonably be
not fulfilled in any of the examined markets. dealt with using equity. However, investments in
Risk assessments conducted by insurers are ba- cyber insurance should not come at the expense
sed primarily on potential damages with security of investments in IT security.
measures playing only a minor role or none at
all. Attempts to offer lower premiums for custo-
mers who comply with the UK’s security stan-
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey · Cyberversicherungen als Beitrag zum IT-Risikomanagement 5
INHALTSVERZEICHNIS
I Einleitung 10
1. Hintergrund 10
2. Aufbau 12
3. Methodisches Vorgehen 13
II Der Zusammenhang von IT-Sicherheit und Cyberversicherungen 14
1. IT-Sicherheit zwischen Office-IT und Produktions-IT 14
2. Der Einfluss von Cyberversicherungen auf das IT-Sicherheitsniveau in Unternehmen 16
III Der Cyberversicherungsmarkt in Deutschland 17
1. Marktbeschreibung 17
1.1 Verortung des IT-Risikos – die Kontroverse 18
1.2 Die Einordnung des Cyberrisikos in den Versicherungsmarkt 18
1.2.1 Unternehmensversicherung 19
1.2.2 Sonderfall Industrieversicherung 20
1.2.3 Rolle der Versicherungsmakler 21
1.2.4 Fazit zur Versicherungsproduktstruktur und ökonomischen Relevanz
der Versicherung 22
1.3 Modularer Aufbau eigenständiger Cyberversicherungen 22
1.4 Der Cyberversicherungsmarkt in Zahlen 25
1.4.1 Angebot von Cyberpolicen 25
1.4.2 Prämienvolumen 27
1.4.3 Deckung 27
1.5 Prognosen zum Cyberversicherungsmarkt in Deutschland 28
1.5.1 Marktwachstum bei KMU 28
1.5.2 All-Risk- vs. Named-Perils-Deckung 28
1.5.3 Marktaussicht 28
1.5.4 Versicherbarkeit industrieller Cyberrisiken und KRITIS 29
2. Hemmnisse für die Entwicklung des Cyberversicherungsmarktes 30
2.1 Hemmnisse für den allgemeinen Cyberversicherungsmarkt 30
2.2 Hemmnisse für den KRITIS-Cyberversicherungsmarkt 32
3. Positive Einflussfaktoren für die Weiterentwicklung des Cyberversicherungsmarktes 35
3.1 Soziologisch-gesellschaftliche Einflussfaktoren 35
3.2 Politisch-rechtliche Einflussfaktoren 36
3.3 Technische Einflussfaktoren 38
6 BIGS Standpunkt Nr. 8 / September 2017
3.4 Ökonomische Einflussfaktoren 39
4. Zwischenfazit für den Cyberversicherungsmarkt in Deutschland 40
IV Länderstudie: Schweiz 42
1. Einleitung 42
2. Politische und rechtliche Rahmenbedingungen 42
3. Marktbeschreibung 44
3.1 Angebot 45
3.2 Nachfrage 45
4. Fazit 46
V Länderstudie: USA 47
1. Einleitung 47
2. Politische und rechtliche Rahmenbedingungen 47
3. Marktbeschreibung 49
4. Fazit 51
VI Länderstudie: Großbritannien 52
1. Einleitung 52
2. Politische und rechtliche Rahmenbedingungen 52
3. Marktbeschreibung 54
3.1 Der britische Cyberversicherungsmarkt in Zahlen 54
3.2 Struktur des britischen Cyberversicherungsmarktes 56
4. Fazit 56
VII Handlungsempfehlungen für den deutschen Cyberversicherungsmarkt 58
1. Daten und Fakten im Ländervergleich 58
2. Handlungsempfehlungen 59
2.1 Handlungsempfehlungen für den Staat 59
2.2 Handlungsempfehlungen für die Versicherungswirtschaft 61
2.3 Handlungsempfehlungen für Unternehmen 62
3. Kollektives Lernen 64
Endnoten 65
Quellenverzeichnis 67
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey · Cyberversicherungen als Beitrag zum IT-Risikomanagement 7TABELLEN- UND ABBILDUNGSVERZEICHNIS
Tabelle 1: Anbieter von Cyberversicherungspolicen in Deutschland 26
Tabelle 2: Angebotstypen allgemeiner Cyberversicherungsmarkt 31
Tabelle 3: Nicht-Nachfragetypen Cyberversicherungsmarkt - allgemein und KRITIS 34
Tabelle 4: KRITIS-Sektoren und -Teilsektoren in der Schweiz 43
Tabelle 5: Daten und Fakten im Ländervergleich 58
Abbildung 1: Sektoren Kritischer Infrastrukturen in Deutschland 11
Abbildung 2: Methodisches Vorgehen Länderstudien 13
Abbildung 3: Beiträge in der Versicherungswirtschaft 2015 19
Abbildung 4: Beiträge in der Schaden- und Unfallversicherung 2016 19
Abbildung 5: Komponenten der Industrieversicherung 21
Abbildung 6: Modularer Aufbau von Cyberversicherungen 23
Abbildung 7: Hemmnisse für den allgemeinen Cyberversicherungsmarkt 30
Abbildung 8: Hemmnisse für den KRITIS-Cyberversicherungsmarkt 33
Abbildung 9: Einflussfaktoren Cyberversicherungsmarkt in Deutschland 35
Abbildung 10: Bestimmung der Kritischen Infrastrukturen in Deutschland 37
Abbildung 11: Wichtige politische und rechtliche Rahmenbedingungen in den USA 48
Abbildung 12: Wichtige politische und rechtliche Rahmenbedingungen in Großbritannien 53
Abbildung 13: Absatzmärkte der Produkte des Londoner Marktes für Cyberversicherungen (2014) 54
Abbildung 14: Marktlebenszyklus im Vergleich 59
Karte 1: Geographische Darstellung von ICS in Europa 15
Karte 2: Geographische Darstellung von ICS in Deutschland 29
8 BIGS Standpunkt Nr. 8 / September 2017ABKÜRZUNGSVERZEICHNIS
ABI Association of British Insurers
BAKOM Bundesamt für Kommunikation (Schweiz)
BIBA British Insurance Brokers Association
BMBF Bundesministerium für Bildung und Forschung
BMI Bundesministerium des Innern
BSI Bundesamt für Sicherheit in der Informationstechnik
CCA (United Kingdom) Centre for Cyber Assessment
CERT-UK Computer Emergency Response Team - United Kingdom
CESG (United Kingdom) Communications-Electronics Security Group
CIDAWG (United States) Cyber Incident Data and Analysis Working Group
CiSP (United Kingdom) Cyber Security Information Sharing Partnership
CPNI (United Kingdom) Centre for the Protection of National Infrastructure
CSB 1386 California Senate Bill 1386 bzw. Database Security Breach Notification Act
DESTATIS Statistisches Bundesamt
DHS (United States) Department of Homeland Security
DSGVO Datenschutz-Grundverordnung
FinMa Eidgenössische Finanzmarktaufsicht (Schweiz)
GCHQ (United Kingdom) Government Communications Headquarters
GDV Gesamtverband der Deutschen Versicherungswirtschaft
GLBA (United States) Gramm-Leach-Bliley Act bzw. Financial Services Modernization Act
HIPAA (United States) Health Insurance Portability and Accountability Act
ICO (United Kingdom) Information Commissioner‘s Office
ICS Industrial Control Systems / Industrielle Kontrollsysteme
ISO/IEC 27001 International Organization for Standardization / International Electrotechnical Commission
Requirements for Information Security Management Systems
KMU Kleine und Mittlere Unternehmen
KRITIS Kritische Infrastrukturen
MELANI Melde- und Analysestelle Informationssicherung (Schweiz)
NCS Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken
NCSC (United Kingdom) National Cyber Security Centre
NHS (United Kingdom) National Health Service
NIS-Richtlinie EU-Richtlinie zur Netz- und Informationssicherheit
PII Personally Identifiable Information
PPD21 (United States) Presidential Policy Directive for Critical Infrastructure
Security and Resilience
SAFETY (United States) Support Anti-Terrorism by Fostering Effective Technologies Act
SCADA Supervisory Control and Data Acquisition
SUV Schadens- und Unfallversicherung
TRIA (United States) Terrorism Risk Insurance Act
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey · Cyberversicherungen als Beitrag zum IT-Risikomanagement 9I EINLEITUNG
1. Hintergrund
Zahlreiche nationale und internationale Cyber- stehen teilweise schon seit über 20 Jahren. Neu
angriffe und damit verbundene Schäden zeigen, hingegen ist, dass sie immer häufiger vernetzt,
dass das Management von IT-Risiken zu einem also an das Internet angebunden sind. Gründe
immer wichtigeren Element des Unternehmens- hierfür sind zum Beispiel kostengünstigere Mög-
managements werden muss. So kommt das Al- lichkeiten des Fernzugriffs oder der Fernwartung
lianz Risk Barometer 2017 aktuell erstmals zu dieser Systeme. Damit gehen jedoch ebenfalls
dem Ergebnis, dass Cyberrisiken die größte Be- neue Sicherheitsrisiken für Unternehmen ein-
drohung für Unternehmen in Deutschland dar- her, denn zahlreiche dieser vernetzten Kontroll-
stellen1, während diese 2013 noch nicht unter systeme sind ungeschützt und lassen sich zum
den Top zehn der Unternehmensrisiken genannt Beispiel über das Internet angreifen. So weist
wurden.2 Betrachtet man die mit Cyberangrif- das Bundesamt für Sicherheit in der Informati-
fen verbundenen Schäden in Zahlen, sind diese onstechnik (BSI) auf diese neue Gefährdung hin:
zunächst eher wenig aussagekräftig. In seinem
„Systeme zur Fertigungs- und Prozessautoma-
jährlich erscheinenden ‚Cybercrime Bundeslage-
tisierung – zusammengefasst unter dem Begriff
bild‘ für das Jahr 2015 nennt das Bundeskrimi-
Industrial Control Systems (ICS) – werden in
nalamt einen Schaden in der Höhe von 40,5 Mio.
nahezu allen Infrastrukturen eingesetzt, die phy-
EUR.3 Allerdings ist bei dieser Zahl davon auszu-
sische Prozesse abwickeln. Dies reicht von der
gehen, dass aufgrund einer hohen Dunkelziffer
Energieerzeugung und -verteilung über Gas- und
der nicht strafrechtlich verfolgten Cyberangriffe
Wasserversorgung bis hin zur Fabrikautomation,
sowie einer Vielzahl nicht oder erst zu einem
Verkehrsleittechnik und modernem Gebäudema-
späteren Zeitpunkt bemerkter Angriffe von einer
nagement. Solche ICS sind zunehmend densel-
tatsächlich deutlich höheren Schadenssumme
ben Cyber-Angriffen ausgesetzt, wie dies auch in
auszugehen ist. So nennt zum Beispiel KPMG für
der konventionellen IT der Fall ist.“5
die Jahre 2014 und 2015 einen geschätzten Ge-
samtschaden von 54 Mrd. EUR für die gesamte Die Folgen eines Cyberangriffs auf ICS können
deutsche Wirtschaft.4 von Sabotage und Spionage bis hin zum Ausset-
zen ganzer laufender Produktionsprozesse oder
Neben den Risiken und möglichen Schäden, de-
der Zerstörung von Anlagen reichen. Für die In-
nen sich Unternehmen im Bereich der sogenann-
dustrie können derartige Schäden, verursacht
ten Office-IT ausgesetzt sehen, beispielsweise in
durch den Angriff auf vernetzte ICS, mit einem
Bezug auf Datendiebstahl, gibt es allerdings noch
hohen finanziellen Verlust verbunden sein. Dies
ein ganz anderes Feld der IT-Sicherheit, dem bis-
gilt zunächst erst einmal für alle Unternehmen.
her sowohl in der öffentlichen Diskussion um IT-
Betrachtet man allerdings Unternehmen, die mit
Sicherheit als auch in der IT-Sicherheitsforschung
dem neuen Gesetz zur Erhöhung der Sicherheit
weitaus weniger Aufmerksamkeit geschenkt wor-
informationstechnischer Systeme (IT-Sicher-
den ist: der Bereich der Produktions-IT, wie zum
heitsgesetz) von 2015 nun unter die sogenann-
Beispiel der industriellen IT-Sicherheit. Kenn-
ten Kritischen Infrastrukturen (KRITIS) fallen,
zeichnend für den Bereich der industriellen Pro-
und denen eine besondere Versorgungsleistung
duktion sind im Allgemeinen die IT-Risiken ent-
für das Funktionieren der Gesellschaft beigemes-
lang der Automatisierungspyramide und konkret
sen wird, wird sehr schnell deutlich, dass sich
der Einsatz von sogenannten Industriellen Kon-
die Situation hier noch verschlimmern kann. Kri-
trollsystemen bzw. Industrial Control Systems
tische Infrastrukturen werden laut KRITIS-Defi-
(ICS) und als Teil davon auch sogenannte SCA-
nition des Bundesministeriums des Innern (BMI)
DA-Systeme (Supervisory Control and Data Ac-
wie folgt beschrieben:
quisition), mit denen Produktionsprozesse durch-
geführt, gesteuert und überwacht werden. „Kritische Infrastrukturen sind Organisationen
und Einrichtungen mit wichtiger Bedeutung für
Der Einsatz solcher Systeme ist nicht neu. Sie be-
das staatliche Gemeinwesen, bei deren Ausfall
10 BIGS Standpunkt Nr. 8 / September 2017oder Beeinträchtigung nachhaltig wirkende Ver- Insgesamt nennt das BMI neun Sektoren Kri-
sorgungsengpässe, erhebliche Störungen der tischer Infrastrukturen. Das IT-Sicherheitsgesetz
öffentlichen Sicherheit oder andere dramatische adressiert hiervon alle Sektoren, bis auf die Sek-
Folgen eintreten würden.“6 toren Staat und Verwaltung sowie Medien und
Kultur:
Abbildung 1: Sektoren Kritischer Infrastrukturen in Deutschland
KRITIS Sektoren Branchen
Energie Elektrizität, Mineralöl, Gas
Ernährung Ernährungswirtschaft, Lebensmittelhandel
Gesundheit Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore
IKT Telekommunikation, Informationstechnik
Finanz- und Versicherungswesen Banken, Versicherungen, Finanzdienstleister, Börsen
Medien & Kultur Rundfunk (Fernsehen und Radio), gedruckte und elektronische
Presse, Kulturgut, symbolträchtige Bauwerke
Staat & Verwaltung Regierung und Verwaltung, Parlament, Justizeinrichtungen,
Notfall- und Rettungswesen einschließlich Katastrophenschutz
Transport & Verkehr Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr,
Straßenverkehr, Logistik
Wasser Öffentliche Wasserversorgung, öffentliche Abwasserbeseitigung
Quelle: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (2014); eigene Darstellung.
Bei einem Cyberangriff auf Kritische Infrastruk- Hieran knüpft das vom Bundesministerium für
turen kann sich zum einen der Schaden in finan- Bildung und Forschung (BMBF) geförderte For-
zieller Hinsicht erhöhen, zum anderen können schungsprojekt ‚RiskViz – Risikolagebild der in-
sowohl Sabotage als auch der Ausfall oder die
Camcopter S-100
dustriellen IT-Sicherheit in Deutschland’ an. Im
Zerstörung einer Kritischen Infrastruktur zugleich Mittelpunkt des Verbundvorhabens steht die Ent-
fatale gesamtgesellschaftliche Folgen haben. Im wicklung einer Suchmaschine, mit der mit dem
Hinblick auf die Perspektive der Angreifer können Internet verbundene und potentiell verwundbare
Kritische Infrastrukturen aufgrund ihrer Kritikali- ICS aufgespürt werden sollen. Die im Projekt-
tät zudem stärker im Fokus eines Angriffs stehen. verlauf entwickelte Suchmaschine ermöglicht
Beispielhaft kann hier der globale Cyberangriff die Identifikation potentiell verwundbarer ICS im
auf Fernwartungsports von DSL-Routern genannt Internet und stellt damit ein mögliches Instru-
werden, der im November 2016 auch 900.000 ment zur frühzeitigen Erkennung industrieller IT-
Telekomkunden vom Netz trennte.7 Wäre dieser Risiken dar. Langfristig soll die Anwendung der
globale Angriff erfolgreich gewesen, hätte er für entwickelten Suchmaschine durch Unternehmen
Deutschland zu einem nationalen Sicherheitspro- und Behörden sichergestellt werden. Hiermit er-
blem werden können. Der Angriff hat auch einen gibt sich ein Nutzen für verschiedene Akteure
zentralen KRITIS-Sektor Deutschlands getroffen: der IT-Sicherheitslandschaft: Zum einen können
die Informationstechnik und Telekommunikation. die Informationen über Risiken denjenigen Un-
Die Identifikation von Schutzlücken bei ICS sowie ternehmen, die in ihren Produktionsabläufen mit
die Entwicklung entsprechender Schutzstrategien ICS arbeiten, als Baustein für ihren jeweiligen IT-
sind daher nicht nur zentral für das Risikoma- Risikomanagementprozess dienen, zum anderen
nagement der Industrie und Wirtschaft im Allge- ergeben sich über die aggregierte Visualisierung
meinen, sondern auch für KRITIS-Betreiber. potentiell verwundbarer ICS in Deutschland zu-
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey · Cyberversicherungen als Beitrag zum IT-Risikomanagement 11sätzliche Informationen für Lagebilder, wie sie Während in den USA bereits seit den 1990er
zum Beispiel regelmäßig vom Bundesamt für Si- Jahren ein besser „funktionierender“ Cyberver-
cherheit in der Informationstechnik (BSI) erstellt sicherungsmarkt – zumindest in Bezug auf da-
werden. tenzugriffsbezogene Cyberrisiken – besteht,
kommt der allgemeine Cyberversicherungsmarkt
Doch selbst wenn man die ICS über eine Ermitt-
in Deutschland nur langsam in Bewegung. Den-
lung von Verwundbarkeiten und entsprechenden
noch wird in der Diskussion über die Rolle der Cy-
Schutzmaßnahmen hinreichend schützt, gilt auch
berversicherung vielfach eine Analogie zur Feu-
hier, dass es keine 100-prozentige Sicherheit
erversicherung bemüht und prognostiziert, dass
geben kann, und immer ein Restrisiko bestehen
die Cyberpolice sich bald genauso durchgesetzt
bleibt. Für die Unternehmen, ob KRITIS oder nicht,
haben würde wie die Feuerpolice. Neben der
bleibt dann die Frage, wie mit diesem Restrisiko
Bedeutung einer Cyberpolice für Unternehmen
am besten umzugehen ist. Innerhalb des RiskViz-
zum Beispiel angesichts steigender Cybercrime-
Verbundvorhabens liegt daher ein Schwerpunkt
vorfälle, ist ein weiterer treibender Faktor für die
des BIGS-Teilvorhabens auf dem Aspekt der Cy-
Entwicklung von Cyberversicherungsprodukten,
berversicherung sowie auf der industriellen IT-
dass Versicherungen in diesem Feld ein erheb-
Sicherheit Kritischer Infrastrukturen (KRITIS).
liches Wachstumspotential erkannt haben. Die
Die IT-Sicherheit von KRITIS spielt verglichen mit
im Rahmen dieser Studie dargestellten Umsatz-
anderen Unternehmen noch eine besondere Rolle
zahlen bestätigen, dass es sich bei Cyberversi-
im Feld der zivilen Sicherheit in Deutschland, weil
cherungen um einen wachsenden Markt handelt,
mit ihnen in unterschiedlichem Maße kritische
gleichwohl ist der absolute Umsatz in diesem
Versorgungsleistungen der Gesellschaft verbun-
Bereich in Deutschland noch auf einem geringen
den sind und ihr Ausfall, zum Beispiel durch Sa-
Niveau.
botage oder Zerstörung, schwerwiegende Folgen
haben könnte. Zugleich sind im Bereich KRITIS
Szenarien denkbar, die auch Menschenleben for-
dern könnten.
2. Aufbau
Ausgangshypothese dieser Studie ist zunächst, Ausgehend von einer Beschreibung des aktuellen
dass die Produktivitätsfortschritte durch Digita- Cyberversicherungsmarktes (Kapitel III, Ab-
lisierung nur dann ausgeschöpft werden können, schnitt 1) werden in der Folge Markthemmnisse
wenn die damit verbundenen Cyberrisiken im für den deutschen Markt im Allgemeinen sowie
Rahmen eines unternehmerischen IT-Risikoma- für den KRITIS-Bereich im Besonderen identifi-
nagements beherrschbar werden. Cyberversi- ziert (Kapitel III, Abschnitt 2). Hieran anknüpfend
cherungen können dann eine wichtige Rolle spie- werden positive Einflussfaktoren für die Entwick-
len (siehe Kapitel II, Abschnitt 2). Der Aspekt lung des deutschen Cyberversicherungsmarktes
der Versicherbarkeit von Cyberrisiken ist dabei skizziert (Kapitel III, Abschnitt 3).
grundsätzlich eingebettet in den größeren Zu-
Dieser Blick auf den deutschen Cybersicherungs-
sammenhang des gesamtgesellschaftlichen Um-
markt wird ergänzt um drei weitere Länderanaly-
gangs mit Cyberrisiken und der Frage nach der
sen der Cyberversicherungsmärkte in der Schweiz
Risikoverteilung. Das Kapitel II wird ergänzt um
(Kapitel IV), den USA (Kapitel V) und in Großbri-
eine kurze Abgrenzung der Begrifflichkeiten in
tannien (Kapitel VI). Alle ausgewählten Fälle sind
Bezug auf IT-Sicherheit (Kapitel II, Abschnitt 1).
von besonderer Relevanz: In Bezug auf das Prä-
Ziel dieser Studie ist es, insbesondere den deut- mienvolumen ist der US-Versicherungsmarkt der
schen Cyberversicherungsmarkt zu analysieren größte und der britische Versicherungsmarkt der
und dabei zugleich die Versicherbarkeit indus- viertgrößte der Welt sowie der größte in Europa.
trieller IT-Risiken – KRITIS-Risiken miteinge- Auch die Schweiz gehört zu den bedeutendsten
schlossen – in den Blick zu nehmen (Kapitel III). Versicherungsmärkten: Im internationalen Ver-
12 BIGS Standpunkt Nr. 8 / September 2017gleich wird hier der höchste Betrag für Versiche- nehmen als auch für die Politik und die Versiche-
rungen pro Kopf auf inländische Risiken ausgege- rungswirtschaft Handlungsempfehlungen für die
ben.8 Alle vier Länderanalysen ermöglichen es, in Weiterentwicklung des deutschen Cyberversiche-
einem abschließenden Kapitel sowohl für Unter- rungsmarktes zu geben (Kapitel VII).
3. Methodisches Vorgehen
Die Ergebnisse der Länderstudien – Deutschland, den. Für die vier Länderstudien wurden qualita-
Schweiz, USA und Großbritannien – stützen sich tive semi-strukturierte Leitfadeninterviews mit
im Wesentlichen auf drei Säulen (siehe dazu auch verschiedenen Stakeholdern aus den Bereichen
Abbildung 2): Versicherung und Rückversicherung, Versiche-
rungsmakler, Behörden, Verbände, Forschung
die Analyse
sowie Unternehmen in Deutschland, der Schweiz,
• der jeweiligen Cyberversicherungsmärkte, den USA und Großbritannien durchgeführt. Aller-
• der aktuellen Versicherungspraxis und des dings gestaltete sich der Informationsaustausch
-diskurses sowie zum Thema Cyberversicherung mit Vertretern
aus der Versicherungsbranche und den Behörden
• der politischen und rechtlichen Rahmen- einfacher als mit Unternehmen oder KRITIS-Be-
bedingungen. treibern. Dies liegt unter anderem an dem neuen
Da es sich insbesondere im Hinblick auf Deutsch- Thema Cyberversicherung und der grundsätz-
land bei der Entwicklung des Cyberversiche- lichen Sensibilität in der Außenkommunikation,
rungsmarktes und der grundsätzlichen Frage wenn es um Fragen der unternehmerischen Si-
nach der Versicherbarkeit von Cyberrisiken auch cherheit bzw. der IT-Sicherheit geht. Zum Teil
bei Kritischen Infrastrukturen um ein sehr neues, vertrauliche Hintergrundgespräche mit Unter-
wenn nicht sogar größtenteils noch unbearbei- nehmensvertretern auf Veranstaltungen waren
tetes Forschungsfeld handelt, war es bei der Er- hier hilfreicher, um das Thema in all seiner Kom-
arbeitung dieser Studie nicht möglich, auf einen plexität zu erfassen. Was zum einen eine Heraus-
umfassenden Pool an wissenschaftlicher Literatur forderung war, ist zugleich jedoch der Mehrwert
zurückzugreifen. Gleiches gilt für das IT-Sicher- dieser Studie. Wir liefern hiermit einen wichtigen
heitsgesetz, welches sich aktuell noch in der Um- Beitrag zur aktuellen Entwicklung des deutschen
setzungsphase befindet. Aus diesen Gründen ist Cyberversicherungsmarktes, in Bezug auf das
die Studie im Zusammenspiel von Hintergrund- Thema Versicherbarkeit von Cyberrisiken sowie
gesprächen, Experteninterviews, Konferenz- und allgemein Anregungen für weiterführende For-
Veranstaltungsbesuchen sowie der Auswertung schung in diesem Feld.
vorhandener Literatur und Dokumente entstan-
Abbildung 2: Methodisches Vorgehen Länderstudien
Analyse des Analyse der aktuellen Analyse der politi-
Cyberversicherungs- Versicherungspraxis schen und rechtlichen
marktes und des -diskurses Rahmenbedingungen
Literaturanalyse, Veranstaltungsbesuche,
Experteninterviews, Hintergrundgespräche
Deutschland Schweiz USA Großbritannien
Quelle: Eigene Darstellung.
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey · Cyberversicherungen als Beitrag zum IT-Risikomanagement 13
Quelle: sct-24.com/pixelio.deII DER ZUSAMMENHANG VON IT-SICHERHEIT
UND CYBERVERSICHERUNGEN
1. IT-Sicherheit zwischen Office-IT und Produkions-IT
Für ein besseres Verständnis der Funktion von der Produktion, in der z. B. Bedienterminals auf
Cyberversicherungen in Bezug auf die IT-Sicher- klassischen Desktopbetriebssystemen aufbauen.
heit in Unternehmen ist es zunächst wichtig, die Analog zur Office-IT nennen sich diese Systeme
wesentlichen Begriffe zu definieren. Allgemein Produktions-IT.“10
hat sich mittlerweile der Begriff der „Cybersi-
Industrielle Kontrollsysteme sind klassisch unter
cherheit“ nicht nur in Deutschland, sondern in
den Bereich der Produktions-IT zu fassen. Die
seiner englischen Version „Cybersecurity“ eben-
Kritikalität und somit auch die Verwundbarkeit
falls international durchgesetzt, wenn es um
der Produktionssysteme ergeben sich allerdings
die Beschreibung der Sicherheit informations-
durch die zunehmende Konvergenz von Office-
technischer Systeme und die drei Schutzziele
IT und Produktions-IT. So können Office-IT und
– Integrität, Vertraulichkeit und Verfügbarkeit –
Produktions-IT heutzutage aufgrund ihrer Ver-
geht. Allerdings ist die Verwendung des Begriffs
netzung kaum noch unabhängig voneinander
„Cybersicherheit“, der in Deutschland primär aus
betrachtet werden.11 Es lässt sich sogar die The-
dem politischen Bereich kommt, innerhalb der IT-
se aufstellen, „dass es nicht mehrere getrennte
„Szene“ nicht unkritisch und wird zum Teil eher
IT-Welten geben wird, sondern nur noch eine.“12
als neumodisch verbrämt. Sieht man jedoch ein-
Bestrebungen, Cybersicherheit herzustellen und
mal von den begrifflichen Präferenzen zwischen
die Frage, wie man Cyberrisiken ermittelt und mit
IT-Sicherheit und Cybersicherheit ab, und ver-
ihnen umgehen soll, muss folglich immer diese
ständigt sich darauf, dass mit beiden Begriffen
beiden Dimensionen von IT-Sicherheit berück-
derselbe Umstand gemeint sein soll, bleibt den-
sichtigen. Insgesamt erweist es sich jedoch als
noch die Frage, welcher Zusammenhang damit
schwierig, klare Trennungen zwischen KRITIS-
konkret gemeint ist. Innerhalb dieser Studie soll
Betreibern, bei denen der Bereich der Office-IT
daher zunächst IT- bzw. Cybersicherheit in An-
oder der Bereich der Produktions-IT oder sogar
lehnung an das BSI wie folgt verstanden werden:
beide Bereiche schützenswert erscheinen, adhoc
„Cyber-Sicherheit befasst sich mit allen Aspekten vorzunehmen. Hierzu wäre eine ausführliche Be-
der Sicherheit in der Informations- und Kommu- standsaufnahme nötig, welche sich an dem sich
nikationstechnik. Das Aktionsfeld der klassischen noch in der Umsetzung befindenden IT-Sicher-
IT-Sicherheit wird dabei auf den gesamten Cy- heitsgesetz und den jeweils gemeldeten KRITIS-
ber-Raum ausgeweitet. Dieser umfasst sämtliche Betreibern als Grundlage orientiert (siehe dazu
mit dem Internet und vergleichbaren Netzen ver- auch Kapitel III, Abschnitt 3.2).
bundene Informationstechnik und schließt darauf
Für die im Rahmen dieser Studie ebenfalls not-
basierende Kommunikation, Anwendungen, Pro-
wendige Entwicklung eines ökonomischen Ver-
zesse und verarbeitete Informationen mit ein.“9
ständnisses von Cybersicherheit wird die vom
Hieran anknüpfend lässt sich die bereits in der BIGS verwendete Definition von Sicherheit he-
Einleitung vorgenommene Unterscheidung zwi- rangezogen, mit der Sicherheit als eine Funkti-
schen Office-IT und Produktions-IT näher erläu- on aus Bedrohung und Schutzleistung definiert
tern: wird.13 Auf dieser Grundlage ist das verbleibende
Risiko, das Restrisiko, folglich immer das Risiko,
„Die ‚normale‘ IT ist eine Landschaft bestehend
das übrig bleibt, selbst wenn ein Unternehmen
aus Arbeitsplatzrechnern mit den klassischen
alle möglichen Schutzmaßnahmen ergriffen hat.
Office-Anwendungen, mobilen Geräten und Ser-
Die Größe des Restrisikos ist dann abhängig von
ver-Systemen wie z. B. CRM und ERP. Diese Sys-
dem Umfang bestehender Schutzmaßnahmen.
teme können unter dem Begriff Office-IT zusam-
Dieses Verständnis von Sicherheit verdeutlicht,
mengefasst werden. Ähnlich verhält es sich in
warum trotz Sicherheitsmaßnahmen ein Risiko
14 BIGS Standpunkt Nr. 8 / September 2017verbleibt, dass es möglicherweise zu versichern nach kann ein gleich hohes Risiko allerdings zwei
gilt. Übertragen auf das Feld der Cybersicherheit unterschiedliche Ursachen haben. In einem Fall
steht somit das Maß an Cybersicherheit immer kann es sich um einen niedrigen Schaden bei
im Verhältnis zur Cyberbedrohung und den IT- hoher Wahrscheinlichkeit und in einem anderen
Schutzleistungen. Fall um einen hohen Schaden bei niedriger Wahr-
scheinlichkeit handeln.
In den einzelnen wissenschaftlichen Disziplinen
gibt es verschiedene Auffassungen von Risiko und Für den thematischen Schwerpunkt der Cyberver-
keinesfalls eine einheitliche Definition.14 In der sicherung ist neben dem Cyberrisiko, verstanden
klassischen ökonomischen Definition ergibt sich als Multiplikation von Eintrittswahrscheinlichkeit
ein Risiko aus der Multiplikation von Schaden und und Schadenshöhe, zunächst die Bestimmung
Eintrittswahrscheinlichkeit. Dies gilt dann eben- der potentiellen Schadenshöhen in Unternehmen
falls für das Cyberrisiko. Anders als zum Beispiel wesentlich. Wenngleich dies natürlich zurzeit
bei einem Hochwasser, das sich aufgrund eines noch eine der wesentlichen Herausforderungen
langjährig aufgebauten zentralen Überschwem- darstellt.15 Das Schadenspotential und insbe-
mungsregisters mit Eintrittswahrscheinlichkeiten sondere die Umrechnung des Cyberschadens in
inzwischen besser erfassen lässt, sieht es bei der eine finanzielle Größe ist dann die Grundlage für
Berechnung der Eintrittswahrscheinlichkeit für ei- das Unternehmen dahingehend, wie es mit die-
nen erfolgreichen Cyberangriff schwieriger aus. sem potentiellen finanziellen Schaden umzuge-
Diese hängt nicht nur davon ab, welche Angriffs- hen plant. Cyberversicherungen können dann Teil
methoden gerade aktuell sind, sondern auch des unternehmerischen Cyberrisikomanagements
davon, welche Verwundbarkeiten das Unterneh- sein.
men hat. Hierzu können nicht nur technische
Schwachstellen, sondern auch Verhaltenswei-
sen von Mitarbeitern gehören. Der Berechnung
Karte 1: Geographische Darstellung von ICS* in Europa
Quelle: RiskViz, 2017 basierend auf Daten von Censys.io;
*Protokolle: DNP3, Modbus, S7.
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey · Cyberversicherungen als Beitrag zum IT-Risikomanagement 152. Der Einfluss von Cyberversicherungen
auf das IT-Sicherheitsniveau in Unternehmen
Zunächst ist das wesentliche Charakteristikum berrisiko auf eine Versicherung zu transferieren.
einer Cyberversicherung, dass sich mit ihr das Der Preis hierfür ist der Preis für die Versiche-
potentielle finanzielle Risiko eines Cyberangriffes rungspolice, den ein Versicherer verlangt. Letz-
oder allgemein eines Cyberschadens auf ein Ver- terer kann die Cyberrisiken verschiedener Un-
sicherungsunternehmen transferieren lässt. In- ternehmen poolen und profitiert von dem Gesetz
nerhalb dieser Studie soll der Blick auf das The- der großen Zahlen. Die Versicherung von Cyber-
ma Cyberversicherungen allerdings etwas weiter risiken sollte im Idealfall je nach Potential des
gefasst werden, als dass Cyberversicherungen Schadensausmaßes und entsprechender Höhe
„nur“ unter dem Blickwinkel des Risikotransfers der Deckungssumme, die durch den Versicherer
betrachtet werden. Vielmehr betrachten wir Cy- geleistet werden muss, an ein vorheriges Risk
berversicherungen und damit die Versicherungs- Assessment gebunden sein.
wirtschaft in Deutschland insgesamt als einen
Sofern der Abschluss der Cyberversicherung an
wichtigen Akteur im Bereich der Cybersicherheit
sich und die Prämie dann an das Sicherheitsni-
in Deutschland. Diese Zuschreibung stützt sich
veau im Unternehmen geknüpft werden, müssen
auf die Überlegung zu dem Zusammenhang von
die Unternehmen sich schon zu diesem Zeitpunkt
Cyberversicherungen und dem IT-Sicherheitsni-
mit ihrer eigenen IT-Sicherheit einmal mehr aus-
veau in Unternehmen.
einandergesetzt haben. Im erweiterten Rahmen
Fragt man nach dem Einfluss von Cyberversiche- sollte die Versicherungspolice dann zugleich an
rungen auf das IT-Sicherniveau in Unternehmen, eine regelmäßige Überprüfung geknüpft sein.
ergeben sich zunächst drei einfache und logisch Dies setzt in Konsequenz den Wunsch nach einer
nachvollziehbare Interpretationsmöglichkeiten: Cyberversicherung in der Unternehmensleitung
bereits voraus. Allerdings ist dies zunächst die
Cyberversicherungen haben
Idealvorstellung, wenn man den Einfluss von Cy-
1. einen positiven Effekt, berversicherungen auf das IT-Sicherheitsniveau
2. einen negativen Effekt oder in Unternehmen positiv gewertet wissen möchte.
3. keinen Effekt auf das IT-Sicherheitsniveau Ein in diesem Zusammenhang jedoch häufig an-
von Unternehmen. geführter Verweis auf das Moral-Hazard-Phäno-
men führt zur zweiten Interpretationsmöglich-
Im Folgenden werden die wichtigsten Argumen- keit, mit dem ein möglicher negativer Einfluss
tationen für diese drei Interpretationsmöglich- von Cyberversicherungen auf die Risikoaversion
keiten skizziert. des Unternehmens bzw. der Mitarbeiter begrün-
Ausgangspunkt für diese Studie ist, wie voraus- det wird. Mit dem Konzept Moral Hazard wird
gehend angeführt, die erste Interpretationsmög- versucht, den Umstand zu verdeutlichen, dass
lichkeit, dass Cyberversicherungen sich positiv die Sicherheit durch eine Versicherung und das
auf das IT-Sicherheitsniveau von Unternehmen Wissen darum, dass bei einem Schadensfall die-
auswirken können. Grundsätzlich wird Versiche- ser durch die Versicherung beglichen wird, zu
rungen wie technischen Sicherheitsvorkehrungen einem weniger risikoaversen Verhalten führt.
im IT-Risikomanagement-Prozess eine zentrale Vereinfacht gesprochen: Wenn man eine Cyber-
Bedeutung beigemessen.16 Dies bedeutet, dass versicherung hat, muss man sich ja nicht mehr
Cyberversicherungen andere IT-Sicherheitsmaß- um die IT-Sicherheit kümmern und kann eben-
nahmen – seien sie technisch oder nicht-tech- falls höhere Risiken eingehen, denn wenn etwas
nisch – nicht ersetzen, sondern sie ergänzen. passieren sollte, zahlt die Versicherung. Gleiches
Werden Cybersicherungen als Teil des IT-Risiko- gilt für den Umstand, dass die Ressourcen, die in
managements in Unternehmen verstanden, dann eine Cyberversicherung investiert wurden, nicht
zunächst deshalb, weil sie es ermöglichen, einen mehr in IT-Sicherheitsmaßnahmen investiert
potentiellen finanziellen Schaden durch ein Cy- werden können.
16 BIGS Standpunkt Nr. 8 / September 2017Final lässt sich die These aufstellen, dass Cyber- eine Cyberversicherung im Sinne einer IT-Risi-
versicherungen gar keinen wesentlichen Einfluss komanagementstrategie erfüllen könnte: zum ei-
auf das IT-Sicherheitsniveau in Unternehmen ha- nen den Transfer des finanziellen Restrisikos auf
ben. Für Deutschland lässt sich hierzu noch keine den Versicherer sowie zum anderen die Verbes-
Aussage treffen. Einige Studien für den ameri- serung des IT-Sicherheitsniveaus, wenn die Ver-
kanischen Markt belegen jedoch diesen Umstand sicherung an Bedingungen geknüpft ist. Für ein
(siehe dazu Kapitel V). Abhängig vom Ausgangs- besseres Verständnis dieser funktionalen Qualität
niveau der IT-Sicherheit des jeweiligen Unterneh- einer Cyberversicherung im Risikomanagement
mens kann dieser Nicht-Einfluss dann unerheb- eines Unternehmens, kann die Cyberversiche-
lich oder negativ sein. Anzunehmen wäre, dass rung in Relation zu anderen IT-Sicherheitsmaß-
diese These dann zutrifft, wenn Unternehmen nahmen gesehen werden. Vereinfacht erläutert
bereits von sich aus oder zum Beispiel durch ex- ist dies möglich, wenn man die IT-Sicherheits-
terne Regulation ein hohes IT-Sicherheitsniveau maßnahmen in Bezug zu einem Schadensereignis
vorweisen können und eine Cyberversicherung stellt und sie in präventive und reaktive Maßnah-
somit keinen weiteren Einfluss mehr darauf ha- men unterteilt. Eine Cyberversicherung gehört
ben kann. Abgesehen davon, dass mit ihr das dann zu den reaktiven Maßnahmen, die zu dem
Restrisiko transferiert wird, sollte es zu einem Zeitpunkt greifen bzw. greifen sollten, wenn es
Schaden durch einen Cyberangriff kommen. Der zu einem Cybervorfall gekommen ist. Zu den prä-
andere Fall wäre, wenn das Ausgangsniveau der ventiven Maßnahmen können dann zum Beispiel
IT-Sicherheit im Unternehmen sehr niedrig wäre, technische Sicherheitsvorkehrungen oder Schu-
und der Abschluss einer Cyberversicherung nicht lungen von Mitarbeitern gezählt werden. Diese
mit einer Anpassung des Sicherheitsniveaus ver- lassen sich beispielsweise über die Einhaltung
knüpft ist, sich also nur auf den Schutz durch die spezifischer Standards und Zertifizierungen reali-
Cyberversicherung verlassen wird, ohne jedoch sieren und könnten zudem in die Versicherungs-
ein weniger risikoaverses Handeln zu befördern. bedingungen aufgenommen werden. In Abhän-
Da IT-Sicherheit aber keine abgeschlossene Auf- gigkeit des jeweiligen Versicherungskontextes
gabe ist, sondern dynamisch mit dem Wandel der könnte die Cyberversicherung folglich sowohl nur
Technologie wächst, kann ein fehlender Einfluss eine reaktive Funktion als auch eine gleicherma-
daher nicht per se gutgeheißen werden, da dies ßen reaktive wie präventive Funktion im Rahmen
Quelle: 24Novembers/Shutterstock.de
dennoch zu negativen Effekten führen kann. eines unternehmerischen IT-Risikomanagement-
prozesses einnehmen.
Diese drei Interpretationsmöglichkeiten verdeut-
lichen die zwei verschiedenen Funktionen, die
III DER CYBERVERSICHERUNGSMARKT
IN DEUTSCHLAND
1. Marktbeschreibung
In diesem Abschnitt wird ein Überblick über den kömmlichen Versicherungsmarktes identifiziert.
deutschen Cyberversicherungsmarkt gegeben. Die Einordnung des Cyberrisikos in den Versiche-
Dafür ist es notwendig, auch auf den Versiche- rungsmarkt und seine wirtschaftliche Bedeutung
rungsmarkt in Gänze einzugehen, da es einen bilden den einführenden Teil. Die darauf folgende
klar abgrenzbaren Markt für Cyberversiche- Produktsystematik ist länderspezifisch und wird
rungen bislang noch nicht gibt. Stellvertretend lediglich für Deutschland erläutert. Abschließend
für die neben Deutschland betrachteten Länder finden sich die Quantifizierung am Markt reali-
Schweiz, USA und Großbritannien werden die Art sierter eigenständiger Cyberpolicen im deutschen
der Adressierung des Cyberrisikos sowie diesbe- Marktraum sowie Kennzahlen und Prognosewerte
züglich offene Fragen in der Struktur des her- des deutschen Cyberversicherungsmarktes.
Baban, Barker, Gruchmann, Paun, Peters, Stuchtey · Cyberversicherungen als Beitrag zum IT-Risikomanagement 171.1 Verortung des IT-Risikos – und den Schaden des eigentlichen Cyberrisikos
die Kontroverse treffen lassen. Sofern sich im Laufe eines solchen
Prozesses gleichartige IT-Risiken clustern lassen,
Die Umsetzung europäischer Rechtsvorgaben
kann man diese über eine eigene Produktgrup-
führte seit 1994 zu einer weitgehenden Dere-
pe versichern und damit eine eigenständige Pro-
gulierung des Versicherungsmarktes und in der
duktkategorie etablieren.
Folge zu mehr innereuropäischem Wettbewerb
und somit zu einer Unternehmenskonzentrati- Das gewichtigste Argument gegen ein solches
on in diesem Bereich. Zudem sind als Folge von Vorgehen ist in dem hohen Kumulrisiko von IT-Ri-
Banken- und Finanzkrisen die Anforderungen an siken begründet. Das Kumulrisiko besteht darin,
die Höhe des Eigenkapitals und an das Risikoma- dass ein Cyberschaden sich über die zunehmende
nagement bei Finanzdienstleistern gestiegen. IT-Verflechtung der Unternehmen viral verbreitet
und plötzlich zu einer überdurchschnittlich häu-
Der Cyberversicherungsmarkt wird gegenwärtig
figen Inanspruchnahme des Versicherungsschut-
von internationalen Versicherern bestimmt, die
zes innerhalb dieser Risikogemeinschaft führt.
von ihren Erfahrungen, insbesondere in den USA,
Bislang vorhandene und funktionierende Risi-
und ihrer Größe profitieren können. Was eigent-
kopools würden dann funktionsunfähig und sich
lich als Cyberversicherung zu verstehen ist, wird
auflösen, so dass der Versicherungsschutz insge-
in der Branche kontrovers diskutiert. Das Spek-
samt sinken würde.
trum reicht von Cyberpolicen als eigenständiges
Produkt bis hin zur Integration des Cyberrisikos Eigenständige Cyberpolicen existieren seit den
in klassische Unternehmensversicherung bzw. 1990er Jahren und sind in Deutschland seit 2011
zur Abdeckung durch Zusatzmodule in bestehen- auf dem Versicherungsmarkt zu finden. Insbe-
den Policen. sondere seit 2014 tauchen immer häufiger sin-
guläre Cyberpolicen in den Online-Produktinfor-
Der Einführung eigenständiger Cyberpolicen wird
mationen der Versicherer auf. Eine sich stetig in
vielfach mit Skepsis begegnet und stattdessen
der Weiterentwicklung befindende Übersicht zu
für eine Implementierung von Cyber-Add-Ons
den öffentlich zugänglichen Policenangeboten
in herkömmlichen Policen plädiert. Andererseits
findet sich in Kapitel III, Abschnitt 1.3. Im Fol-
spricht sich eine Vielzahl der für diese Studie in-
genden beschränken sich die Betrachtungen auf
terviewten Experten (siehe Kapitel I, Abschnitt 3)
Deutschland, sind allerdings exemplarisch für
für eine Abgrenzung des Cyberrisikos vom Rest
den europäischen Versicherungsmarkt zu sehen
der Unternehmensrisiken in Form einer geson-
sowie auf den Teil der Cyberversicherungen, die
derten Versicherungsproduktsparte aus. Noch ist
als eigenständige Policen am Markt vorzufinden
jedoch völlig unklar, welche der beiden Möglich-
sind.
keiten sich letztlich am Markt durchsetzen wird.17
Wie in Kapitel III, Abschnitt 1.3 gezeigt wird,
besteht selbst innerhalb eigenständiger Cyber-
1.2 Die Einordnung des Cyberrisikos
policen gegenwärtig eine heterogene Vertrags-
in den Versicherungsmarkt
landschaft.
Der gesamte Erstversicherungsmarkt Deutsch-
Die schwierige Kalkulierbarkeit des Cyberrisikos
lands umfasst im Jahr 2016 ein Prämienvolumen
spricht für eine Einflechtung in einen bestehen-
von 194 Mrd. EUR.18 Allerdings stellt sich hier die
den, möglichst großen Risikopool von Altverträ-
Frage, wie hoch davon der Anteil ist, der für Cy-
gen. Innerhalb eines vielfältigen Risikopools lässt
berversicherungen interessant ist und welches
sich eine bessere Streuung des neuen Risikos
Prämienpotential man von einer Cybersparte in
über die Masse erzielen. Zudem laufen beste-
Zukunft erwarten kann. Um dieser Frage nach-
hende Policen über einen längeren Zeitraum und
zugehen, muss man zunächst detailliert auf die
enthalten damit eine zusätzliche Risikostreuung
Produktstruktur der für IT-Sicherheit potentiell
über die Zeit. Das einzelne Risiko sinkt auf diese
relevanten Unternehmensversicherungen19, und
Weise erheblich und die Risikogemeinschaft kann
hier insbesondere auf die Industrieversicherung,
das Risiko so lange im Pool tragen, bis sich besse-
blicken.20
re Aussagen über die Eintrittswahrscheinlichkeit
18 BIGS Standpunkt Nr. 8 / September 2017
Quelle: Alexandra H./pixelio.deSie können auch lesen
