Versicherbarkeit von Cyber-Risiken? - Reader zum Studienprojekt "Versicherbarkeit von Cyber-Risiken" - Universität der ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Versicherbarkeit
von Cyber-Risiken?
Reader zum Studienprojekt
„Versicherbarkeit von Cyber-Risiken“
Prof. Dr. Thomas Hartung
Professur für Versicherungswirtschaft an der
Universität der Bundeswehr München
Winter- und Frühjahrstrimester 2020
1
Inhaltsverzeichnis Vorwort ................................................................................................................................... 3 Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicherbarkeit ............................................................................................................... 5 Laura Brobeil Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Markt- wachstum in Deutschland ..................................................................................................... 14 Marcel Heinrichsmeier Versicherbarkeit von Cyber-Risiken - Herausforderungen und Maßnahmen zur Verbes- serung der Versicherbarkeit.................................................................................................. 23 Nadja Schlett Schadenszenario im Cyber-Angriffsfall auf ein Versicherungsunternehmen ......................... 31 Maximilian Lang Übersicht zu möglichen Kumulrisiken im Bereich der Cyber-Versicherungen ....................... 38 Antong He Silent-Cyber – Risiken und Chancen für Versicherungsunternehmen ................................... 44 Paul Büchting 2
Vorwort
Vorwort auftraten, agieren inzwischen deutlich zu-
rückhaltender und verstärkt wird Versiche-
rung als Bestandteil eines ganzen Bündels
Cyber-Risiken gehören zu den sich am
von Maßnahmen akzeptiert, das eine Erhö-
schnellsten entwickelnden Risikoarten. Pri-
hung der Cyber-Sicherheit bewirken soll.
vatpersonen, Gewerbetreibende und In-
Anlass hierfür waren einige Großschäden,
dustrieunternehmen stehen gleichermaßen
wie beispielsweise die Ransomware „Wan-
im Fokus vorsätzlich handelnder Kriminel-
naCry“ und „NotPetya“, die beide 2017 zu
ler. Phänomene wie Pishing, Ransomware,
weltweiten Schäden jenseits der 10 Mrd.
Denial of Service-Attacken oder Identitäts-
USD führten und damit das Kumulpotential
diebstahl finden zunehmend mehr Opfer.
von Cyber-Ereignissen vor Augen führten.
Hinzu kommen Täuschungsmanöver wie
„Fake President“- oder CEO-Fraud, die im- Nichtsdestotrotz bietet die zunehmende Di-
mer wieder prominente Fälle hervorrufen. gitalisierung eine Vielzahl neuer Geschäfts-
Aber auch zufällige Cyber-Ereignisse, wie modelle für Versicherungsunternehmen,
der Ausfall von Hardware und damit ver- sorgt aber auch für eine verstärkte Anfällig-
bundener Datenverlust oder Zerstörung keit der daran beteiligten Akteure im Hin-
von IT-Infrastruktur können zu erheblichen blick auf Cyber-Risiken. Ziel im Studienpro-
wirtschaftlichen Schäden führen. Letztlich jekt „Cyber-Risiken“ der Professur für Ver-
lässt die zunehmende elektronische Ver- sicherungswirtschaft an der Universität der
netzung der Gesellschaft sowie die rapide Bundeswehr München war es deshalb, Cy-
fortschreitende Digitalisierung die gleich- ber-Risiken zu systematisieren, deren
zeitig anwachsende Verwundbarkeit der grundsätzliche risikopolitische Behandlung
damit verbundenen Infrastruktur unver- tiefgehender zu betrachten und den aktuel-
meidbar erscheinen. len Markt für Cyber-Versicherung zu analy-
sieren. Dabei waren u. a. folgende Fragen
Aus Sicht der Versicherungswirtschaft ge-
von Relevanz:
nerierte der kontinuierlich anwachsende
Absicherungsbedarf zunächst eine Art ▪ Welche konkreten Risiken fallen in die
Goldgräberstimmung. Vergleiche mit der Kategorie Cyber-Risiken? Wie lassen
bisher bedeutendsten Sachversicherung, sich Cyber-Risiken kategorisieren?
der Kfz-Versicherung, wurden angestellt, ▪ Welche Absicherungsmaßnahmen ge-
und Prognosen, wann deren Beitragsauf- gen Cyber-Risiken gibt es? Welche
kommen im Cyber-Bereich erreicht würde, Strategien für Cyber-Sicherheit werden
wurden mit immer kürzeren Zeiträumen un- vorgeschlagen / umgesetzt?
terlegt. Zwischenzeitlich hat Ernüchterung ▪ Welche Formen der Versicherung von
Einzug gehalten. Etliche Versicherer, die Cyber-Risiken sind per dato
anfangs großzügig im Zeichnungsgebaren
3Vorwort
vorzufinden? Welche Herausforderun-
gen bezüglich der Versicherbarkeit
existieren?
Die folgenden Beiträge von Studierenden,
die einen Teil der Ergebnisse des Studien-
projektes darstellen, beschäftigen sich mit
verschiedenen Aspekten von Cyber-Risi-
ken. Wir hoffen, mit der Zusammenstellung
der Beiträge als Reader einen umfassen-
den Einblick in die Thematik „Cyber-Risiken
und Versicherung“ zu liefern und wünschen
viel Vergnügen sowie Erkenntnisse beim
Lesen der Beiträge!
Neubiberg, im Dezember 2020
Prof. Dr. Thomas Hartung
4Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher-
barkeit
Versicherbarkeit von Cy- Versicherungswirtschaft könnten sich
durch die Versicherung der neuartigen Cy-
ber-Risiken – Cyber-Risi- ber-Risiken neue Marktchancen bieten. Al-
ken vor dem Hintergrund lerdings sind einige Branchenvertreter der
Meinung, Cyber-Risiken seien nicht versi-
der Kriterien der Versicher- cherbar.3 In dieser Arbeit wird deshalb un-
barkeit tersucht, ob Cyber-Risiken die sog. Krite-
rien der Versicherbarkeit erfüllen. Um eine
Von Laura Brobeil
Ausgangsbasis zu schaffen, sollen Cyber-
Risiken zuerst definiert und in ihren Ursa-
Einleitung chen abgegrenzt werden. Anschließend
wird kurz darauf eingegangen, von welchen
Die fortschreitende Digitalisierung verän- Faktoren die Versicherbarkeit eines Risikos
dert Wirtschaft und Gesellschaft. Men- abhängt. Danach werden die Kriterien der
schen werden vernetzter, Geräte smarter. Versicherbarkeit zunächst erläutert, um da-
In zehn Jahren werden voraussichtlich 125 raufhin mögliche Probleme hinsichtlich Cy-
Milliarden Geräte online sein – das wären ber-Risiken erörtern zu können. Zuletzt
fünfmal so viele wie noch im Jahr 2017. werden die Ergebnisse zusammengefasst
Durch intelligente Maschinen und automa- und eine Einschätzung zur Versicherbar-
tisierte Prozesse profitieren Unternehmen keit von Cyber-Risiken gegeben.
in nahezu allen Branchen von Effizienz-
und Produktivitätssteigerungen.1 Offenbar
Theoretische Grundlagen: Cy-
wächst in der Wirtschaft aber auch das Be-
ber-Risiken und Versicherbar-
wusstsein für mögliche Risiken, die die Di-
gitalisierung mit sich bringt. Laut dem aktu- keit
ellen Allianz Risk Barometer werden Cyber-
Begriffsbestimmung und Ursachen
Vorfälle weltweit erstmals als wichtigstes
des Cyber-Risikos
Unternehmensrisiko eingeschätzt. Organi-
sationen sehen sich zunehmend mit Daten- In der Literatur existiert bereits eine Viel-
diebstählen, Cyber-Angriffen und -Erpres- zahl an Definitionen, die den Charakter des
2
sungen konfrontiert. Laut Expertenschät- Cyber-Risikos aus unterschiedlichen Per-
zungen werden Unternehmen weltweit spektiven zu beschreiben versuchen.4 Häu-
durchschnittlich alle 14 Sekunden Opfer fig werden Cyber-Risiken in Anlehnung an
von Cyber-Angriffen. Der gesamtwirtschaft- operationelle Risiken beschrieben. Cyber-
liche Schaden, der im Jahr 2018 durch Cy- Risiken gelten demnach als „operational
ber-Angriffe entstanden ist, wird auf circa risks to information and technology assets
600 Milliarden US-Dollar geschätzt. Für die that have consequences affecting the
5Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher-
barkeit
confidentiality, availability, or integrity of in- 2. Der individuellen Struktur seines Risi-
formation or information systems.“5 kogeschäfts. Diese umfasst die vorhan-
denen Sicherheitsmittel, die Struktur
Gemäß den Rahmenbedingungen von Ba-
des bisher versicherten Kollektivs und
sel II6 und Solvency II7 werden operatio-
die Risikopolitik des Versicherers.
nelle Risiken in die vier Kategorien (1)
menschliches Verhalten, (2) Systemfehler, 3. Die Eigenschaften der zu versichern-
(3) fehlerhafte interne Abläufe und (4) ex- den Zufallsvariablen.10
terne Ereignisse unterteilt. Menschliches
Das Risikoverhalten und die Gesamtstruk-
Fehlverhalten kann aus willentlichen, unwil-
tur sind für jeden Versicherer individuell
lentlichen oder unterlassenen Handlungen
und erlauben deshalb keine allgemeine
resultieren, während die Ursache für Sys-
Diskussion über die Versicherbarkeit von
temfehler in der Hardware, Software oder
Cyber-Risiken.11 Vielmehr interessieren die
den Systemen selbst liegen kann. Für feh-
Eigenschaften eines Risikos, die sich er-
lerhafte interne Abläufe können das Design
schwerend auf dessen Deckung auswirken
und die Kontrolle von Prozessen sowie
können.12 Anhand dieser sog. Kriterien der
sämtliche Unterstützungsprozesse sorgen.
Versicherbarkeit soll die Versicherbarkeit
Als externe Ereignisse gelten schließlich
von Cyber-Risiken im Folgenden näher be-
Katastrophen, rechtliche Änderungen, ge-
trachtet werden.
schäftsbezogene Probleme und Abhängig-
keiten von Dritten.8
Abgleich von Cyber-Risiken mit
Das Cyber-Risiko lässt sich auf kriminelle
den Kriterien der Versicherbar-
und nicht kriminelle Ursachen zurückfüh-
ren. Bei kriminellen Ursachen wird in physi-
keit
sche Angriffe, Hackerangriffe und Erpres- Zufälligkeit des Schadenereignisses
sung differenziert, während nicht kriminelle
Das Kriterium der Zufälligkeit fordert, dass
Ursachen höhere Gewalt sowie techni-
das den Versicherungsfall auslösende Er-
sches und menschliches Versagen umfas-
eignis zufällig eintritt. Das Eintreten dieses
sen.9
Ereignisses muss also für alle Vertragspar-
Versicherbarkeit von Risiken teien unvorhersehbar und unbeeinflussbar
sein.13 Der Fall der vollständigen Unbeein-
Neben der erzielbaren Prämie hängt die
flussbarkeit ist jedoch in der Realität nicht
Entscheidung über die Deckung eines Risi-
gegeben. Der Versicherungsnehmer kann
kos noch von weiteren Faktoren ab:
Einfluss auf das Eintreten eines Versiche-
1. Dem subjektiven Risikoverhalten des rungsfalls sowie auf dessen Schadenhöhe
Versicherers. ausüben. Hierbei wird vom sog.
6Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher-
barkeit
moralischen Risiko gesprochen.14 „Das mo- Eindeutigkeit des Versicherungsfalls
ralische Risiko [bezieht sich] auf die Ände-
rungen des Risikoverhaltens der Versiche- Das Kriterium der Eindeutigkeit verlangt
rungstechnischen Einheiten nach Versi- nach einer eindeutigen Definition der versi-
cherungsvertragsabschluß.“15 Diese Ver- cherten Risiken und der im Schadenfall zu
haltensänderung kann sich z. B. im Grad entrichtenden Leistungen. Im Versiche-
der Leichtfertigkeit äußern oder eine gerin- rungsvertrag muss also objektiv überprüf-
gere Bereitschaft zur Schadenverhütung bar festgelegt werden, welche Versiche-
zur Folge haben.16 rungsleistung bzw. Schadenzahlung bei
welchem Ereignis fällig wird. Als Vorausset-
Im Bereich der Cyber-Risiken können ein- zung für das Zustandekommen eines Ver-
fache Maßnahmen zu einer massiven Er- sicherungsvertrages stellt die Erfüllung des
höhung der Cybersicherheit führen. Diese Kriteriums der Eindeutigkeit eine notwen-
umfassen bspw. das regelmäßige Durch- dige Bedingung für die Versicherbarkeit
führen von Sicherheitsupdates, die Nut- von Risiken dar. Eindeutigkeit ist prinzipiell
zung eines Virenschutzprogramms, das so gestaltbar, dass sich keine Probleme
Einrichten passwortgeschützter Benutzer- hinsichtlich der Erfüllung des Kriteriums er-
konten oder ein vertrauensvoller Umgang geben. So werden bspw. auch Risiken, de-
mit persönlichen Daten.17 Führt der Ab- ren Schadenhöhe nicht intersubjektiv über-
schluss einer Cyber-Versicherung dazu, prüfbar ist, mithilfe einer begrenzten Versi-
dass solche präventiven Maßnahmen redu- cherungssumme versichert.20 Trotzdem
ziert oder unterlassen werden, kann sich existieren für Cyber-Risiken in Bezug auf
das folglich auf die Eintrittswahrscheinlich- die Ursachen eines Schadens sowie des-
18
keit und Schadenhöhe auswirken. Außer- sen indirekte Folgen Herausforderungen,
dem stellen die zunehmend zusammen- die möglicherweise zu einer mangelnden
hängenden IT-Systeme und die damit ver- Eindeutigkeit führen können.
bundene Abhängigkeit von Dritten ein sig-
nifikantes Problem hinsichtlich des morali- In Abschnitt 2.1 wurden die kriminellen und
schen Risikos dar: So mindern Unterneh- nicht kriminellen Ursachen des Cyber-Risi-
men, die wenige Cyberschutzmaßnahmen kos mit ihren Ausprägungen aufgezeigt und
ergreifen den Cybersicherheitsschutz de- damit die Vielfältigkeit in den Schadenursa-
rer, die von ihnen abhängig sind. Dies chen dargestellt. Diese Vielfältigkeit führt
könnte den Anreiz für Investitionen in die ei- dazu, dass es zu Spezifikationslücken in
gene Cyber-Sicherheit zusätzlich verrin- den Versicherungsverträgen kommen
21
gern und damit das Problem des morali- kann, welche gleichzeitig Raum für juristi-
schen Risikos weiter verstärken.19 sche Interpretationen lassen.22 Verdeutlicht
werden kann das an einem aktuellen
7Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher-
barkeit
Rechtsstreit zwischen dem US-Lebensmit- eine begrenzte Versicherungssumme kann
telkonzern Mondelez und der US-Tochter in diesem Fall zur Gewährleistung der Ein-
der Schweizer Zürich-Versicherungs- deutigkeit beitragen.
gruppe. Die zwischen den beiden Parteien
Schätzbarkeit der Eintrittswahr-
bestehende Cyberpolice schließt Schäden
aus IT-Ausfällen durch Schadsoftware bis scheinlichkeit
100 Millionen US-Dollar ein. Die Malware Das Kriterium der Schätzbarkeit bezieht
„NotPetya“, die 2017 bei Mondelez einen sich auf die Eintrittswahrscheinlichkeit der
Schaden in Höhe von 180 Millionen US- Versicherungsfälle. Die Schätzbarkeit bzw.
Dollar verursachte, ließ sich ursächlich ei- Kenntnis der Wahrscheinlichkeitsverteilung
nem kriminellen Hackerangriff zuordnen. der Zufallsvariablen werden häufig als Vo-
Zunächst schien der durch Schadsoftware raussetzung für das Zustandekommen ei-
entstandene Schaden eindeutig versichert ner Versicherung genannt. Je nach Auffas-
zu sein, sodass erste Schadenzahlungen sung ist es jedoch möglich, entweder jedes
geleistet wurden. Da später Hinweise da- oder gar kein Risiko als schätzbar einzustu-
rauf deuteten, „NotPetya“ könnte ein staat- fen.25 Einerseits werden rationale Entschei-
licher Hackerangriff gewesen sein, bewer- dungen unter Risiko ausschließlich auf-
tet die US-Tochter der Zürich-Versiche- grund subjektiver Wahrscheinlichkeiten ge-
rungsgruppe den Schaden als Folge eines troffen und können auch bei völligem Infor-
Angriffs mit einer Kriegswaffe, welcher als mationsmangel sinnvoll zugeordnet wer-
23
Ausschluss gilt. Die vermeintlich eindeu- den. Daraus folgt, dass das Zustandekom-
tig versicherte Schadenursache führt je men einer Versicherung auf Basis subjekti-
nach Auslegung zu unterschiedlichen Be- ver Wahrscheinlichkeiten immer möglich ist
wertungen. - auch wenn keinerlei statistische Informa-
tionen über die Schadenwahrscheinlichkei-
Auch die indirekten Auswirkungen eines
ten vorliegen. Andererseits ist es nahezu
Schadens bzw. genauer genommen ihre
unmöglich, Wahrscheinlichkeiten exakt zu
fehlende Messbarkeit können problema-
bestimmen, da auch die aus objektiv nach-
tisch hinsichtlich der Eindeutigkeit des Cy-
prüfbarer Weise gewonnenen Wahrschein-
ber-Risikos sein. Vor allem Datenschutz-
lichkeiten mit Schätzfehlern behaftet sein
verletzungen führen oft zu Reputations-
können. Das bedeutet, dass das Schätz-
schäden, deren Höhe nicht exakt bestimmt
barkeitsproblem selbst bei Risiken, die aus-
werden kann. Gleichzeitig kann sich dieser
reichend mit Daten hinterlegt und deshalb
negativ auf den Aktienwert der betroffenen
verlässlich modelliert sind, nicht vollständig
Unternehmen auswirken.24 Die Höhe des
verschwindet. Die zuvor genannte These,
insgesamt entstanden Schadens scheint
die Kenntnis über die Schadenverteilung
nur schwer ermittelbar zu sein. Lediglich
8Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher-
barkeit
des zu versichernden Risikos sei Voraus- Aussagekraft in Bezug auf Risiken, die aus
setzung für die Versicherbarkeit wird somit neuartigen Technologien resultieren besit-
nicht vertreten. Die Praxis zeigt, dass selbst zen und zur Einschätzung künftiger Ereig-
Risiken, für die keine statistischen Scha- nisse nicht geeignet sind.31 Die Einschät-
denerfahrungen vorliegen, versichert wer- zung ganzer Kollektive kann daher insge-
den. Bei asymmetrischer Informationsver- samt sehr unsicher sein und sollte laufend
teilung zwischen den Vertragspartnern überprüft und an technologische Neuerun-
kann die fehlende Kenntnis über die Scha- gen angepasst werden.32
denverteilung allerdings zu Problemen bei
Unabhängigkeit der Risiken
der Versicherbarkeit führen.26
In Bezug auf die Versicherbarkeit von Cy- Für den Risikoausgleich im Kollektiv ist vor
ber-Risiken zeigt sich, dass Unternehmen, allem die Unabhängigkeit der Risiken von-
die Bereits Opfer eines Cyber-Angriffs ge- einander von großer Bedeutung. Damit der
worden sind, potenziell eher dazu neigen, Effekt des Ausgleichs im Kollektiv über-
eine Cyber-Versicherung abzuschließen.27 haupt zustande kommen kann, müssen die
Gleichzeitig sind Unternehmen, die bislang Zufallsvariablen des versicherten Bestan-
unzureichende Cybersicherheitsmaßnah- des stochastisch unabhängig sein. Bei
men ergriffen haben, einer erhöhten Gefahr nicht unabhängigen bzw. korrelierenden
ausgesetzt, ebenfalls von Cyber-Angriffen Einzelrisiken wird dieser Ausgleichseffekt
betroffen zu sein. Wenn auch diese Unter- erheblich beeinträchtigt, wie es bspw. bei
nehmen vermehrt Cyber-Versicherungen einem Kumulrisiko der Fall sein kann.33
nachfragen, setzt der Prozess der Negativ-
Dass Cyber-Risiken ein erhebliches und
auslese bzw. adversen Selektion ein.28 Die
weltweites Kumulpotenzial aufweisen, ver-
sich in demselben Versicherungskollektiv
deutlichen Szenarien wie Störungen und
befindlichen Risiken unterscheiden sich in
Ausfälle zentraler IT-Dienste oder kritischer
ihrer Schadenwahrscheinlichkeit. Aufgrund
Infrastruktur. Auch Cyber-Angriffe durch
der asymmetrischen Informationsverteilung
Schadsoftware können weltweit volkswirt-
ist es dem Versicherer allerdings nicht
schaftliche Schäden in Milliardenhöhe ver-
möglich, die beiden Risikotypen zu unter-
ursachen. Der Großteil dieser Kumulszena-
scheiden.29
rien ist auf menschliches Handeln zurück-
Insgesamt müssen Cyber-Risiken als sehr
zuführen. Dabei ist belanglos, ob die Ursa-
dynamisch betrachtet werden, da sie sich
che krimineller Natur wie bspw. Hackeran-
aufgrund des technologischen Fortschritts
griffe oder nicht krimineller Natur wie
oder des Einsatzes neuartiger Systeme
menschliches Versagen ist. Durch die fort-
permanent verändern.30 Das führt dazu,
schreitende Digitalisierung wird das
dass historische Daten nur eine geringe
9Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher-
barkeit
Schadenpotenzial stetig erhöht. Die zuneh- zumindest eine teilweise Deckung des Risi-
mende Vernetzung innerhalb der Wert- kos möglich.38
schöpfungskette und die Nutzung gemein-
samer Hardware- und Softwarekomponen- Fazit
ten führen zu einer Vergrößerung der An-
Durch die Existenz des moralischen Risi-
fälligkeit für Cybervorfälle jeglicher Art,
kos auf dem Cyber-Versicherungsmarkt
wodurch sich das Kumulpotenzial weiter er-
kann die Forderung nach der Unbeeinfluss-
höht.34
barkeit nicht erfüllt werden, weshalb das
Größe des Schadens Kriterium der Zufälligkeit nicht vollständig
erfüllt wird. Auch die Eindeutigkeit ist nicht
Das Kriterium der Größe bezieht sich auf immer gegeben, da vielfältige Schadenur-
den maximal möglichen Schaden eines sachen einen vertraglichen Interpretations-
35
Einzelrisikos. Ist dieser nicht ermittelbar, spielraum lassen und die indirekten Auswir-
so ist es trotzdem nicht unmöglich, das Ri- kungen der Cyber-Risiken kaum messbar
siko zu versichern, da sich die im Schaden- sind. Der technologische Fortschritt und die
fall für den Versicherer zu leistende Zah- damit zunehmende Vernetzung vorher un-
lung durch eine Versicherungssumme be- abhängiger Systeme wirken sich erschwe-
36
grenzen lässt. rend auf die Schätzbarkeit und Unabhän-
gigkeit der Cyber-Risiken aus. Die daraus
Dass die Größe des Cyber-Risikos schwer
resultierende Dynamik des Cyber-Risikos
zu ermitteln ist, lässt sich leicht an einem
verhindert den Rückgriff auf historische Da-
Beispiel verdeutlichen: Im Falle eines Da-
ten zur verlässlichen Modellierung. Gleich-
tenverlusts ist das Risiko nicht nur auf die
zeitig erhöht sich das Schaden- und Kumul-
fehlende temporäre Verfügbarkeit der Da-
potenzial mit fortlaufender Digitalisierung
ten beschränkt, sondern beinhaltet auch
stetig. Auch der maximal mögliche Scha-
Folgeschäden wie bspw. den Reputations-
den durch Cyber-Risiken ist dadurch nur
schaden. Dieser kann je nach Sensibilität
schwer ermittelbar.
der Daten unterschiedlich hoch ausfallen.
Abschließend kann festgehalten werden,
Auch in Cyber-Versicherungspolicen wer-
dass das Cyber-Risiko keines der fünf Kri-
den diese Probleme mit entsprechenden
terien der Versicherbarkeit vollständig er-
Haftungsbegrenzungen gelöst.37 Insge-
füllt. Allerdings kann den zuvor erörterten
samt kann sich also aus dem Kriterium der
Problemen durch den Einsatz verschiede-
Größe kein prinzipielles Problem der Versi-
ner Instrumente der Vertragsgestaltung wie
cherbarkeit von Cyber-Risiken ergeben.
Selbstbeteiligungen und begrenzten Versi-
Durch die Schadensummenbegrenzung ist
cherungssummen entgegengewirkt wer-
den.39 Die Entscheidung über die Deckung
10Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher-
barkeit
von Cyber-Risiken liegt letztlich bei dem die die Versicherungswirtschaft alleine
Versicherer selbst und hängt von seiner ge- nicht tragen kann. Um auch diese Risiken
samten Risikosituation sowie seinem sub- beherrschbar zu machen bedarf es womög-
jektiven Risikoverhalten ab. Trotzdem gibt lich der Zusammenarbeit mit Regierungen,
es eine Reihe von extremen Cyber-Risiken, bspw. in Form von Pool-Lösungen.40
1 19
Vgl. Munich Re, o. J. Vgl. Eling / Wirfs, 2016, S. 25.
2 20
Vgl. Allianz Global Corporate & Specialty SE, Vgl. Karten et al., 2018, S. 117.
21
2020. Vgl. Haas, 2016, S. 109.
3 22
Vgl. Munich Re, o. J. Vgl. Karten et al., 2018, S. 117-118.
4 23
Vgl. Biener et al., 2015a, S. 4. Vgl. Fuerst, 2018.
5 24
Cebula / Young, 2010, S. 1. Vgl. Eling / Wirfs, 2016, S. 26.
6 25
Vgl. Bank for International Settlements, 2006, Vgl. Karten, 1972, S. 290.
26
S. 144-156. Vgl. Karten et al., 2018, S. 120.
7 27
Vgl. Committee of European Insurance and Occu- Vgl. Eling / Wirfs, 2016, S. 25.
28
pational Pensions Supervisors, 2009, S. 3-18. Vgl. Lesch / Richter, 2000, S. 628.
8 29
Vgl. Cebula / Young, 2010, S. 3. Vgl. Karten et al., 2018, S. 121-122.
9 30
Vgl. Biener et al., 2015a, S. 9. Vgl. Biener et al., 2015b, S. 142.
10 31
Vgl. Karten, 1972, S. 285. Vgl. Jeworrek, 2018.
11 32
Vgl. Karten et al., 2018, S. 106. Vgl. Lesch / Richter, 2000, S. 627.
12 33
Vgl. Karten, 1972, S. 286-293. Vgl. Karten et al., 2018, S. 123-124.
13 34
Vgl. Karten, 1972, S. 287. Vgl. Glaab, 2018.
14 35
Vgl. Karten et al., 2018, S. 107-108. Vgl. Karten, 1972, S. 292.
15 36
Helten / Karten, 1991, S. 134. Vgl. Karten et al., 2018, S. 126.
16 37
Vgl. Helten / Karten, 1991, S. 134. Vgl. Haas, 2016, S. 113-114.
17 38
Vgl. Bundesamt für Sicherheit in der Informations- Vgl. Karten et al., 2018, S. 126.
39
technik, o. J. Vgl. Karten et al., 2018, S. 126.
18 40
Vgl. Karten et al., 2018, S. 110. Vgl. Munich Re, o. J.
11Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher-
barkeit
Committee of European Insurance and Occupa-
Literaturverzeichnis
tional Pensions Supervisors (2009): CEIOPS’
Allianz Global Corporate & Specialty SE (2020): Advice for Level 2 Implementing Measures on
Allianz Risk Barometer 2020: Cyber steigt zum Solvency II: SCR Standard Formula - Article
weltweiten Top-Risiko für Unternehmen auf, 111 (f): Operational Risk, CEIOPS-DOC-45/09.
https://www.agcs.allianz.com/news-and-in-
Eling, Martin / Wirfs, Jan Hendrik (2016): Cyber
sights/news/allianz-risk-barometer-2020-
Risk: Too Big to Insure?: Risk Transfer Options
de.html, Stand 27.03.2020.
for a Mercurial Risk Class, in: I. VW-HSG
Bank for International Settlements (2006): Inter- Schriftenreihe des Instituts für Versicher-
national Convergence of Capital Measurement ungswirtschaft Universität St. Gallen, Vol. 59,
and Capital Standards: A Revised Framework St. Gallen 2016.
Comprehensive Version,
Fuerst, Benedikt (2018): Dieser Fall entschei-
https://www.bis.org/publ/bcbs128.pdf, Stand
det, ob Hacken eine Kriegswaffe ist,
27.03.2020.
https://www.welt.de/wirtschaft/ar-
Biener, Christian / Eling, Martin / Matt, Andreas ticle185510234/Notpetya-Dieser-Fall-entschei-
/ Wirfs, Jan Hendrik (2015a): Cyber Risk: Risi- det-ob-Hacken-eine-Kriegswaffe-ist.html,
komanagement und Versicherbarkeit, in: I. VW- Stand 27.03.2020.
HSG Schriftenreihe des Instituts für Versiche-
Glaab, Holger (2018): Cyber-Kumulrisiken,
rungswirtschaft Universität St. Gallen, Vol. 54,
https://www.munichre.com/topics-online/de/di-
St. Gallen 2015.
gitalisation/cyber/dealing-with-cyber-accumula-
Biener, Christian / Eling, Martin / Wirfs, Jan tion-risk.html, Stand 27.03.2020.
Hendrik (2015b): Insurability of Cyber Risk: An
Haas, Andreas (2016): Management von Cy-
Empirical Analysis, in: The Geneva Papers on
ber-Risiken und Möglichkeit des Risikotransfers
Risk and Insurance - Issues and Practice, Vol.
- eine ökonomische und versicherungstechni-
40, S. 131 –158.
sche Analyse, Diss., Universität Hohenheim,
Bundesamt für Sicherheit in der Informations- Hohenheim 2016.
technik (o. J.): Zehn Maßnahmen zur Absiche-
Helten, Elmar / Karten, Walter (1991): Das Ri-
rung gegen Angriffe aus dem Internet,
siko und seine Kalkulation (Teil I), in: Grosse,
https://www.bsi-fuer-buer-
Walter (Hrsg.): Versicherungsenzyklopädie,
ger.de/BSIFB/DE/Service/Checklisten/Mass-
Band 2: Versicherungsbetriebslehre, Wiesba-
nahmen_gegen_Internetangriffe.html, Stand
den 1991, S. 125-276.
27.03.2020.
Jeworrek, Torsten (2018): Cyberpolicen: Mehr
Cebula, James J. / Young, Lisa R. (2010): A
als Risikotransfer, https://www.mu-
Taxonomy of Operational Cyber Security Risks,
nichre.com/topics-online/de/digitalisation/cy-
in: CMU/SEI-2010-TN-028, Carnegie Mellon
ber/cyber-policies.html, Stand 27.03.2020.
University.
12Versicherbarkeit von Cyber-Risiken – Cyber-Risiken vor dem Hintergrund der Kriterien der Versicher- barkeit Karten, Walter (1972): Zum Problem der Versi- cherbarkeit und zur Risikopolitik des Versiche- rungsunternehmens – betriebswirtschaftliche Aspekte, in: Zeitschrift für die gesamte Versi- cherungswissenschaft, 61. Bd., S. 279-299. Karten, Walter / Nell, Martin / Richter, Andreas / Schiller, Jörg (2018): Risiko und Versiche- rungstechnik: Eine ökonomische Einführung, Wiesbaden 2018. Lesch, Torsten / Richter, Andreas (2000): Risi- ken aus kommerzieller Nutzung des Internet - Möglichkeiten der Schadenverhütung und Ver- sicherung, in: Zeitschrift für die gesamte Versi- cherungswissenschaft, 89. Bd., S. 605-633. Munich Re (o. J.): Cyber-Risiken: Cyber-Bedro- hungen zählen zu den größten Risiken des 21. Jahrhunderts, https://www.munichre.com/de/ri- siken/cyber-risiken.html, Stand 27.03.2020. 13
Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in
Deutschland
Charakteristika des Cyber- Deutschland eine Verzehnfachung der Cy-
ber-Versicherungs-Prämie innerhalb von
Versicherungsmarktes - fünf Jahren von 30 Millionen Euro 2016 auf
Gründe für das verhaltene bis zu 300 Millionen Euro im Jahr 2021 für
möglich.6 Ende 2018 betrug das Prämien-
Marktwachstum in volumen in Deutschland jedoch nur 50 Mil-
Deutschland lionen Euro.7 Das entspricht einem Anteil
von 1%8 am weltweiten Cyber-Versiche-
Von Marcel Heinrichsmeier
rungsmarkt. Der nachfolgende Beitrag un-
tersucht die Charakteristika des Cyber-Ver-
Einleitung sicherungsmarktes, um die Gründe für das
verhaltene Marktwachstum der Cyber-Ver-
9 von 10 Unternehmen in Deutschland se-
sicherung in Deutschland zu erörtern.
hen die Digitalisierung als Chance und
nicht als Risiko.1 Dennoch haben Entwick- Zuerst wird der zentrale Begriff Cyber-Risi-
lungen wie das Internet of Things oder ken definiert. Im Anschluss findet eine ge-
Cloud Computing nicht nur positive Auswir- naue Analyse der Friktionen für Versicherer
kungen auf Gesellschaft und Wirtschaft. sowie Kunden in diesem Markt statt. Im
Cyber-Vorfälle stellen im Jahr 2020 erst- Schlussteil wird ein Fazit gezogen und ein
mals weltweit die größte Gefahr für Unter- Ausblick zur künftigen Marktentwicklung
2
nehmen dar. Nach einer Studie von Bitkom der Cyber-Versicherung in Deutschland ge-
wurden in den Jahren 2018 und 2019 75% geben.
der befragten Unternehmen in Deutschland
Opfer von Datendiebstahl, Industriespio- Begriffsdefinition Cyber-Risi-
nage oder Sabotage.3 Die daraus entstan-
ken
denen finanziellen Schäden betrugen circa
100 Milliarden Euro jährlich.4 Um dieser
In dieser Arbeit liegt der Fokus auf Cyber-
Entwicklung entgegenzusteuern, bedarf es
Risiken, die im Kontext einer Cyber-Versi-
Investitionen in unternehmensinterne IT-Si-
cherung eine Gefahr für Unternehmen dar-
cherheit. Ausgaben im Bereich IT-Sicher-
stellen. Nach den vom Gesamtverband der
heit deutscher Unternehmen werden 2020
deutschen Versicherungswirtschaft (GDV)
voraussichtlich auf ein Rekordhoch von 4,9
veröffentlichten Musterbedingungen der
Milliarden Euro wachsen.5 Parallel zu IT-Si-
Cyber-Versicherung tritt der Versiche-
cherheitsmaßnahmen stellt der versiche-
rungsfall ein, wenn aus einer Informations-
rungsbasierte Risikotransfer eine Ergän-
sicherheitsverletzung ein Vermögensscha-
zung bei der Abwehr von Cyber-Risiken
den resultiert.9 Eine Informationensicher-
dar. Allianz und AXA halten für
heitsverletzung wird als „Beeinträchtigung
14Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in
Deutschland
der Verfügbarkeit, Integrität und Vertrau- somit zu hohen Prämien. Der technologi-
lichkeit von elektronischen Daten“10 be- sche Fortschritt als zweite Komponente
zeichnet. Diese Definition weist Ähnlichkeit verändert fortlaufend die Charakteristik des
mit der Definition von Cyber-Risiken als Cyber-Risikos und kann vorhandene histo-
„operative Risiken für Informations- und rische Daten unbrauchbar machen.15 Durch
Technologieressourcen, welche Auswir- dieses Änderungsrisiko können sich Ein-
kungen auf die Vertraulichkeit, Verfügbar- trittswahrscheinlichkeit sowie Ausmaß des
keit oder die Integrität von Informationen o- Schadens signifikant verändern.16 Durch
der Informationssystemen haben“11 nach steigende Interkonnektivität bieten sich
CEBULA/YOUNG auf, die in diesem Beitrag größere Angriffsflächen für Cyber-Atta-
aufgrund des Versicherungsbezugs An- cken. Aus diesem Änderungsrisiko können
wendung findet. Deckungslücken entstehen, was den versi-
cherungsbasierten Risikotransfer unattrak-
Friktionen auf der Ange- tiver macht und ein Grund für das verhal-
tene Marktwachstum darstellen kann.17 Die
botsseite des deutschen Cyber-
Interkonnektivität wird durch vermehrtes
Versicherungsmarktes Cloud Computing verstärkt. Die interdepen-
Quantifizierung von Cyber-Risiken dente Netzwerkstruktur führt dazu, dass
Einzelrisiken nicht mehr unabhängig sind
Anbietende Versicherungsunternehmen
und somit können Kumulrisiken als weitere
sehen sich mit dem Problem der Quantifi-
Herausforderung auftreten.18 Ein einzelner
zierung von Cyber-Risiken konfrontiert.
Cyber-Angriff besitzt das Potenzial viele
Diese Herausforderung lässt sich in drei
Versicherte zur selben Zeit zu treffen, was
Komponenten unterteilen: (i) Geringe Ver-
im Worst Case zur Zahlungsunfähigkeit ei-
fügbarkeit historischer Daten; (ii) dynami-
nes Versicherers führen kann.19 Die Kumul-
scher Wandel der Natur der Cyber-Risiken;
problematik kann entweder zu niedrigen
(iii) Kumulrisiken.12 Die mangelnde Daten-
Deckungssummen20 und höheren Prä-
verfügbarkeit ist einerseits durch die Neu-
mien21 führen oder sogar zu einer Ein-
artigkeit des Cyber-Risikos und anderseits
schränkung des Angebots an Versiche-
durch die intransparente Berichterstattung
rungsschutz22.
von Cyber-Vorfällen durch Unternehmen
aufgrund der Angst vor Reputationsschä- Informationsasymmetrien – Adverse
den13 zu erklären. Die unklare Datenlage Selektion und Moral Hazard
zur Häufigkeit und Ausmaß von Cyber-
Schäden erschwert die Kalkulation von In der Literatur werden Adverse Selektion
Versicherungsprämien. Dies macht hohe und Moral Hazard als Formen asymmetri-
14 scher Informationsverteilung als
Risikozuschläge notwendig und führt
15Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in
Deutschland
Hemmnisse für die Cyber-Versicherung ge- Unternehmen als Einfallstore nutzen. 30
sehen. Als Adverse Selektion wird die Ge- Dies reduziert den Nutzen von IT-Sicher-
fahr bezeichnet, dass sich nur schlechte Ri- heitsmaßnahmen und verstärkt das Moral
siken versichern wollen, da für gute Risiken Hazard Problem. Informationsasymmetrien
der Abschluss einer Versicherung irrele- stellen weiterhin einen Grund für unattrakti-
vant ist.23 Die Tatsache, dass viele Unter- ven Versicherungsschutz dar.
nehmen intransparent hinsichtlich vorgefal-
lener Cyber-Vorfälle und interner Sicher- Friktionen auf der Nachfra-
24
heitsmaßnahmen sind , verhindert die Dif-
geseite des deutschen Cyber-
ferenzierung zwischen guten und schlech-
ten Risikotypen25 durch den Versicherer.
Versicherungsmarktes
Diese versuchen die Effekte der Adversen Mangelndes Risikobewusstsein für
Selektion durch das Erstellen von individu- Cyber-Risiken
ellen Risikoprofilen, durch bspw. Vorab-
Fragebögen zu firmeninternen IT-Sicher- In Deutschland fehlt sowohl auf gesell-
heitsmaßnahmen, zu mindern.26 Moral Ha- schaftlicher als auch auf individueller Unter-
zard dagegen beschreibt grundsätzlich nehmensebene ein Bewusstsein für Cyber-
eine Verhaltensänderung nach dem Ab- Risiken und den daraus entstehenden Ge-
schluss einer Versicherung und entsteht fahren und Schäden.31 Obwohl im Rahmen
aus dem Mangel an Anreizen, Präventions- der Digitalisierung Entwicklungen hin zu
maßnahmen zur Verhinderung eines Scha- vernetzten Businesssystemen die Rele-
denseintritts zu ergreifen.27 Im Kontext der vanz des Managements von Cyber-Risiken
Cyber-Risiken kann eine Versicherung auf- steigert32, ist der Stellenwert im firmeninter-
grund des moralischen Risikos die Motiva- nen Risikomanagement noch niedrig und
tion in die IT-Sicherheit zu investieren, ne- eine angemessene Beachtung dieser Cy-
gativ beeinflussen.28 Da Versicherer keine ber-Risiken durch die Geschäftsleitung
Möglichkeit haben, das Verhalten des Ver- fehlt33. Die Unterschätzung der erheblichen
sicherungsnehmers nach Vertragsab- Schadenpotentiale und die mangelnde Ri-
schluss zu beobachten, begegnen sie die- sikowahrnehmung führen oftmals zu der
sem Problem mit Selbstbeteiligungen, De- Fehlinterpretation seitens der Unterneh-
ckungslimiten sowie ex-post Schadenauf- men, die Cyber-Versicherung als Äquiva-
klärung, um vorsätzliches Handeln zu prü- lent anstatt Bestandteil für ein internes Cy-
fen.29 Es besteht auch die Gefahr, dass das ber-Risiko-Management zu sehen.34 Zu-
eigene Unternehmen trotz Investitionen in sätzlich erkennen viele Unternehmen den
die eigene IT-Sicherheit angreifbar bleibt, Bedarf einer Cyber-Versicherung nicht, da
wenn Angreifer andere verbundene sie fälschlicherweise davon ausgehen,
dass Schäden durch Cyber-Risiken durch
16Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in
Deutschland
vorhandene Versicherungslösungen aus- erhöhte die Risikowahrnehmung der nach-
reichend abgedeckt sind.35 Um Gefahren fragenden Unternehmen43 und die Nach-
zu identifizieren, ist eine interne Analyse frage nach einem versicherungsbasierten
der individuellen Cyber-Risk-Exposition Risikotransfer44. Dies stellt eine Erklärung
durch bspw. das Untersuchen von Ge- für den größeren US-Cyberversicherungs-
schäftsprozessen im Risikomanagement markt dar. In Deutschland wurde 2009 eine
notwendig.36 Dies fehlt bis heute in vielen Meldepflicht bei Datenschutzverstößen
kleineren Unternehmen, da sie irrtümlicher- nach Bundesdatenschutzgesetz (BDSG)
weise37 aufgrund ihrer geringen Größe da- eingeführt.45 Doch durch fehlende Konkre-
von ausgehen, nicht als Ziel für einen Cy- tisierung und Verhängung von Strafzahlun-
ber-Angriff in Frage zu kommen, womit die gen, sowie die fehlende Möglichkeit von
mangelnde Risikowahrnehmung verstärkt Sammelklagen, konnte sich in Deutschland
wird.38 Dazu kommt, dass Unternehmen die das Risikobewusstsein für Cyber-Risiken
großen potentiellen finanziellen Verluste ei- sowie die Nachfrage nach einer Cyber-Ver-
nes Cyber-Vorfalls aufgrund fehlender Mo- sicherung nicht erhöhen.46 Am 25. Mai
dellierung nicht bewusst sind, sowie Pläne 2018 wurde von der EU die Datenschutz-
zum Umgang mit diesen Risiken fehlen. 39 grundverordnung (DSGVO) eingeführt, die
Das fehlende Risikobewusstsein der Unter- für die Beurteilung des Umgangs mit Da-
nehmen verhinderte bisher eine größere tenschutz das einschlägige Gesetz dar-
Nachfrage nach Cyber-Versicherungen. stellt. Bei Verstößen gegen die DSGVO
können strikte Strafzahlungen in Höhe von
Unzureichende Regulatorik bis zu 20 Millionen Euro bzw. 4% des ge-
samten weltweiten jährlichen Jahresumsat-
Ein umfassendes regulatorisches Umfeld
zes des Unternehmens verhängt werden. 47
spielt eine wesentliche Rolle bei der Markt-
Ein Internetsuchanbieter wurde in Frank-
entwicklung der Cyber-Versicherung. Dies
reich schon aufgrund von Verstößen gegen
belegt der amerikanische Cyber-Versiche-
die DSGVO mit einer Strafe in Höhe von 50
rungsmarkt mit einem Prämienvolumen
Millionen Euro sanktioniert.48 Außerdem
von circa 2 Milliarden Euro im Jahr 2018.40
kann nun erstmals auch ein immaterieller
Seit 1996 gibt es dort strikte Datenschutz-
Schaden geltend gemacht werden49 und
gesetze, die den Umgang mit Datenschutz-
die Meldepflichten bei Verlust von perso-
verletzungen regeln und somit die Kunden
nenbezogenen Daten wurden verschärft. 50
schützen.41 Dies, sowie Sammelklagen als
Diese neuen Regeln zum Datenschutz wer-
zusätzliches Instrumentarium für Kunden,
den in der Literatur als Chance für einen
ziehen bei Verstößen erhebliche finanzielle
Nachfrageschub in Bezug auf eine Cyber-
Konsequenzen für Unternehmen nach
Versicherung gesehen.51
sich.42 Dieses regulatorische Umfeld
17Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in
Deutschland
Fazit und Ausblick nehmen. Durch die Einführung der DSGVO
wurden Informationsasymmetrien aufgrund
In diesem Beitrag konnte gezeigt werden,
einer Erhöhung an Transparenz von Cyber-
dass der Cyber-Versicherungsmarkt viele
Vorfällen verringert. Zunehmende Angriffe
unterschiedliche Herausforderungen zu be-
auf Unternehmen und große medial wirk-
wältigen hat und die Gründe für das bishe-
same Cyber-Attacken wie NotPetya bzw.
rige geringe Marktwachstum sowohl bei
WannaCry sowie die Schaffung eines strik-
den anbietenden Versicherern, als auch bei
teren regulatorischen Umfelds dürften das
den nachfragenden Kunden, zu finden sind.
Risikobewusstsein der Unternehmen für
Die Versicherer werden in Zukunft aufgrund
Cyber-Risiken erhöht haben und somit zu
der weiter voranschreitenden Digitalisie-
einer erhöhten Nachfrage an Cyber-Versi-
rung innovative Ansätze zur Bewältigung
cherungen führen. Die Versicherungsbran-
des Problems der Quantifizierung von Da-
che sagt für die Cyber-Versicherung ein dy-
ten entwickeln müssen, um ein anspre-
namisches Wachstum mit einer nahezu
chendes Produkt für den Kunden anzubie-
jährlichen Verdopplung an Vertragsab-
ten. Fachliche Expertise, um Cyber-Risiken
schlüssen im Neukundengeschäft vo-
bspw. durch Szenarioanalysen52 adäquat
raus.54 Aktuelle Zahlen des GDV bestätigen
bewerten und bepreisen zu können, wird
diese Aussagen. Das Prämienvolumen der
für Versicherer von Bedeutung sein. Ein Er-
Cyber-Versicherung ist 2019 um 70% auf
fahrungsaustausch zwischen Unterneh-
85 Millionen Euro gewachsen.55 Es wird
men innerhalb der Versicherungsbranche
sich zeigen, ob die von Allianz und AXA für
zu den Cyber-Risiken im Sinne eines kol-
das Jahr 2021 prognostizierten 300 Millio-
lektiven Lernprozesses53, könnte einen po-
nen Euro an Cyber-Versicherungsprämie
sitiven Einfluss auf eine Standardisierung
eintreten werden.
der Policen sowie auf das Preisniveau
1 16
Vgl. Berg, 2019, S. 5. Vgl. Haas, 2016, S. 214.
2 17
Vgl. Allianz Global Corporate and Specialty, 2020, Vgl. Haas, 2016, S. 215.
18
S. 11. Vgl. Haas / Hofmann, 2014, S. 404.
3 19
Vgl. Bitkom, 2020, S. 7. Vgl. Haas / Hofmann, 2014, S. 400.
4 20
Vgl. Bitkom, 2020, S. 23. Vgl. Haas, 2016, S. 114.
5 21
Vgl. Bitkom, 2019. Vgl. Haas, 2016, S. 108.
6 22
Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft, Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft,
2017, S. 29. 2017, S. 50.
7 23
Auskunft des GDV an den Verfasser. Vgl. Biener et al., 2015, S. 61.
8 24
Siehe Aon, 2019, S. 13. Vgl. OECD, 2017 S. 96.
9 25
Vgl. GDV, 2017, S. 6. Vgl. Majuca et al., 2006, S. 8.
10 26
GDV, 2017, S. 6. Vgl. Majuca et al., 2006, S. 9.
11 27
Cebula/Young, 2010, S. 1. Vgl. Biener et al., 2015, S. 61.
12 28
Vgl. OECD, 2017, S. 94. Vgl. Majuca et al., 2006, S. 11.
13
Vgl. CRO Forum, 2014, S. 8. 29
Vgl. Haas, 2016, S. 209 – 210.
14
Vgl. Biener et al., 2015, S. 65 – 66. 30
Vgl. Eling / Wirfs, 2016, S. 25.
15 31
Vgl. Biener et al., 2015, S. 46. Vgl. BIGS, 2017, S. 32
18Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in
Deutschland
44
Vgl. BIGS, 2017, S. 47 – 51.
45
32
Vgl. § 42a BDSG a.F.
Vgl. Kosub, 2015, S. 630. 46
33
Vgl. Haas, 2014, S. 175.
Vgl. Biener et al., 2015, S. 85. 47
34
Vgl. Art. 83 Abs. 5 EU DSGVO.
Vgl. Wrede et al., 2018, S. 407. 48
35
Vgl. Marsh, 2019, S. 14.
Vgl. OECD, 2017, S. 102. 49
36
Vgl. Art. 82 Abs. 1 EU DSGVO.
Vgl. Haas / Hofmann, 2014, S. 388. 50
37
Vgl. Art. 33 EU DSGVO.
Vgl. GDV, 2019, S. 5. 51
38
Vgl. Eling et al., 2016, S. 20.
Vgl. Wrede, 2019, S. 420.
39
52
Vgl. Lloyd‘s, 2015, S. 29 – 40.
Vgl. Marsh, 2016, S. 7. 53
40
Vgl. BIGS, 2017, S. 64.
Vgl. Aon, 2019, S. 3. 54
Vgl. Wrede et al., 2019, S. 422.
41
Vgl. Kesan et al., 2005, S. 6 – 10. 55
Auskunft des GDV an den Verfasser.
42
Vgl. BIGS, 2017, S. 47 – 51.
43
Vgl. Eling et al., 2016, S. 20.
19Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in
Deutschland
Literaturverzeichnis potsdam.org/images/weitere_Publikatio-
nen/Standpunkt_8_2017%20Online.pdf, Stand
Allianz Global Corporate and Specialty (2020): 29.03.2020.
Allianz Risk Barometer. Identifying the major
Bitkom (2019): Rekordjahr im Markt für IT-Si-
business risks for 2020, URL:
cherheit, URL: https://www.bit-
https://www.agcs.allianz.com/con-
kom.org/Presse/Presseinformation/Rekordjahr-
tent/dam/onemarketing/agcs/agcs/reports/Alli-
im-Markt-fuer-IT-Sicherheit, Stand 29.03.2020.
anz-Risk-Barometer-2020.pdf, Stand
29.03.2020. Bitkom (2020): Spionage, Sabotage und Daten-
diebstahl – Wirtschaftsschutz in der vernetzten
Aon (2019): US Cyber Market Update. 2018 US
Welt, URL: https://www.bitkom.org/si-
Cyber Insurance Profits and Performance. June
tes/default/files/2020-02/200211_bitkom_stu-
2019, URL: http://thoughtleader-
die_wirtschaftsschutz_2020_final.pdf, Stand
ship.aon.com/Documents/201906-us-cyber-
29.03.2020.
market-update.pdf, Stand 29.03.2020.
Cebula, James J. / Young, Lisa R. (2010): A
Berg, Achim (2019): Digitalisierung der Wirt-
Taxonomy of Operational Cyber Security Risks,
schaft, URL: https://www.bitkom.org/si-
Hanscom. URL: https://re-
tes/default/files/2019-04/bitkom_charts_hub_-
sources.sei.cmu.edu/asset_files/Technical-
_digitalisierung_der_wirt-
Note/2010_004_001_15200.pdf, Stand
schaft_10_04_2019_final.pdf, Stand
29.03.2020.
29.03.2020.
Chief Risk Officer (CRO) Forum (2014): Cyber
Biener, Christian / Eling, Martin / Matt, Andreas
resilience. The cyber risk challenge and the role
/ Wirfs, Jan Hendrik (2015): Cyber Risk: Risiko-
of insurance,
management und Versicherbarkeit, Institut für
URL:https://www.thecroforum.org/wp-con-
Versicherungswirtschaft der Universität St. Gal-
tent/uploads/2015/01/Cyber-Risk-Paper-ver-
len, St. Gallen 2015, URL: https://www.kess-
sion-24-1.pdf, Stand 29.03.2020.
ler.ch/fileadmin/user_upload/Cyber_Risk_Risi-
komanagement_und_Versicherbarkeit_de.pdf, Eling, Martin / Wirfs, Jan Hendrik (2016): Cyber
Stand 29.03.2020. Risk: Too Big to Insure? Risk Transfer Options
for a Mercurial Risk Class, Institute of Insurance
Brandenburgisches Institut für Gesellschaft und
Economics, University of St. Gallen, 2016, URL:
Sicherheit (BIGS) (2017): Cyberversicherungen
https://www.ivw.unisg.ch/~/media/internet/con-
als Beitrag zum IT-Risikomanagement – Eine
tent/dateien/instituteundcenters/ivw/studien/cy-
Analyse der Märkte für Cyberversicherungen in
berrisk2016.pdf, Stand 29.03.2020.
Deutschland, der Schweiz, den USA und Groß-
britannien. BIGS Standpunkt Nr. 8, September GDV (2017): Allgemeine Versicherungsbedin-
2017, Potsdam: Brandenburgisches Institut für gungen für die Cyberrisiko-Versicherung (AVB
Gesellschaft und Sicherheit, URL: Cyber), URL: https://www.gdv.de/re-
https://www.bigs- source/blob/6100/d4c013232e8b0a5722b7655
b8c0cc207/01-allgemeine-
20Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in
Deutschland
versicherungsbedingungen-fuer-die-cyberri- https://link.springer.com/con-
siko-versicherung--avb-cyber--data.pdf, Stand tent/pdf/10.1007/s12297-015-0316-8.pdf,
29.03.2020. Stand 29.03.2020.
GDV (2019): Cyberrisiken im Mittelstand. Er- KPMG AG Wirtschaftsprüfungsgesellschaft
gebnisse einer Forsa-Befragung. Frühjahr (2017): Neues Denken, Neues Handeln. Insu-
2019, URL: https://www.gdv.de/re- rance Thinking Ahead. Versicherungen im Zeit-
source/blob/48506/a1193bc12647d526f75da3 alter von Digitalisierung und Cyber. Studienteil
376517ad06/cyberrisiken-im-mittelstand-2019- A: Digitalisierung, URL: https://as-
pdf-data.pdf, Stand 29.03.2020. sets.kpmg/content/dam/kpmg/ch/pdf/neues-
denken-neues-handeln-digitalization-de.pdf,
Haas, Andreas / Hofmann, Annette (2014): Ri-
Stand 29.03.2020.
siken aus der Nutzung von Cloud-Computing-
Diensten: Fragen des Risikomanagements und Lloyd’s (2015): Emerging Risk Report. Business
Aspekte der Versicherbarkeit, in: Zeitschrift für Blackout: the insurance implications of a cyber
die gesamte Versicherungswissenschaft (Zver- attack on the U.S. power grid, URL:
sWiss) 103, S. 377–407, Berlin/Heidelberg http://empgridservices.com/wp-content/up-
2014, URL: https://link.springer.com/con- loads/2015/07/Business-Blackout-July-
tent/pdf/10.1007/s12297-014-0285-3.pdf, 2015.pdf, Stand 29.03.2020.
Stand 29.03.2020.
Majuca, Ruperto P. / Kesan, Jay P. / Yurcik, Wil-
Haas, Andreas (2016): Management von Cy- liam (2005): The Evolution of Cyber-insurance,
ber-Risiken und Möglichkeiten des Risikotrans- Working Paper, University of Illinois 2005, URL:
fers - eine ökonomische und versicherungs- https://arxiv.org/ftp/cs/pa-
technische Analyse, Diss., Universität Hohen- pers/0601/0601020.pdf, Stand 29.03.2020.
heim, Hohenheim 2016, URL: http://opus.uni-
Marsh (2016): Continental European Cyber
hohenheim.de/voll-
Risk Survey: 2016 Report, URL:
texte/2016/1192/pdf/Diss_Haas_Buch-
https://www.marsh.com/de/de/insights/re-
druck_Final.pdf, Stand 29.03.2020.
search-briefings/continental-european-cyber-
Kesan, Jay P. / Majuca, Ruperto P. / Yurcik, Wil- risk-survey-2016-report.html, Stand
liam J. (2005): Cyberinsurance as a market- 29.03.2020.
based solution to the problem of cybersecurity
Marsh (2019): Versicherungsmarktreport 2019
– a case study, Workshop on Economics of In-
Deutschland, URL:
formation Security (WEIS), URL: http://info-
https://www.marsh.com/de/de/insights/rese-
secon.net/workshop/pdf/42.pdf, Stand
arch-briefings/versicherungsmarktreport-2019-
29.03.2020.
fur-deutschland.html, Stand 29.03.2020.
Kosub, Thomas (2015): Components and chal-
OECD (2017): Enhancing the Role of Insurance
lenges of integrated cyber risk management, in:
in Cyber Risk Management, OECD Publishing,
ZVersWiss (2015) 104, S. 615–634, Berlin/Hei-
Paris, URL:
delberg, 2015, URL:
http://dx.doi.org/10.1787/9789264282148-en,
Stand 29.03.2020.
21Charakteristika des Cyber-Versicherungsmarktes - Gründe für das verhaltene Marktwachstum in Deutschland Wrede, Dirk / Freers, Thorben / Graf von der Schulenberg, Johann-Matthias (2018): Heraus- forderungen und Implikationen für das Cyber- Risikomanagement sowie die Versicherung von Cyberrisiken – Eine empirische Analyse, in: ZVersWiss (2018) 107, S. 405–434, URL: https://link.springer.com/con- tent/pdf/10.1007/s12297-018-0425-2.pdf, Stand 29.03.2020. Bundesdatenschutzgesetz in der Fassung vom 01.09.2009 durch Artikel 1 G. v. 14.08.2009 ge- ändert, BGBl. I S. 2814. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verar- beitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, in: ABl. L119, Jg. 59, S. 1-88. 22
Versicherbarkeit von Cyber-Risiken - Herausforderungen und Maßnahmen zur Verbesserung der Ver-
sicherbarkeit
Versicherbarkeit von Cy- Versicherer allerdings vor verschiedenste
Probleme.4
ber-Risiken - Herausforde-
Nachfolgend soll deshalb zunächst auf un-
rungen und Maßnahmen
terschiedliche Herausforderungen bei der
zur Verbesserung der Ver- Versicherung dieser Risiken eingegangen
werden. Auf Basis dessen wird anschlie-
sicherbarkeit
ßend eine Reihe von Maßnahmen betrach-
Von Nadja Schlett tet, wie diesen Problemen begegnet wer-
den kann, um die Versicherbarkeit von Cy-
Einleitung ber-Risiken zu gewährleisten und zu ver-
bessern. Abschließend erfolgt ein Fazit, ob
600 Milliarden US-Dollar betrugen laut ei- damit die Grenzen der Versicherbarkeit er-
ner Schätzung der Munich Re die gesamt- weitert werden können.
wirtschaftlichen Schäden durch Cyber-An-
griffe alleine im Jahr 2018.1 Dabei be- Herausforderungen bei der Ver-
schränken sich die Schäden nicht auf ver-
sicherung von Cyber-Risiken
lorene oder beschädigte Daten, sondern
schließen zunehmend auch Schäden durch Mangel an Informationen
Betriebsunterbrechungen oder an der Re-
putation eines Unternehmens ein. Neben Eine der größten Herausforderungen be-
dem immer größeren Ausmaß der Schä- steht in der technologischen Neuartigkeit
den, führen auch die digitale Transforma- des zu versichernden Risikos. Während in
tion, die Nutzung internetfähiger Geräte so- traditionellen Versicherungssparten zum
wie die sich ausbreitenden Hackerangriffe Teil jahrzehntelange Schadenerfahrung mit
zu den wachsenden Cyber-Bedrohungen.2 meist gleichbleibenden Schaden-Wir-
Organisationen wie das Weltwirtschaftsfo- kungsketten besteht, mangelt es bei Cyber-
rum halten Cyber-Angriffe für eines der ge- Risiken an der Schadenhistorie und der Er-
wichtigsten Risiken in der heutigen Zeit.3 fahrung der Versicherer im Umgang mit
Der Schutz vor diesen Risiken wird deshalb diesen Risiken.5 Daneben fehlt es an einer
für Unternehmen immer wichtiger und ne- allgemeinen Erfassung von Informationen
ben den eigenen Verteidigungsmöglichkei- über Cyber-Vorfälle. Zusätzlich zu der Tat-
ten wie verstärkte Investition in Sicherheits- sache, dass Cyber-Bedrohungen sowie -
technologien, ist insbesondere der Risiko- Schäden nicht so leicht zu erkennen oder
transfer an Dritte von großer Bedeutung. zu erfassen sind wie physische Bedrohun-
Die Absicherung von Cyber-Risiken stellt gen, spielt hier auch eine Rolle, dass Un-
ternehmen Angriffe und insbesondere
23Versicherbarkeit von Cyber-Risiken - Herausforderungen und Maßnahmen zur Verbesserung der Ver-
sicherbarkeit
Sicherheitslücken oftmals aus Angst vor Wandel folglich eine bedeutende Heraus-
Reputationsschäden nicht freiwillig publik forderung dar.10
machen möchten. Der Mangel an Daten er-
Informationsasymmetrie
schwert in Folge die Modellierung von Cy-
ber-Risiken hinsichtlich der Häufigkeit und Ein weiteres Problem bei der Versicherbar-
Schwere künftiger Schäden.6 keit von Cyber-Risiken stellt die beste-
hende Informationsasymmetrie zwischen
Dynamik des Cyber-Risikos
Versicherer und Kunde dar. So kommt es
zu adverser Selektion, da die Versicherer
Selbst wenn Daten zur Verfügung stehen,
weniger als die Versicherungsnehmer über
stellt sich die Frage, ob diese auch einen
deren Risikosituation wissen, was eine Dif-
aussagekräftigen Indikator für zukünftige
ferenzierung zwischen guten und schlech-
Entwicklungen darstellen.7 Denn Cyber-Ri-
teren Risiken verhindert. Intransparenz
siken entwickeln sich stetig weiter. Dies
herrscht insbesondere bezüglich des indivi-
liegt insbesondere an der Zunahme von
duellen Schadenrisikos der Unternehmen
Geschwindigkeit und Ausmaß des digitalen
und der verwendeten IT-Sicherheitssys-
Wandels. Infolge sind bestehende Systeme
teme.11 Dabei ist es wahrscheinlicher, dass
der IT-Sicherheit schnell veraltet und rei-
Unternehmen, die schon einmal von einem
chen nicht mehr aus. Gleichzeitig erhöht
Cyber-Angriff betroffen waren, Versiche-
sich mit der Verbreitung von internetfähigen
rungsschutz nachfragen. Darüber hinaus
Geräten die Vernetzung und damit die An-
ist auch das moralische Risiko von Bedeu-
zahl an Schwachstellen. So verfügen viele
tung, das darin besteht, dass Versicherte
dieser Geräte kaum über Sicherheitsfunkti-
nach Vertragsabschluss weniger in eigene
onen und vergrößern damit die Angriffsflä-
IT-Sicherheit investieren.12 Die beschrie-
che für Hacker. Ein weiterer sich stetig ver-
bene Informationsasymmetrie hat infolge
ändernder Risikofaktor liegt in den Angrei-
bedeutenden Einfluss auf die Bereitschaft
fern. Auch diese verwenden immer komple-
der Versicherer Cyber-Risiken zu tragen.13
xere Technologien und neue Angriffsme-
thoden.8 Da sich das Risiko sowie die zu-
Kumulrisiko
grunde liegenden Risikofaktoren kontinu-
ierlich weiterentwickeln, verlieren Informati- Eine weitere Herausforderung bezüglich
onen über vergangene Angriffe an Rele- der Versicherbarkeit von Cyber-Risiken ist,
vanz zur Vorhersage künftiger Risiken und dass diese oft stark voneinander abhängig
auch bisher noch gänzlich unbekannte Cy- sind. Innerhalb von Unternehmen kann
9
ber-Bedrohungen sind möglich. Für den diese Interdependenz dazu führen, dass
versicherungstechnischen Risikotransfer Angreifer durch ein kompromittiertes Sys-
von Cyber-Risiken stellt der technologische tem auf alle anderen IT-Systeme, Software
24Sie können auch lesen
