Malware-Attacken, Datenpannen, Ausfälle von IT-Dienstleistern und Hacker-Angriffe auf entscheidende Infrastruktur-Einrichtungen zählen zu den größten Cybergefahren des 21. Jahrhunderts. In einer zunehmend vernetzten Wirtschaft sind alle Marktteilnehmer und Wertschöpfungsketten diesen Risiken ausgesetzt. Sind Tausende Unternehmen gleichzeitig von einem einzigen Ereignis betroffen, kann ein Haftungskumul im Portfolio ein Versicherungsunternehmen teuer zu stehen kommen. Die aktive Identifizierung, Quantifizierung, Modellierung, Steuerung und Kontrolle von Cyber-Kumulrisiken ist daher für Versicherer nicht nur wichtig, sondern unerlässlich.

Ab 2016 kam es weltweit zu einer Reihe von Cyberangriffen auf Unternehmen, die das Ausmaß der Bedrohung in beispielloser Weise ins Bewusstsein riefen: Ransomware- und Malware-Attacken wie NotPetya und WannaCry sorgten in den Unternehmen für Chaos und verursachten zum Teil volkswirtschaftliche Schäden in drei- bis vierstelliger Millionenhöhe. Ein besonderes Problem war bei diesen Angriffen die enorme Ansteckungsgefahr: die Schadsoftware infizierte weltweit Unternehmen in über 65 Ländern.

Dass Sicherheitslücken bei gemeinsam genutzter Software oder Hardware, Störungen oder Ausfälle zentraler IT-Dienste und Angriffe auf kritische Infrastruktur-Komponenten wie Stromversorgungs- oder Telekommunikationsnetze einschließlich des Internets ein erhebliches und weltweites Kumulpotenzial bergen, liegt auf der Hand. Jedes dieser Ereignisse kann bei Tausenden von Unternehmen finanzielle Schäden unterschiedlicher Art verursachen und damit zu einem erheblichen Kumulschaden führen.

Obwohl alle bedeutenden Cyber-Kumulszenarien im Wesentlichen auf menschliches Handeln zurückzuführen sind, liegt diesem nicht immer eine böswillige Absicht zugrunde. Nicht nur Schadsoftware-Attacken und Angriffe auf die Datensicherheit, sondern auch technisches und menschliches Versagen können verheerende Folgen haben.

So kam es bei einem der weltweit größten Cloud-Anbieter im Februar 2017 zu einem weitreichenden, über vier Stunden dauernden Ausfall der Infrastruktur, weil einem Mitarbeiter schlicht ein Fehler unterlaufen war. Für die betroffenen Firmen war der Vorfall äußerst kostspielig: Die S&P-500-Unternehmen büßten insgesamt 150 Mio. US$ ein, Finanzdienstleister sogar 160 Mio. US$. Dieses Beispiel macht deutlich: ein einzelnes Ereignis kann nicht nur für eine Vielzahl von Unternehmen, sondern auch für Erst- und Rückversicherer gravierende finanzielle Folgen haben.

Die zunehmende Vernetzung der Lieferketten und die gemeinsame Nutzung von Software- und Hardwarekomponenten machen sämtliche Glieder der Lieferkette anfällig für Cybervorfälle verschiedener Art – sei es der Ausfall von IT-Diensten oder Netzwerken, ungezielte Attacken mit rasch um sich greifender Malware oder Ransomware, oder eine groß angelegte Datenklau-Kampagne. Eine besondere Herausforderung bei der Modellierung von Kumulgefahren besteht darin, sämtliche Abhängigkeiten zwischen den verschiedenen Risiken zu erfassen, den so genannten „Footprint“, d.h. die räumliche Ausdehnung eines Szenarios zu definieren und das Ausmaß des jeweiligen Schadens einzuschätzen, den ein Ereignis bei einer Vielzahl betroffener Unternehmen verursacht.

Anhand historischer Ereignisse gelingt es nur bedingt, die Häufigkeit und das Ausmaß künftiger Ereignisse vorherzusagen, da die Angreifer immer wieder neue Vektoren nutzen und neue und überraschende Angriffsmuster entwickeln. Während die Unternehmen ihren Schutz vor künftigen Attacken ständig ausbauen, rüsten auch die Angreifer immer weiter auf. Im Zuge der fortschreitenden Digitalisierung, die praktisch alle Unternehmen betrifft, nimmt zudem das Schadenpotenzial weiter zu.

Noch komplexer wird die Modellierung und Kontrolle von potenziellen Kumulen angesichts der Tatsache, dass bereits bestehende Deckungen eine bislang unbekannte, sozusagen versteckte Cyberexponierung enthalten können. Es geht dabei um eine Vielzahl von konventionellen Sach- und Haftpflicht-Policen, in denen Cyberrisiken nicht erwähnt oder nicht explizit ein- oder ausgeschlossen sind und somit auch zu einer Exponierung in derartigen Portfolios führen können. Manche Policen definieren dabei zwar Cyberrisiken, sind aber nicht immer eindeutig formuliert. Aus solchen nicht explizit, sondern unbewusst eingegangenen Cyberexponierungen („Silent Cyber“) ergibt sich für Versicherer ein zusätzliches Kumulpotenzial.

Trotz immer besserer Modellierungsverfahren wird es für Versicherer auch künftig Risiken geben, die aufgrund des damit verbundenen Kumulpotenzials als unversicherbar anzusehen sind. Dies gilt insbesondere für den Ausfall kritischer Infrastruktur wie etwa der Stromversorgung oder des Internets. Als besorgniserregend sehen wir bei Munich Re das Cyber-Kumulpotenzial infolge eines unbeabsichtigten und ungeplanten Infrastruktur-Ausfalls, der eine Vielzahl von Endkunden betrifft und umfangreiche Haftungen für Betriebsunterbrechungsschäden sowie bestimmte weitere Eigenschaden-Komponenten gängiger Cyberpolicen nach sich ziehen würde. Aufgrund der systemischen Natur eines solchen Ereignisses und der Ungewissheit über sein mögliches Ausmaß hält Munich Re den Ausfall derartiger Infrastruktur-Einrichtungen für nicht versicherbar und verzichtet daher derzeit auf die Zeichnung derartiger Risiken. 

Die konservativste und restriktivste, gleichzeitig aber auch einfachste Möglichkeit zur Quantifizierung von Cyber-Kumulrisiken besteht darin, die Höchsthaftungen für die Policen/Layer aller exponierten Beteiligungen an einem Versicherungsbestand zu aggregieren. Diese Methode wird häufig dann angewendet, wenn es für einen Kumulationspfad kein limitierendes Merkmal gibt oder keine Einzelrisikoinformationen verfügbar sind, anhand derer sich die Exponierung gegenüber einem definierten Szenario einschätzen ließe.

Angesichts der begrenzten Aussagekraft einer Aggregation der Policenlimits besteht ein anspruchsvollerer Ansatz darin, ein Narrativ für ein Cyber-Katastrophenszenario zu definieren und deterministische Annahmen zu treffen, um die gesamtwirtschaftlichen und versicherten Schäden einzuschätzen.  Dazu müssen die Anzahl der betroffenen Unternehmen (d.h. die Häufigkeit von Vorfällen), die durchschnittlichen Kosten pro betroffenem Unternehmen sowie die Art der möglichen Schäden und die für die jeweilige Schadenart vorhandene (unbewusst oder explizit gewährte) Deckung beurteilt und eingeschätzt werden. Nachdem man den versicherten Marktschaden ermittelt hat, kann der Anteil eines Versicherungsunternehmens näherungsweise bestimmt und als Ausgangspunkt für weitere Überlegungen zum Risikomanagement genutzt werden.

Letztlich ist eine probabilistische Modellierung von Szenarioereignissen anzustreben. Diese geht allerdings mit erhöhten Datenanforderungen einher und ist besonders anspruchsvoll:  Die Modelle müssen laufend überprüft und im Hinblick auf ständig wechselnde Bedrohungen, technologische Neuerungen und rechtliche Änderungen entsprechend angepasst werden. Zur Entwicklung eines probabilistischen Modells müssen die Häufigkeit und der Schweregrad von Ereignissen über Wahrscheinlichkeitsverteilungen modelliert werden.

Ausgehend von wichtigen Cyber-Kumulationspfaden sind „Single Points of Failure“ zu identifizieren, bei deren Ausfall Tausende von Unternehmen gleichzeitig betroffen sein könnten (Betriebsunterbrechung und/oder Datenschutzverletzungen).

In den letzten Jahren wurden die technologischen Tools zur Quantifizierung der Häufigkeit verschiedener Cybervorfälle angesichts der stetig wachsenden Herausforderungen kontinuierlich weiterentwickelt. Beispielsweise mussten Versicherer, die die Schadenhäufigkeit und Schadenhöhe für Gewerbegeschäft modellieren wollten, zunächst einen Rahmen mit geeigneten Risikomerkmalen schaffen. Indem sie verschiedene IT-Systemkomponenten in einem Unternehmen untersuchten und die Malware-Anfälligkeit der jeweiligen Geräte, Server oder Anwendungen ermittelten, konnten sie beurteilen, wie sich verschiedene Sicherheitsmaßnahmen auf die Schadenhäufigkeit und die Schadenhöhe auswirkten.  Dies ist neben statistischen Daten zu Cybervorfällen eine Voraussetzung für die Entwicklung von Pricing- und Kumulschadenmodellen.

Kumulrisiken infolge von Malware, Datenschutzverletzungen, IT-Serviceprovider-Ausfällen und sonstigen Cyber-Bedrohungen bleiben für die Assekuranz eine Herausforderung, der wir uns entschlossen stellen müssen. Die Versicherer arbeiten bereits aktiv daran, diese gefährliche Lücke durch bessere Quantifizierung und Modellierung von Kumulrisiken, durch die Entwicklung intelligenter Tools und die Nutzung von Data-Analytics-Verfahren zur Ermittlung von Wahrscheinlichkeiten zu schließen.Erst- und Rückversicherer sind aufgrund ihres Knowhows und ihrer Modellierungskompetenz ideal positioniert, um Unternehmen vor und nach einem Ereignis zu unterstützen. Diese günstige Ausgangsposition sollten sie nutzen, um die Entwicklung neuer, innovativer Cyberdeckungen voranzutreiben und die dafür nötigen Voraussetzungen zu schaffen.

Für nähere Informationen zum Thema Cyberversicherung und Modellierung von Kumulrisiken stehen wir Ihnen gerne zur Verfügung.