Cyberrisiken sind für die Versicherungsindustrie eine große Herausforderung, wegen des Änderungsrisikos, des Kumulrisikos, aber auch wegen unbekannter Exponierungen in Policen verschiedener Sparten - Silent Cyber. Wie geht Munich Re damit um?

Stefan Golling: Cyberrisiken sind allgegenwärtig, das haben WannaCry oder NotPetya eindrücklich gezeigt. Den betroffenen Unternehmen sind durch Schadsoftware teilweise Kosten im dreistelligen Millionenbereich entstanden. Zugleich erhöhen sich die Cyberrisiken mit zunehmender Vernetzung von Endgeräten und Maschinen. Einer Studie des Ponemon Instituts zufolge haben 98 % der befragten Unternehmen bereits Erfahrungen mit Schadsoftware gemacht. Knapp zwei Drittel sind bereits Opfer einer webbasierten Cyberattacke geworden. Für die Versicherungswirtschaft ist Cyber damit eines der wichtigsten Themen unserer Zeit. Das Wachstumspotenzial ist unbestritten, weil die Nachfrage nach Schutz, Deckungen und Assistance Leistungen kontinuierlich steigt. Die größten Herausforderungen dabei sind das Änderungsrisiko, zweifelsohne das Kumulrisiko, aber auch die unentdeckte Cyberexponierung, die sich in Policen aus allen Versicherungssparten wiederfinden kann. Diese so genannten Silent Cyber-Risiken werden aktuell in der Branche intensiv diskutiert.

Stefan Golling: Einfach ausgedrückt, weil sich hinter diesem Begriff Risiken verbergen, die entweder noch gar nicht erfasst oder aber nicht ausreichend eingeschätzt wurden. Es geht dabei um eine Vielzahl von konventionellen Policen, in denen Cyberrisiken beispielsweise nicht erwähnt oder nicht explizit ein- oder ausgeschlossen sind und somit auch zu einer Exponierung in Sach- und Haftpflichtportfolios führen können. Manche Policen definieren dabei zwar Cyberrisiken, sind aber nicht eindeutig formuliert. Die Folge sind Unklarheiten, die wir gemeinsam mit unseren Kunden angehen und lösen wollen, indem wir die bestehenden Cyberexponierungen identifizieren und in der Folge analysieren und quantifizieren. Unser Ziel ist es, gemeinsam einen nachhaltigen Underwriting-Prozess umzusetzen, der das Silent Cyber-Risiko transparent macht und in eine bewusste oder sogar explizite und umfassende Deckung umwandelt. Dies schließt eine ganzheitliche Risikobewertung, einen Tarifierungsansatz, aber auch Kumulaspekte mit ein, um bestehende Unsicherheiten zu eliminieren.

Stefan Golling: Es gibt in der Tat Aspekte, die wir momentan noch nicht versichern wollen. Ein großflächiger systemischer Ausfall einer Infrastruktur bei der Strom-, Telekommunikations-, oder Internetversorgung wäre hierfür ein Beispiel. Unser Ansatz basiert darauf, Risiken zu verstehen, adäquat einzuschätzen und versicherbar zu machen. Das geht nur in engem Austausch mit den notwendige Experten aus Erst- und Rückversicherung, Endkunden und externen Partnern, um ein gemeinsames Verständnis zu entwickeln, wie mit Cyberrisiken umzugehen ist. Neben dem Risikotransfer als solchem umfasst dies insbesondere auch Service und Sicherheitsleistungen. Dazu nutzen wir unsere global aufgestellten Cyberteams und greifen auf ein Netzwerk aus renommierten Cyberspezialisten zurück, die unser eigenes Wissen und unsere Angebote gezielt ergänzen. Wir kooperieren beispielsweise mit IT-Sicherheitsexperten, um für die gesamte Wertschöpfungskette unserer Kunden Lösungen anzubieten. Zudem ist die kontinuierliche Marktbeobachtung ein wichtiger Aspekt unserer Cyberstrategie. Daten aus vergangenen Cyberschäden werden uns zwar helfen, das Risiko noch besser einzuordnen, haben aber nur bedingte Aussagekraft für die zukünftige Einschätzung des möglichen Schadenpotenzials. Der Grund hierfür ist das bereits erwähnte Änderungsrisiko: Im Zuge der Digitalisierung verändern sich die Cyberrisiken und Schadenszenarien schnell und fortwährend. Deswegen ist es entscheidend, die eigenen Ansätze und Kenntnisse stetig weiterzuentwickeln. Wir wollen dazu beitragen, die Herausforderung Cyber weniger als unüberwindbare Hürde zu betrachten, sondern vielmehr als Möglichkeit für nachhaltiges Neugeschäft innerhalb der gesamten Industrie. Hierbei sehen wir durchaus auch, dass staatliche und Poollösungen eine ganzheitliche Absicherung komplettieren können. Sollten wir es als Versicherungswirtschaft nicht schaffen, umfassende Risikotransferlösungen und Services für unsere Kunden anzubieten, wäre das ein Eingeständnis eines Scheiterns. Diese Herausforderung nehmen wir sehr gerne an.