• Die Datengrundlage der Versicherer zu Cyberrisiken und bisherigen Schadensfällen ist eventuell gering. Sind dennoch Erfahrungswerte vorhanden, wurde die Deckung von Cyberrisiken möglicherweise mit anderen Versicherungsarten zusammengepackt, was eine Trennung für analytische Zwecke erschwert.
• Die erfassten Datenattribute sind unter Umständen auf allgemeine Elemente wie Prämien, Haftungssummen von Policen und Schadenbeträge beschränkt. Attribute, die für den Cyberbereich von besonderer Bedeutung sind, stehen möglicherweise gar nicht zur Verfügung oder werden nicht einheitlich erfasst.
• Außerdem besteht die Gefahr, dass es im Rahmen anderer Arten von Versicherungen zu einer unbeabsichtigten Gefährdung durch Cyberrisiken kommt (sog. „Silent Cyber“). Dies stellt einen weiteren Bereich nicht identifizierter Cyber-Gefährdung und möglicher Schäden dar.

In der Regel bedeutet das, dass die Datengrundlage mit der Aktuare im Bereich Cyber arbeiten nicht dem Standard entsprechen mit dem sie normalerweise arbeiten.

Aus diesem Grund sollten standardisierte Datenschemata verwendet werden. Mithilfe eines solchen Schemas ist ein effizienterer Datentransfer zwischen den Beteiligten (vom Kunden zum Makler zum Versicherer zum Rückversicherer) möglich und darüber hinaus werden anonymisierte Datenaustauschmechanismen unterstützt, von denen der gesamte Markt profitieren würde. Munich Re unterstützt die Entwicklung solcher Mechanismen für den Datenaustausch. 

Die Erfassung weiterer Daten bringt zusätzlichen, aber notwendigen Verwaltungsaufwand mit sich. Hier bietet sich allerdings eine Innovationschance für die Versicherungswirtschaft, indem Datenerfassungsmechanismen entwickelt werden, die sich nicht nur auf die vom Kunden bereitgestellte Information verlassen.

Versteckten Cyberrisiken (Silent Cyber) muss dadurch begegnet werden, dass Unklarheiten in der Deckung beseitigt werden und in jedem Vertrag dieses Risiko entweder explizit enthalten oder ausgeschlossen ist. Wo immer Cyberrisiken enthalten sind, sollten relevante Daten erfasst werden, um das Risiko zu verstehen, zu quantifizieren und angemessen in der Preisgestaltung widerzuspiegeln. 

• Die Abhängigkeit von neuen Technologien (z. B. Cloud Computing, IoT, Industrie 4.0, Digitalisierung) im Alltag und im Geschäftsleben nimmt rapide zu, wodurch die Gefährdung durch Cyberrisiken ebenfalls steigt.
• Die Angriffstechniken der Akteure in der Cyber-Bedrohungslandschaft entwickeln sich durch Innovation und als Reaktion auf die Verbesserung der Cyberabwehr ständig weiter.
• Rechtliche Änderungen (wie DSGVO) können Cyberrisiken sowohl reduzieren als auch erhöhen. So kann die Regulierung beispielsweise ein Katalysator für ein besseres Bewusstsein für Cyberrisiken und deren Eindämmung sein. Umgekehrt können die Kosten im Falle eines Cyber-Ereignisses z. B. durch erhöhte Meldepflichten, Entschädigungszahlungen für betroffene Dritte und mögliche höhere Bußgelder steigen.

Durch diese veränderte Risikodynamik ist der Nutzen historischer Daten für die Vorhersage zukünftiger Ergebnisse begrenzt. Deshalb müssen Aktuare sich unter Einbeziehung der Expertise von Spezialisten für Cyberrisken und Underwritern stärker auf ihr professionelles Urteilsvermögen verlassen.

• Der Cyber-Versicherungsmarkt ist in den letzten Jahren stark gewachsen und verfügt weiterhin über ein beachtliches Potenzial. Dies sorgt in mancher Hinsicht für einen käuferfreundlichen Markt, denn bestimmte Versicherer oder Makler wollen sich gegenüber ihren Kunden durch erweiterte Deckungsbedingungen differenzieren.
• Umgekehrt sind einige Versicherer angesichts der Tatsache, dass das Verständnis des Kumulpotenzials nach wie vor eine zentrale Herausforderung darstellt, eher vorsichtig, wenn es um eine Erhöhung ihrer Cyber-Exponierung geht. Jüngste Ereignisse wie NotPetya haben das vorhandene Kumulpotenzial klar aufgezeigt. Die von den Versicherern eingesetzten Akkumulationsmodelle verbessern sich rasch, dennoch bleibt die Marktkapazität im Vergleich zu der von einigen Kunden gewünschten Breite und Größe der Deckung begrenzt.

Die Differenzierung der Deckung kann dazu führen, dass es für Underwriter schwierig ist die Vertragsformulierungen ausreichend eng zu halten, um unbeabsichtigte Risiken, wie z. B. als nicht versicherbar geltende Kumulrisiken, zu vermeiden. So wird der Preisbildungsprozess beispielsweise durch unbeabsichtigte „Löcher“ in den Ausschlüssen untergraben, bevor er überhaupt begonnen hat.

Bei der Analyse der am Markt beobachteten Tarife ist Vorsicht geboten. Selbst in Fällen, in denen die Märkte in der Vergangenheit profitabel waren, bedeutet dies nicht unbedingt, dass der Markt einen risikoadäquaten Preis für das von ihm eingegangene Kumulrisiko berechnet.

Die Aktuare müssen die beabsichtigten Deckungen vollständig verstehen und überlegen, welche Schadenereignisse berücksichtigt werden und welche nicht, und wie sich die spezifischen Bedingungen der einzelnen Verträge auf die Schadenhöhe auswirken.

Die Auswirkungen der unterschiedlichen Merkmale hinsichtlich Exponierung bzw. Sicherheitsvorkehrungen von einem Risiko zum nächsten sollten berücksichtigt werden, und zwar sowohl im Hinblick auf die erwartete Schadenhäufigkeit als auch in Bezug auf die Schadenhöhe.

Die Wirksamkeit der Schutzmaßnahmen eines Versicherten sollte durch eine entsprechend robuste individuelle Risikobewertung im Verhältnis zur Komplexität des betreffenden Risikos ermittelt und in der Preisgestaltung angemessen berücksichtigt werden.

Daraus folgt, dass die Preise auf dem Markt sich dahingehend entwickeln sollten, dass sie die realen Unterschiede zwischen den Risiken widerspiegeln, mit den folgenden Auswirkungen:

Auswirkungen für die Versicherten
Da die treibenden Kräfte im Hinblick auf Schadenhäufigkeit und Schadenhöhe besser verstanden werden und sich in den am Markt verwendeten Preisgestaltungsansätzen widerspiegeln, sind größere Preisunterschiede zwischen „guten“ und „schlechten“ Risiken zu erwarten. Für „gute“ Risiken sind günstige Preise zu erwarten, während „schlechte“ Risiken eine Motivation zur verbesserten Cyber-Hygiene erhalten.

Auswirkungen für die Versicherer
Durch ein besseres Verständnis der zugrunde liegenden Risiken können Versicherer risikoadäquatere Preise am Markt anbieten und Unsicherheitsmargen im Rahmen ihrer Preisgestaltung reduzieren. In einem wettbewerbsintensiven Markt können diese Ermäßigungen an die Kunden weitergegeben werden.

Munich Re ist in der Branche als weltweit führender Cyber-Rückversicherer anerkannt¹. Sprechen Sie mit uns, um mehr zu erfahren.

¹ https://www.advisenltd.com/about/press-releases/2018-cyber-risk-award-winners-announced/