Cyberangriffe wie die mit der allgegenwärtigen Schadsoftware NotPetya, die sich von der Ukraine aus über die gesamte Welt ausbreitete, zeigen, welche Auswirkungen Silent-Cyberrisiken auf die Versicherungswirtschaft haben können. In verschiedenen traditionellen Sparten kam es zu Verlusten. In der Branche wächst das Bewusstsein für Silent-Cyberrisiken ebenso wie das entsprechende Know-how. Munich Re stellt sich der Herausforderung, der Problematik „Silent Cyber“ mit affirmativen Deckungen zu begegnen.

In der Branche wird fortlaufend und intensiv über Silent-Cyberrisiken gesprochen. Dabei steht außer Frage, dass die bestehenden traditionellen Versicherungspolicen oft versteckte Exponierungen gegenüber Cyberrisiken in sich bergen. „Konventionelle Policen sehen den Einschluss potenzieller Cyberrisiken nicht vor. Unter Umständen ist somit nicht klar, inwieweit im Fall eines Cyberereignisses Deckung besteht oder nicht. Cyberrisiken könnten vom Vertrag gedeckt sein, ohne dass der Versicherer darauf eingestellt oder sich bewusst ist, ein solches Risiko eingegangen zu sein. Für Versicherer bedeutet dies, dass sie sich möglicherweise ohne ein entsprechendes Underwriting- und Kumul-Management gegenüber Cyberrisiken exponieren. Das Ziel sollte sein, die Deckung von Cyberrisiken „non-silent“ werden zu lassen, indem man für affirmative Cyber-Versicherungslösungen oder zumindest eine bewusste Deckung sorgt“, erläutert Stefan Golling, Chief Underwriter bei Munich Re. „Die mit der Cybergefahr verbundenen Risiken sind eindeutig vorhanden und wirken sich auf alle Branchen, Märkte und Unternehmen aus. Die sich daraus ergebende Nachfrage nach angemessener Deckung, Risikominderung und Service-Leistungen schafft vielfältige Geschäftsmöglichkeiten. Das entsprechende Wachstumspotenzial zu heben erfordert ein umfassendes Verständnis für Cyber- und Silent-Cyber-Risiken sowie eine angemessene Beurteilung der vorhandenen Exponierung.“

Da fast jeder konventionelle Versicherungsvertrag gegenüber Cyberrisiken exponiert ist, ist die Silent-Cyber-Exponierung potenziell von erheblicher Bedeutung. Die Bedrohung durch Cyberrisiken nimmt zu und Unklarheiten bei traditionellen Deckungen sind weit verbreitet. Es besteht somit ein Bedarf nach weiterer Klärung. Die Produktlandschaft der Versicherungsbranche sollte sich deshalb insgesamt dem Bedarf der Versicherten nach Versicherungsschutz für Cyberrisiken annehmen. Dabei sollte klar definiert werden, welche Risiken in den vorhandenen Verträgen gedeckt sind und welche nicht.

Katja Weber, zuständig für Underwriting Strategies & Quality in Non-Life, führt aus: „Unklarheiten zu beseitigen und Cyberrisiken im Rahmen einer klar definierten Risikobereitschaft angemessen zu berücksichtigen umfasst aus unserer Sicht zwei Schritte: Erstens muss entschieden werden, zu welcher Sparte die Exponierung gegenüber Cyberrisiken gehört. Ist sie der Cyber-Sparte oder als gedeckte Gefahr den traditionellen

Sparten zuzuordnen? Zweitens muss man sich der Exponierung gegenüber Cyberrisiken, die in den traditionellen Sparten besteht, annehmen. Das heißt, die Exponierung muss in den Wordings, bei Risikobewertung, Pricing und Kumulkontrolle berücksichtigt werden.“

Gegenwärtig stehen nur begrenzt Daten zu Schäden im Zusammenhang mit Silent-Cyberrisiken zur Verfügung. Eine Möglichkeit, die Exponierung in den traditionellen Sparten zu bewerten, könnte deshalb die Untersuchung von Schadenszenarien sein. Munich Re hat eine Vielzahl beispielhafter Property- und Casualty-Fälle untersucht, um herauszufinden, wie sich Cyberrisiken auf traditionelle Policen auswirken könnten.

Dabei könnte es sich um einen durch Cyberrisiken verursachten Produktfehler wie verunreinigte Lebensmittel oder anfällige IoT-Geräte handeln. Auf den meisten Märkten haftet der Hersteller für Schäden, die aufgrund von Produktfehlern entstehen. In einem solchen Fall könnte der gedeckte Schaden zum Beispiel Personenschaden, Sachschäden Dritter und – in Abhängigkeit von den Produktmerkmalen – reine Vermögensschäden umfassen.

Ein potenzielles Silent-Cyber-Schadenszenario in Property könnte ein Cyberangriff sein, bei dem die verursachten Schäden zu einer Betriebsunterbrechung führen, wie es 2017 bei NotPetya der Fall war. Das Auftauchen von Ransomware und andere Cyberattacken haben gezeigt, wie verwundbar Unternehmen sind und welche gravierenden Auswirkungen verlorene/beschädigte Daten (z. B. Nichtverfügbarkeit, Beschädigung, Verschlüsselung, Veränderung und Löschung von Daten, Programmen und Software) für ihre Geschäftstätigkeit haben.

Um die Herausforderung der Silent-Cyberrisiken in Angriff zu nehmen, muss man die Cybergefahr im Ganzen verstehen und für Klarheit und Transparenz in den Portfolios sorgen. „Wenn wir wissen, wo sich Exponierungen gegenüber Cyberrisiken unbeabsichtigt in konventionelle Sparten ‚einschleichen‘, können wir uns richtig mit ihnen auseinander setzen, sie in affirmative Versicherungslösungen umwandeln sowie die inhärente Kumul-Exponierung managen“, erklärt Katja Weber. „Dieser Prozess ist ein Thema, das alle Branchenteilnehmer betrifft. Unsere Fachleute bei Munich Re haben einen Ansatz und verschiedene konkrete Maßnahmen entwickelt, mit denen sie unsere Kunden während des Prozesses unterstützen. Dazu gehören ein intensiver Dialog und Beratung, eine Schadensammlung, szenariobasierte Exponierungs-Assessments, Wording-Handbücher, Kumulstudien, Risikobewertungs-Tools sowie Underwriting-Heatmaps – um nur die wichtigsten zu nennen.“

Munich Re hat das Ziel, ihre Kunden aktiv beim Thema Cyber- und Silent-Cyber-Risiken zu unterstützen. Dazu Stefan Golling: „Wir möchten dazu beitragen, dass man in der Branche insgesamt die Herausforderung durch Cyberrisiken weniger als ein Hindernis als vielmehr eine Chance für nachhaltiges Neugeschäft betrachtet. Unser Ansatz beruht darauf, Risiken zu verstehen, sie adäquat einzuschätzen und so versicherbar zu machen.“ Über Munich Re, einen der führenden Anbieter von Cyberrisiko-Lösungen weltweit, fügt er hinzu: „Das gelingt uns nur in enger Zusammenarbeit mit den Fachleuten unserer Versicherungskunden, mit unseren Versicherten und externen Partnern auf dem Gebiet der Cyberrisiken. Auf diese Weise entwickeln wir ein gemeinsames Verständnis dafür, wie mit Cyberrisiken umzugehen ist.“ Neben Risikotransfer schließt das auch Risikomanagement-Services und Sicherheitsmaßnahmen ein. „Wir setzen dabei auf unsere weltweiten Cyber-Teams und ein Netzwerk von renommierten externen Partnern, mit deren Hilfe wir unser Wissen und Leistungsangebot ergänzen.“

„Überraschungen vermeiden, das Underwriting nachhaltig gestalten sowie eine ständige Markt- und Trendbeobachtung sind Aspekte einer umfassenden Cyberrisiko-Strategie unter Einschluss von Silent-Cyberrisiken“, erläutert Katja Weber. „Das wird kein Sprint, sondern ein Marathon.“ Gemeinsam mit unseren Kunden arbeiten wir kontinuierlich weiter daran, für eine angemessene Versicherbarkeit von Cyberrisiken zu sorgen und das damit verbundene Wachstumspotenzial zu heben.“