Cyberversicherung – Wachstumsmarkt mit vielen Fragezeichen
Im Beitrag geben wir Einblicke in aktuelle Herausforderungen, Produkte und Services der Cyberversicherung.
Die Finanzaufsicht will die Cyberversicherung künftig als separate Sparte behandeln, diese Meldung konnte man Anfang Februar den Medien entnehmen. Ausschlaggebend war eine Branchenbefragung der BaFin von 200 Versicherungsunternehmen, die potenziell Cyberpolicen anbieten. Diese zeigte, dass sich das Geschäft mit reinen Cyberpolicen (Stand-Alone) im selbst abgeschlossenen Geschäft von Erstversicherern von 2020 bis 2022 über alle Regionen und Kundengruppen mehr als verdoppelt hat. Gleichzeitig bleibt die Cybersicherheitslage in Deutschland angespannt und das Risiko schwer kalkulierbar. Der Branchenverband Bitkom schätzte die Schadenhöhe im Cyberbereich auf ca. 200 Milliarden Euro. Wachsendes Risiko und wachsender Markt, es stellt sich die Frage, wie die Versicherer die neuen Herausforderungen meistern – u.a. in Gestalt von künstlicher Intelligenz und generative AI.
Auf der diesjährigen Fachkonferenz zum Thema Cyberversicherung im Januar 2024 haben sich die Branchenvertreterinnen und Branchenvertreter zum Status quo und Trends in der Cyberversicherung ausgetauscht. Im Beitrag geben wir einen Einblick in die Impulse des Austausches.
Cybertrends und Herausforderungen in der Praxis
Christian Alt (Gothaer Allgemeine Versicherungen AG) und Christian Schneider (DLA Piper UK LLP) betonten bei dem Austausch im Januar, dass Cyberrisiken, insbesondere durch Ransomware und Business-Email-Compromise weiterhin eine signifikante Bedrohung darstellen. Insbesondere letzteres wird durch die Zunahme von Homeoffice und somit die Digitalisierung des Arbeitsplatzes begünstigt. KMUs unterschätzen oft das Risiko, obwohl sie es als relevant ansehen. Die größten Kosten entstehen dabei auch weiterhin durch Betriebsunterbrechungen infolge von Ransomware-Angriffen. Weitere Trends sind Haftungsfragen gegenüber Dritten, denn bei Cybervorfällen kommt es zu Datenschutzverletzungen, die zu Rechtsstreitigkeiten führen.
Auch die vorvertraglichen Herausforderungen wurden durch die beiden Experten diskutiert. Anzeigepflichtverletzungen, egal ob unbewusst oder bewusst, stellen ein großes Problem dar. Das gleiche gilt für Risikoneubewertungen bei Vertragsverlängerung.
Ausblick KMU – Skalierung durch Standardisierung im Cyberprodukt
Manuel Metz, Manager Cyber & Liability bei W.R. Berkley Deutschland, und Jonas Schwade, Geschäftsführer bei der cysmo Cyber Risk GmbH, diskutierten auf der Fachkonferenz die Herausforderungen und Chancen für KMUs in der Cyberversicherungslandschaft. Die zunehmende Komplexität der Cyberversicherungsprodukte ist für die Kundinnen und Kunden herausfordernd. Zudem leidet die Vergleichbarkeit der Policen unter der Heterogenität in der Produktlandschaft. Die Zielsetzung ist, Effizienz und Skalierbarkeit durch Direktabschlüsse ohne umfassende Underwriting-Prüfung zu steigern. Voraussetzung hierfür ist die Erfüllung von Mindeststandards auf Seite des Versicherungsnehmers und die Implementierung vereinfachter Risikoabfragen. Darüber hinaus sind die sich schnell ändernden IT-rechtlichen Anforderungen und Cybergefahren treibende Kräfte bei der Notwendigkeit einer regelmäßigen Erneuerung und Anpassung der bestehenden Versicherungspolicen. Die Experten betonten: „Die Kür besteht darin, den Spagat zwischen Risikoinformation und Aufwand zu schaffen.“
Einen Appell zu mehr Standardisierung gab es ebenfalls von Alexandra Wolff und Robin Wagner von der Marsh GmbH. Fehlende Standards im Antragsprozess, aber auch immer komplexer werdende Schäden und unterschiedliche Regulierungsverfahren stehen einem langlebigen Cyberprodukt im Weg. Eine Lösung des Problems sehen die beiden Experten in der Standardisierung von Fragebögen und Klauseln, wie zum Beispiel dem Kriegsausschluss.
Prävention in der Cyberversicherung
Für die Kundinnen und Kunden ist der Idealfall dann eingetreten, wenn die Cyberpolice nie in Anspruch genommen werden muss. Ein hohes Ziel, dem man durch präventive Maßnahmen näherkommt. Diese werden laut Gero Kretschmer, Produktmanagement Underwriting Cyber bei der HDI Versicherung AG, in der Regel zu spät getroffen. Die Zahlen zeigen, ein Viertel der Unternehmen erleidet Betriebsunterbrechung durch Cyberattacken, ein Fünftel beklagt den Verlust von Kundendaten. Oft nehmen die Kundinnen und Kunden erst nach dem Schadeneintritt Geld in die Hand, um die eigenen IT-Systeme besser zu schützen. Auch Kretschmer betonte die Schlüsselrolle der vorvertraglichen Anzeigepflichten, denn hier können bereits Schwachstellen identifiziert und das Risiko entsprechend erfasst werden.
Wie wichtig Prävention in Form von Aufklärung ist, zeigt der Umstand, dass 31 Prozent der Schäden ihren Auslöser im Faktor Mensch haben und das teils trotz Sensibilisierung. Die richtige und zum Kunden passende Prävention reduziert Kretschmer zufolge den Schaden um bis zu 25 Prozent. Zudem wissen die Betroffenen durch die richtige Prävention, was zu tun ist und können umgehend reagieren. Für die richtige Prävention sind drei Dinge zu beachten: Die Schulungen sollten praxisnah, einfach und bequem sein. Ein weiterer wichtiger Baustein ist ein individueller Notfallplan. Abgerundet wird das Präventions-Trio durch einen Security Check, um mögliche Schwachstellen zu erkennen und den Kunden sensibilisieren zu können. „Eine Cyberversicherung ohne präventive Maßnahmen ist keine Cyberversicherung“, so Kretschmer.
Und so sieht die Prävention bei der HDI aus: Zuerst erfolgt der Perseus Security Baseline Check. Darauf wird gemeinsam mit einem IT-Dienstleister der Fragebogen ausgefüllt und der Security Check ausgewertet. Final folg ein Report mit einer Bewertung des individuellen Cybersicherheitsniveaus. Die jeweilige Police ist wie ein Abo, das jedes Jahr nach erfolgreichem Security Check aktualisiert wird. Der Security Baseline Check ist dem Experten nach ein Erfolg, da für den Kunden das Risiko sichtbar wird und dieser mit einem Cyberexperten das individuelle Cyberrisiko besprechen kann. Das Besondere am Cyberprodukt der HDI: Wenn der Kunde den Security Baseline Check erfolgreich abschließt, verzichtet HDI auf die Risikofragen bei Unternehmen bis fünf Millionen Euro Jahresumsatz. Das gilt für fast alle Branchen. Produzierendes Gewerbe und IT-Dienstleister benötigen einen intensiveren Risikocheck.
Künstliche Intelligenz: Gleiches mit Gleichem bekämpfen
Zum Schluss stellt sich noch die Frage, wo künstliche Intelligenz die Gefahrenlage neu bestimmt. Auch hier gaben die Expertinnen und Experten Einschätzungen ab, blickten in Summe jedoch eher gelassen auf die Entwicklungen. Auch wenn natürlich die Risiken durch neue Technologien neu definiert werden, können eben diese Technologien zur Gefahrenidentifikation und Gefahrenabwehr herangezogen werden.
Durch den Einsatz von KI werden die Phishing-Kampagnen gezielter ausgeführt. Auch automatisierte Schwachstellenanalysen sind zu beobachten, so Julia Nebe von der Baloise Sachversicherung AG: „Wir sollten wieder anfangen, nach Fehlern zu suchen, denn die KIs machen keine“, betonte die Expertin. Zukünftige Herausforderungen sieht Nebe in der Quantentechnologie, der biometrischen Datenmanipulation (Gesichtsscans) oder den Angriffen auf kritische Infrastrukturen.
Die Problematik von Deep Fakes wurden in der Podiumsdiskussion thematisiert und anhand eines Beispiels von die Bayerische verbildlicht: Bild und Stimme von Vorstand Martin Gräfer wurden per KI simuliert. Das Ergebnis war vom Original aus Fleisch und Blut kaum zu unterscheiden. Das Beispiel zeigte sehr deutlich, welche Potenziale und damit auch Gefahren in KI stecken.
Der Beitrag gibt nur einen kleinen Einblick in die Themen der Diskussionen und Impulse. Wer mehr zum Thema erfahren möchte und den Austausch mit Kolleginnen und Kollegen aus dem Cyberbereich sucht, sollte sich den 28./29. Januar 2025 vormerken. Dann geht der Austausch zu „Cyber-Versicherung in der Praxis – Von Produktentwicklung über Underwriting bis Schadenmanagement“ weiter.
