Silent Cyber – Neue Risiken für alte Policen
… 37, 38, 39 … und schon wieder hat ein Cyberkrimineller zugeschlagen. Weltweit passiert das alle 39 Sekunden und damit 2.244 Mal am Tag. Durch die zunehmende Vernetzung werden Zahl und Schadenausmaß von Cyber-Angriffen weiter zunehmen.
Immer stärker sind auch Lieferketten und Unternehmen betroffen, die eine hohe wirtschaftliche und gesellschaftliche Relevanz haben. Beispielsweise hatten es Hacker im Mai dieses Jahres auf die Systeme des US-Benzinlieferanten Colonial Pipeline abgesehen, zeitweise war dadurch die Benzinversorgung an der gesamten US-Ostküste eingeschränkt. Ein Lösegeld von 5 Millionen US-Dollar wurde für den Code zur Entschlüsselung der gekaperten Daten aufgerufen.
Besonders „prominent“ waren auch die Malware-Angriffe WannaCry und Petya/NotPetya im Jahr 2017: WannaCry traf zunächst das englische Gesundheitssystems (NHS National Health Service), wo Dutzende Krankenhäuser betroffen waren, verbreitete sich rasend schnell über sechs Kontinente hinweg und infizierte schätzungsweise 75.000 Maschinen. Petya legte zahlreiche Werke des Nivea-Herstellers Beiersdorf lahm, sorgte dafür, dass bei der dänischen Reederei Maersk Container nicht entladen werden und in der Atomruine in Tschernobyl Strahlung nicht mehr gemessen werden konnten. Entstanden sind weltweit schätzungsweise 3,3 Milliarden US-Dollar an wirtschaftlichen Schäden. Das US-amerikanischen Analyseunternehmen für Versicherungsschäden, PCS, ging davon aus, dass knapp 90 Prozent des durch Petya/NotPetya verursachten industriellen Schadens in die Kategorie der sogenannten „Silent Cyber“-Risiken fallen. Silent deshalb, weil Cyberrisiken durch konventionelle Sach- oder Haftpflichtpolicen gedeckt sein könnten, ohne dass der Versicherer darauf eingestellt oder sich bewusst ist, ein solches Risiko eingegangen zu sein. Diese Risiken gab es zum Zeitpunkt der Produktkonzeption schlichtweg noch nicht, fallen möglicherweise aber heute mit in die Deckungsdefinition. Es ist davon auszugehen, dass fast jeder konventionelle Versicherungsvertrag gegenüber Cyberrisiken exponiert ist und diese Risiken auch in Deckungen mit sogenannten „benannten Gefahren“ schlummern – ein Risiko, das auch die Aufsicht beschäftigt.
2019 erklärte daher die BaFin die „Prüfung von ‘versteckten‘ (sog. non-affirmative) Cyber Risiken in Versicherungspolicen“ zu einem Schwerpunktthema. Die britische Prudential Regulation Authority (PRA) veröffentlichte im Januar 2019 ein Schreiben an die Vorstandsvorsitzenden britischer Versicherer und kommentierte darin die Ergebnisse einer Umfrage zu versteckten Cyber-Risiken. Ergebnis: Nur die fortschrittlichsten Unternehmen führen detaillierte Analysen für alle Produkte durch, indem sie Underwriting-, Risiko-, Schaden-, IT- und versicherungsmathematische Abteilungen zusammenbringen.
Es besteht also noch deutlicher Handlungsbedarf, (stille) Cyber-Risiken und Kumulgefahren in den bestehenden Produkten systematisch zu identifizieren, zu analysieren, umfassend zu quantifizieren und im Underwriting-Prozess zu berücksichtigen, was vor dem Hintergrund der schwer zu prognostizierenden wirtschaftlichen und gesellschaftlichen Folgen eine besondere Herausforderung ist. Mängel in der IT-Sicherheit, das exponentielle Wachstum des Datenbestands und nicht zuletzt die zunehmende Internet-Konnektivität erhöhen die Bedrohungslage. Gerade der letzte Punkt, insbesondere die steigende Vernetzung und Autonomie physischer Geräte schafft ganz neue Risiken, die Versicherer vermutlich noch gar nicht so sehr auf dem Schirm haben, aber gravierende Schäden nach sich ziehen können. Dadurch dass physische Geräte und Maschinen immer häufiger computergesteuert und vernetzt sind, werden aus Cyberrisiken physische Risiken. Die Veränderung der Risikolandschaft wird sich früher oder später auch in der Versicherungspraxis wiederspiegeln, vielleicht beginnend mit neuartigen Schadenvorkommnissen, gefolgt von neuen Produkten und Kooperationen. In einer gemeinsamen Studie mit unserem Partnerunternehmen ti&m beleuchten wir anhand vier verschiedenen Anwendungsfeldern die veränderte Risikolage und deren Folgen für die Versicherungswirtschaft. Einige erste Insights können Sie in unserer Podcast-Folge zur Studie nachhören.