Swiss-Re-Studie

Neue Ära der Cyberrisiken erfordert neuen Versicherungsansatz

11.11.2022
Wie eine Studie des Swiss Re Instituts zeigt, erfordern Cyberrisiken einen neuen Versicherungsansatz, weil sie sich ständig weiterentwickeln.
Cyberversicherung müssen sich an die Entwicklung der Cyberrisiken anpassen.
Foto: New Africa - shutterstock.com

Cyberrisiken entwickeln sich rasant, und Cyberangriffe werden immer schwerwiegender und raffinierter. Hacker nutzen inzwischen dreifache Erpressung (Triple Extortion), und Ransomware-as-a-Service hat die Einstiegshürden für Cyberkriminelle gesenkt.

Darüber hinaus hat die zunehmende Digitalisierung kritischer Infrastrukturen diese anfälliger für Cyberbedrohungen gemacht - mit potenziell schwerwiegenden Auswirkungen, wenn ein Cyberangriff über einen längeren Zeitraum die Bereitstellung von sauberem Wasser, Energie oder Internetdiensten unterbricht. Diese neue Risikoära erfordert einen neuen Ansatz für die Cyberversicherung, wie eine neue Studie des Swiss Re Institute nahelegt.

Jérôme Haegeli, Group Chief Economist von Swiss Re erklärt dazu: "Mit der Zunahme von Cyberangriffen steigt auch das Bewusstsein für das damit verbundene Risiko - und damit die Nachfrage nach Cyberversicherung. Aufgrund der hohen Unsicherheit bezüglich der zu erwartenden Schäden und der Tatsache, dass sich das Risiko stets weiterentwickelt, ist es jedoch nur begrenzt versicherbar. Dies wiederum schränkt die Marktkapazität ein, was zu einer Deckungslücke von rund 90 Prozent führt."

Effizienter Umgang mit Cyberrisiken

In der Studie werden drei Bereiche genannt, in denen die Rück-/Versicherungsbranche zu einem effizienteren Umgang mit Cyberrisiken beitragen und die Versicherbarkeit erhöhen kann: mehr Einheitlichkeit und Eindeutigkeit in den Verträgen, die Verwendung standardisierter Daten und besserer Modelle sowie die Erschliessung neuer Kapitalquellen.

Entscheidend ist, das Risiko besser zu verstehen. So kann das Gesamtrisiko verringert und die Gesellschaft widerstandsfähiger gegen Cyberangriffe mit verheerenden und potenziell systemischen Folgen gemacht werden. Aufgrund ihrer hohen Vernetzung und weil Cyberrisiken von Menschen ausgehen, entwickelt sich das Risiko ständig weiter, was eine koordinierte Herangehensweise erforderlich macht. Die Verbesserung der Cyberresilienz setzt die Zusammenarbeit zwischen Unternehmen, Versicherern und Regierungen voraus.

John Coletti, Head Cyber Reinsurance von Swiss Re kommentiert: "Der Cyber-Versicherungsmarkt hat ein enormes Wachstumspotenzial. Allerdings muss sich der Markt noch weiterentwickeln, damit ausreichend Versicherungsschutz zur Verfügung steht. Unsere Branche spielt dabei eine Schlüsselrolle, indem sie drei Themen in Angriff nimmt: die Verbesserung der Datenlage und Modellierung, die Steigerung der Einheitlichkeit und Eindeutigkeit der Verträge und die Erschliessung neuer Kapitalquellen."

Die wichtigsten Studienergebnisse

Die wichtigsten Erkenntnisse aus der Publikation des Swiss Re Instituts zum Cyber-Versicherungsmarkt sind:

Die zunehmende Häufigkeit und Schwere von Cyberangriffen ist einer der Haupttreiber für das Wachstum des Cyberversicherungsmarktes. Die weltweiten Cyberversicherungsprämien erreichten 2021 schätzungsweise 10 Milliarden Dollar. Das Swiss Re Institute prognostiziert ein jährliches Wachstum von 20 Prozent bis 2025, wobei die Gesamtprämien auf 23 Milliarden Dollar steigen werden.

Der Markt hat ein erhebliches Wachstumspotenzial über diese Prognosen hinaus. Angesichts der geschätzten jährlichen weltweiten Cyberschäden in Höhe von rund 945 Millarden Dollar sind etwa 90 Prozent des Risikos nicht versichert.

Eingeschränkte Versicherbarkeit

Trotz des schnellen Wachstums machen die Prämien nach wie vor nur einen Bruchteil der jährlichen Verluste aus. Dies liegt an der eingeschränkten Versicherbarkeit: Systemische Schäden könnten die Rück-/Versicherer überfordern, Cyberschäden werden in erster Linie von Menschen verursacht und treten daher nicht zufällig oder versehentlich auf, und das Risiko ist aufgrund von Daten- und Modellierungsbeschränkungen schwer zu quantifizieren.

Auch das Kumulierungsrisiko stellt eine Herausforderung dar. Aufgrund der Verflechtung der Wirtschaft kann ein einziger Cyberangriff weitreichende Auswirkungen haben und potenziell das gesamte Portfolio eines Rück-/Versicherers betreffen. Die begrenzte Versicherbarkeit schränkt die Kapazität trotz steigender Nachfrage ein und stellt die Nachhaltigkeit des Marktes in Frage.

Verbesserungsmaßnahmen

Um die Versicherbarkeit zu verbessern und einen nachhaltigen Markt zu schaffen, schlägt das Swiss Re Institute drei zentrale Massnahmen vor:

1. Datenstandardisierung und Modelloptimierung: Cyberrisiken sind schwer zu quantifizieren, da es an standardisierten Daten mangelt und die Modellierbarkeit in einem sich stetig verändernden Risikoumfeld eingeschränkt ist. Künftige Risiken werden in der Regel auf der Grundlage rückblickender Daten abgeleitet; ein Ansatz, der im Zusammenhang mit Cyberrisiken aus zwei Gründen begrenzt ist: Zum einen fehlen standardisierte Daten, zum anderen sind rückblickende Informationen in einem sich schnell verändernden Risikoumfeld nur bedingt nützlich. Die Einführung von Sicherheitsstandards im Cyber-Bereich dürfte den Umfang und die Transparenz der verfügbaren Daten verbessern, um aussagekräftige Risikoerkenntnisse sowie eine genauere Preisgestaltung und Modellierung zu ermöglichen. Die Rück-/Versicherer müssen zudem in Cyber-Talente investieren, um die versicherungsmathematischen und technischen Fähigkeiten zu stärken, die für die forensische Analyse benötigt werden, die Teil der Underwriting- und Schadenmanagementzyklen sind.

2. Eindeutige und einheitliche Formulierung von Versicherungspolicen: Der noch junge Cyber-Versicherungsmarkt und die Komplexität des Risikos spiegeln sich in einer mangelnden Standardisierung von Ausschlussklauseln und Versicherungsbedingungen wider. Die Ungewissheit bezüglich der Verantwortlichkeiten im Falle einer Cyber-Katastrophe ist nach wie vor ein Hindernis für die Entstehung zusätzlicher Kapazitäten in der Branche. Zwar wurden bereits erste Schritte unternommen, um einige dieser Probleme zu lösen, aber Faktoren wie die Zuordnung von Cyberereignissen bleiben ein Kernproblem. Die Klärung der Zuständigkeiten, die Verbesserung des Risikoverständnisses und Bemühungen zur Risikominderung können zur Eindeutigkeit und Einheitlichkeit der Verträge und damit zu mehr Cyberkapazität beitragen.

3. Erschliessung neuer Kapitalquellen: Die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor ist der Schlüssel zur Eindämmung von Cyberbedrohungen für kritische Infrastrukturen. Ein Versicherungssystem im Rahmen einer öffentlich-privaten Partnerschaft (PPP), bei der die Deckung systemischer Risiken zwischen Versicherern und einem staatlich gestützten Fonds aufgeteilt wird, ist eine Möglichkeit, einen Teil der Schutzlücke zu schliessen. Eine andere Möglichkeit wäre die Erschliessung des Marktes für Insurance-linked Securities. (dpa/jm)