+41 44 368 35 35 hello@consor.ch

Cyberversicherung – Neue Sicht auf Kumulrisiken?

Mai 2017: Zehntausende Computer von Unternehmen, Behörden und Verbrauchern werden durch eine weltweite Cyber-Attacke lahmgelegt. Britische Spitäler mussten Patienten verlegen. In Deutschland erwischte es die Deutschen Bahn. Im Sommer wurde die weltgrösste Schifffahrtsgesellschaft Moeller Maersk von einer anderen Cyber-Attacke getroffen und konnte keine Aufträge entgegennehmen. Solche Meldungen gehören mittlerweile zur Tagesordnung.

Die Universität Berlin zeigte im Rahmen einer Sicherheitskonferenz wie einfach es ist, in Firmennetze einzudringen, um eigene Kommandos an die Steuergeräte der Produktionsmaschinen weiterzugeben und so ganze Fabriken zu manipulieren. Bereits heute sind unzählige Sensoren in Produktionsmaschinen, in Autos, Sicherheitskameras oder Hausrat integriert. Laut Gartner wird es bis Ende 2020 rund 26 Milliarden vernetzte Endgeräte geben.

Versicherungen beschäftigen sich bereits seit einigen Jahren mit diesem Thema. Gemäss einer Studie der KPMG entwickelt sich Cyber mit einem jährlichen Prämienvolumen von bis zu 26 Mrd. Euro zur grössten Versicherungssparte im Schaden-/ Unfallgeschäft in Deutschland, Österreich und der Schweiz. Im Vergleich dazu betragen die Bruttobeitragseinnahmen des deutschen Kfz-Marktes ca. 25 Mrd Euro.

Ist Cyber für die Versicherungswirtschaft tatsächlich ein interessanter Markt und besteht hier ein grosses Geschäftspotenzial oder sind es die komplexen Risikothemen, die zu einer Zurückhaltung führen könnten? Die Antwort wird uns die Zeit geben. Heute interessiert uns vielmehr die Frage, was hinter Cyber steht und welche Herausforderungen zu meistern sind.

Eine einheitliche Definition, die allgemein akzeptiert ist, existiert nicht. Eine Antwort auf diese Frage  erhält man, wenn die versicherten Risiken aus den Policen betrachtet werden. Zum Deckungs- und Leistungsumfang der Policen gehören beispielsweise:

  • Beschädigung von Daten,
  • Diebstahl von Daten,
  • unerlaubte Veröffentlichung von Daten,
  • Mithilfe bei der Datenwiederherstellung,
  • Betriebsunterbrechung,
  • PR- und Krisenkommunikation,
  • Benachrichtigung von Kunden, Dienstleistern und weiteren Betroffenen,
  • Kostenerstattung bei der Ursachensuche, also Kosten für IT-forensische Untersuchungen durch IT-Security-Spezialisten,
  • Datenrechtsverletzungen,
  • resultierende Haftpflichtansprüche,
  • Kosten für Rechtsstreitigkeiten,
  • Hilfe bzw. Schadenersatz bei einem Fehlverhalten von Mitarbeitern oder bei einer Verletzung von Betriebsgeheimnissen,
  • Erstattung der Kosten bei einer Cyber-Erpressung,
  • Cloud- Ausfall.

 

Der Versicherungsmakler Dr. Sven Erichsen von der Erichsen GmbH in Essen definiert die Cyberversicherung wie folgt:

Cyber-Versicherung beschäftigt sich mit den Folgen der unbefugten Nutzung von IT-Systemen oder eines Datenschutzvorfalles, beispielsweise bei

  • rechtswidriger Aneignung und dem Missbrauch von Daten,
  • dem Eindringen in technische Systeme zur Verarbeitung oder Übertragung von Informationen und deren schadenstiftenden Beeinflussung,
  • den Folgen der Aneignung fremder Identitäten,
  • Fällen von Mobbing und Reputationsschädigung von natürlichen und juristischen Personen in der digitalen Welt,
  • Bedienungsfehlern.

 

Die Liste der versicherbaren Gefahren liesse sich noch um weitere Deckungsmöglichkeiten ergänzen. Jede Branche hat aber unterschiedliche Schwerpunkte, an die man die Versicherungslösungen anpassen müsse. Deshalb kann nicht mit einer fertigen Standardlösung auf die Kunden zugegangen werden. So hätten produzierende Unternehmen in der Regel einen grösseren Versicherungsbedarf im Bereich der Betriebsunterbrechung. Arbeitet der Kunde jedoch mehr mit Daten Dritter, wie zum Beispiel Krankenhäuser, Kaufhäuser, Onlineshops oder Hotels, so liegt meistens der Fokus auf den Umgang mit den personenbezogenen Daten (z.B. Kreditkartenklau von Kassensystemen).

Eine Herausforderung besteht deshalb darin, gemeinsam mit den Kunden jene passgenauen, individuellen Bausteine herauszunehmen und diese massgeschneidert zusammenzustellen, die der Kunde tatsächlich für seinen Betrieb benötigt.

Aus der obigen Definition ergeben sich drei wesentliche, sich teilweise überlappende Ausprägungen von Cyber-Risiken:

  1. IT-gesteuerte Prozesse können gestört oder zum Stillstand gebracht werden.
  2. Die in rasant zunehmendem Masse gespeicherten Daten können gestohlen und rechtswidrig eingesetzt werden.
  3. Cyber-Attacken können gleichzeitig mehrere Unternehmen unabhängig der geografischen Lage treffen.

 

Diese Ausprägungen, die gleichzeitig stattfinden können, führen zu einer weiteren Herausforderung, nämlich der spartenübergreifenden Risikobetrachtung für ein spezifisches Unternehmen. Diese Risikobetrachtung hat im Zusammenhang mit dem kumulierten Zusammenspiel der einzelnen Ausprägungen und gleichzeitig der einzelnen Bereiche zu erfolgen. Diese sind beispielsweise gemeinsam genutzte Systeme, gemeinsam genutzte Software, Outsourcing von Teilbereichen, involvierte Personen, Prozesse, involvierte Bereiche wie Personalwesen, Produktion, Logistik, Einkauf oder externe Bereiche wie Cloud-Provider oder Partner aus dem Supply Chain.

Christoph Guntersweiler, Leiter Technische Versicherungen bei der Helvetia Schweiz, sieht Cyberrisiken als „mutierende Risiken“:

          „Die Risiken verändern sich laufend. Dementsprechend muss auch laufend eine Neubeurteilung im Riskmanagement  stattfinden.“

 

Um nur ein einfaches Beispiel zu nennen: in fast jeder Maschinensteuerung findet man einen USB-Slot um damit mit entsprechenden Geräten direkt auf die Maschinensteuerung zugreifen zu können. Auch wenn damit in einem spezifischen Vorgang bewusst keine Daten übermittelt werden sollen sondern nur der Akku eines Smartphones aufgeladen werden soll  – bereits beim Einstecken entsteht ein Connect der allenfalls zu einem Sicherheitsrisiko führen kann. Insbesondere dann, wenn auf dem Smartphone eine Malware installiert ist, welche diesen Connect ausnutzt und in das Steuerungssystem eindringt (teilweise in Unkenntnis des Smartphone-Besitzers). Das Konzept solcher offenen Systeme hinterlässt Sicherheitslücken und zwingt die Unternehmen zu einem Umdenken; sie müssen, ob sie wollen oder nicht, den Zugang zu ihren Systemen stark einschränken. Die Industrie muss lernen, ihre intelligenten und vernetzten Geräte besser zu schützen.

 

Fragen an Christoph Guntersweiler:

Wie sieht es mit der Kumulbetrachtung aus? Haben wir es hier nicht mit branchenübergreifenden Kumulrisiken zu tun, die im Vergleich zu den anderen Versicherungsprodukten eine neue Dimension darstellen?

Christoph Guntersweiler: „Ja, das ist richtig. Nehmen wir das Beispiel eines Cloud- oder Rechenzentrumbetreibers. Hier kann ein Schadensereignis mehrere Betriebe gleichzeitig treffen, weil diese z.B. auf Grund eines Cloud-Ausfalls einen Betriebsunterbruch haben. . Oder nehmen wir das Beispiel der Ransomware: wenn diese (wie letzten Sommer gesehen) über einen infizierten Software-Update grossflächig verteilt wird und dadurch ein „einzelnes“ Ereignis gleichzeitig unabhängig der Geografie das gesamte Cyber-Portfolio triftt.“

Wie sollten die Versicherungen dieses Thema mit ihren Kunden angehen?

Christoph Guntersweiler: „Wichtig ist nach unserer Auffassung, dass die Kunden sich technisch und organisatorisch entsprechend aufstellen. Die Versicherungslösung selber kann nur eine Ergänzung zu den technischen und organisatorischen Massnahmen sein. Eine Versicherung sollte, auch in Abstimmung und Zusammenarbeit mit entsprechenden IT-Security-Unternehmen, einen minimalen, konkreten Security-Standard voraussetzen. Wir sind überzeugt, dass dieses Zusammenspiel aller Beteiligten zu den besten Ergebnissen für den Kunden führen wird.“

Christoph Guntersweiler, besten Dank für das Gespräch.