Cyber-Risikomanagement

Das Risiko von "Silent Cyber"


Versicherungsmarkt 2019: Das Risiko von "Silent Cyber" Study

Für 2019 steht die industrielle Sachversicherung besonders im Fokus, so das Ergebnis des diesjährigen Versicherungsmarktreport des globalen Versicherungsmaklers Marsh. So war die versicherungsnehmende Wirtschaft im vergangenen Jahr mit einem sehr uneinheitlichen Vorgehen der Sachversicherer konfrontiert.

Deren Ergebnisse sind seit Jahren schlecht, und es ist davon auszugehen, dass der Sanierungsdruck weiter zunehmen wird, so die Prognose der Versicherungsexperten. Viele langfristig abgeschlossene Verträge stehen zur Vertragsverlängerung am 1.1.2020 an. Die versicherungstechnische Qualität und damit die Qualität des Risikomanagements der zu versichernden Unternehmen wird eine entscheidende Rolle dabei spielen, den zu erwartenden Forderungen der Versicherer erfolgreich entgegenzuwirken, so die Marsh-Experten in ihrem Report.

Höhere Schadenbelastung als im Durchschnitt

Das Jahr 2018 war hinsichtlich der eingetretenen Schäden weltweit ein Jahr, dessen Schadenbelastung höher als im langfristigen Durchschnitt ausfiel – jedoch weit hinter den Belastungen des Jahres 2017 zurückblieb. Die Naturkatastrophen ereigneten sich mehrheitlich in den USA und in Asien: "Hervorzuheben sind hier die verheerenden Waldbrände in Kalifornien sowie Wirbelstürme in den USA und Japan, die sich insbesondere durch den sehr hohen Anteil versicherter Schäden auszeichneten."

In Europa entstanden 2018 die maßgeblichen Schäden durch Wassermangel und damit verbundenen Ernteausfällen, Waldbränden und Niedrigwasser der Flüsse, so die Autoren weiter. Der bei diesen Ereignissen eingetretene finanzielle Schaden war nur zu einem Bruchteil versichert.

Innerhalb Deutschlands und in einigen Nachbarstaaten verursachte der Sturm Friederike im Januar versicherte Schäden in Höhe von ca. 1,7 Mrd. Euro. Die Autoren weiter: "Auch der Sturm Burglind hat 2018 Spuren in Deutschland hinterlassen und wegen der hohen Versicherungsdichte die Sachversicherer gefordert. In der Feuerversicherung war das Schadenjahr 2018 in Deutschland – bis auf wenige Großschadenereignisse wie der Explosion in einer Raffinerie in Bayern – von vielen Schäden kleinerer und mittlerer Größe geprägt."

Dies führte bei diversen in Deutschland engagierten Industrieversicherern erneut zu roten Zahlen. Aufgrund des Ungleichgewichts von Versicherungsprämie und Schadenszahlungen in der industriellen Sachversicherung sahen sich diverse Versicherer gezwungen, in den vergangenen Monate höhere beziehungsweise risikoadäquate Versicherungsprämien zu fordern.

"Sofern diese Forderungen moderat ausfielen, wurden sie mehrheitlich akzeptiert, ansonsten führten Marktausschreibungen zu Versichererwechseln", so die Marsh-Experten. Für einzelne Branchen wie Grundstoffchemie oder Lebensmittel und für Unternehmen, bei denen die Risiken nicht optimal geschützt sind bzw. die Schadenquote auffällig ist, konnten erhebliche Prämienerhöhungen nicht verhindert werden, so die dokumentierten Ergebnisse im Versicherungsmarktreport.

Weiterhin hohe Kapazitäten verfügbar

Auf der anderen Seite sind auch im Jahr 2019 weiterhin hohe Kapazitäten für die Mehrzahl der Risiken verfügbar. Die Marsh-Experten weisen im Report allerdings auch darauf hin, dass einige Versicherer ihre Engagements je Versicherungsvertrag reduzieren. Wegen der seit Jahren anhaltend guten Konjunktur ist bei den Unternehmen der Bedarf an höheren Kapazitäten gestiegen. In Einzelfällen reichen die in Deutschland verfügbaren Kapazitäten dafür nicht mehr aus und es müssen internationale Märkte hinzugezogen werden, so die Versicherungsexperten weiter.

Insgesamt geht Marsh davon aus, dass der Sanierungsdruck der Versicherer – aufgrund der schlechten Schadensquoten in der industriellen Sachversicherung – zunehmen wird. Vor diesem Hintergrund steigt die Relevanz eines funktionierend und präventiven Risikomanagements für die Unternehmen. Denn ein wirksames und präventives Risikomanagement setzt an den Ursachen für mögliche Risikoeintritte an und reduziert damit die Häufigkeit von Schadensszenarien sowie die Wirkungen. Eine Versicherung hingegen kann immer nur einen Teil der "finanziellen Schmerzen" nach einem Risikoeintritt ein wenig reduzieren.

Vermögensschäden aus Versagen der Software

Die Digitalisierung hat tief und flächendeckend alle Wirtschaftszweige durchdrungen, so die Autoren. Mit der wachsenden Abhängigkeit von der IT und fortschreitender digitaler Vernetzung entstehen trivialerweise auch neue und veränderte Risikobilder: "So bieten Hersteller von Erzeugnissen aller industriellen Branchen inzwischen Software- und IT-Dienstleitungen sowohl für eigene als auch für fremde Produkte, beispielsweise Maschinen, an." Diese können zu Vermögensschäden, etwa durch den Ausfall der Nutzung von Erzeugnissen, Datenverluste oder Betriebsstillstand und der sich daraus ergebenden Ertragsausfälle, ihrer Kunden führen. Die Marsh-Experten weisen in ihrem Bericht darauf hin, dass in der Folge die Existenz der Unternehmen gefährdet sein kann, da reine Vermögensschäden aufgrund von Mängeln am gelieferten Produkt (beispielsweise) Software) in der Betriebs- und Produkthaftpflichtversicherung grundsätzlich ausgeschlossen sind.

Die Versicherungsexperten weisen darauf hin, dass es sich bei den Vermögensschäden nach einem Ausfall im Wesentlichen um fortlaufende personelle und sachliche Kosten, Mehrkosten und entgangenen Gewinn handelt. Der Versicherungsmarkt hat dem Bedürfnis nach finanzieller Absicherung dieses Risikos nur teilweise Rechnung getragen und bietet sogenannte Nutzungsausfalldeckungen insbesondere für Maschinenhersteller an.

Herausforderung Cyber-Risikomanagement

Das Thema Cyberrisiken ist eines der großen Themen unserer Zeit. Daher fehlt es auch nicht im diesjährigen Versicherungsmarktreport. Sowohl die Anzahl der durch Cyber-Risiken verursachten Schäden nimmt weiter zu als auch das Schadensausmaß nach einem Risikoeintritt. Die Versicherungsprämien in der Cyber-Versicherung entwickeln sich stabil bis leicht steigend. Die Autoren weisen darauf hin, dass vereinzelt Versicherer damit beginnen, Prämien zu erhöhen. Dies sind vor allem die Versicherer, die bereits früh mit einer Cyber-Versicherung in den Markt eingestiegen sind. Ein Grund liegt sicherlich in den gesammelten Erfahrungen mit dem Schadensverlauf.

Auch die Kapazitäten, die Versicherer auf einzelne Risiken zeichnen, sind im letzten Jahr aufgrund von wachsenden Portfolios sowie ansteigenden Schadenzahlungen weiter zurückgegangen.
Die aus einem Cyberrisiko resultierenden Schäden sind äußerst heterogen. Nicht selten treten mehrere Schadenszenarien parallel und gleichzeitig auf. Die Autoren weisen darauf hin, dass sehr häufig der Ertragsausfall aus der Betriebsunterbrechung eine zentrale Rolle spielt. Oft sind auch Lösegeldforderungen zu begleichen.

Der Versicherungsreport führt einige große Cyber-Vorfälle aus dem Jahr 2018 beispielhaft auf:

  • Fluggesellschaft: rund 400.000 Kreditkarteninformationen wurden gehackt
  • Sportausrüster: Daten von ca. 150 Mio. Kunden und Nutzern der Fitness-App wurden erbeutet
  • Hotel-Konzern: Diebstahl der Daten von ca. 500 Mio. Hotelgästen
  • Maschinenbauunternehmen: Verschlüsselung von Systemen, Betriebsunterbrechung und Erpressung

Das Risiko von "Silent Cyber"

Hinter Cyber verbergen sich Risiken, die weder von den Kunden noch von der versicherungsgebenden Industrie bisher ausreichend erfasst beziehungsweise eingeschätzt wurden, so die Bewertung der Cyberrisiko-Experten von Marsh. "Dieser Umstand führt dazu, dass in Versicherungspolicen regelmäßig Cyber-Risiken nicht erwähnt werden oder nicht explizit ein- oder ausgeschlossen sind. Das führt wiederum zu einer unbekannten Exponierung der Portfolien unterschiedlicher Sparten", so die Versicherungsexperten weiter. Dieses Phänomen wird mit dem Begriff "Silent Cyber" beschrieben. Es nach Einschätzung der Experten schwer abzuschätzen, welche Risiken im Detail betroffen sind.

Insgesamt muss es darum gehen, die einzelnen Komponenten des "Silent Cyber"-Risikos transparent zu machen und eine ganzheitliche Risikoanalyse in den Vordergrund zu stellen. Womit wir wieder beim Thema Risikomanagement angekommen sind. Die Marsh-Experten fordern daher, dass Unternehmen im Cyber-Risikomanagement genauso professionell und rational agieren, wie es die Angreifer tun. Anstatt sich zurückzulehnen oder Aktionismus zu betreiben, gilt es, präzise das eigene Cyber-Risiko zu identifizieren, die Ursachen sauber zu analysieren sowie die Auswirkungen quantitativ zu bewerten.

Im Zusammenhang mit der europäischen Datenschutz-Grundverordnung (DSGVO) sind die Autoren des Versicherungsmarktreports davon überzeugt, dass nach Ende der zweijährigen Übergangsfrist die Datenschutzbehörden immer weniger Nachsicht zeigen werden und die Bußgelder bei einem DSGVO-Verstoß steigen werden.

[ Source of cover photo: Adobe Stock ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.