Volle Klarheit für Silent Cyber

Read in English Lire en français
Hacker übernehmen die Kontrolle eines Transportsystems und lassen einen Zug entgleisen. Schadsoftware manipuliert ein GPS-basiertes Navigationssystem und steuert ein Schiff gegen eine Brücke. Durch Cyberrisiken können  im Handumdrehen Sach- oder Personenschäden entstehen. Sogenannte „Silent Cyber“-Exponierungen in konventionellen Schaden-/Unfallversicherungen sorgen daher bei Kunden, Maklern und Versicherern gleichermaßen für Unbehagen. Die Allianz ist einer der ersten Versicherer, der im Underwriting neue Wege geht, um Cyberrisiken zu präzisieren.

Es war nur ein kleiner Vorgeschmack davon, was ein globaler „Cyber-Tsunami“ anrichten könnte, und doch hatten viele Unternehmen in aller Welt unter desaströsen Auswirkungen zu leiden.

Im Jahre 2017 erlitten Unternehmen durch die globalen Cyberattacken Petya, NotPetya, WannaCry und erhebliche Verluste – allein die versicherten Schäden werden auf 3,3 Mrd. US-Dollar geschätzt. Global aufgestellte Mischkonzerne wie Merck und Maersk hatten bei diesem Angriff mit schweren System- und Betriebsstörungen zu kämpfen. Mit Abstand am schlimmsten traf es den Pharmariesen Merck: Laut Medienberichten entstand Merck ein von einer Cyberpolice gedeckter Schaden in Höhe von 2 Mrd. US-Dollar entstanden ist; die Verluste für das große Logistikunternehmen Maersk überstiegen 300 Mio. US-Dollar.1

Laut PCS, einem US-amerikanischen Analyseunternehmen für Versicherungsschäden, geht man davon aus, dass knapp 90 % des gesamtem durch Petya und NotPetya verursachten industriellen Schadens auf sogenannte „Silent Cyber“-Risiken zurückzuführen waren. Dabei handelt es sich um potenzielle Schäden aus Cybergefahren, die sich aus konventionellen Sach- und Haftpflichtversicherungen ergeben, welche nicht speziell für die Deckung dieser Risiken konzipiert wurden. Diese Vorfälle zeigen, dass neben einer dedizierten Cyberversicherung eine Vielzahl von anderen Sparten von Cyber-Schadensereignissen betroffen sein können, etwa die Bereiche Sachversicherung, Betriebsunterbrechung, Errors & Omissions, oder Kidap & Ransom.

„Die Angriffe durch WannaCry und NotPetya im Jahr 2017 zeigten eindrücklich, dass Cybervorfälle in allen Geschäftsbereichen Schäden verursachen können und lenkten noch mehr Aufmerksamkeit auf Cyberrisiken in konventionellen Schaden-/Unfallversicherungen”, erklärt Emy Donavan, Global Head of Cyber and Tech PI bei der AGCS.

In den letzten Jahren haben sich Cyberrisiken zu einem Mainstream-Risiko entwickelt. Im Allianz Risk Barometer  stiegen Cybergefahren über die letzten acht Jahre stetig auf und stehen 2019 erstmals ans der Spitze als wichtigstes globales Geschäftsrisiko. Cybervorfälle können nicht nur umfassende finanzielle Verluste oder Geschäftsschäden zur Folge haben, sondern möglicherweise auch Sach- und Personenschäden, Betriebsunterbrechungen oder Produktrückrufe. Selbst lebensbedrohliche Konsequenzen sind nicht auszuschließen.

„Cyberrisiken wandeln sich ständig und rasant. Die Hackerangriffe werden immer raffinierter, zielgenauer und weitreichender“, beobachtet Donavan.

Unternehmen sind immer öfter „groß angelegten, mithilfe hochmoderner Angriffstools in mehrere Richtungen wirkenden Mega-Attacken” ausgesetzt, die den IT-Sicherheitssystemen der betroffenen Firmen nicht selten einen Schritt voraus sind.2 Neben der Cyberkriminalität führen allerdings oft auch technische Störungen, IT-Pannen oder menschliches Versagen zu massiven Systemausfällen oder Datenverlusten.

Es sind vielfältige Cyberschadenszenarien denkbar: So könnte man sich zum Beispiel einen Hackerangriff auf ein Transportsystem vorstellen, der zu einer Zugentgleisung führt, oder ein von einem Schadprogramm befallenes GPS-Navigationssystem, das ein Schiff vom Kurs abbringt.3 Denkbar wäre auch, dass ein Hacker in die Steuerungssysteme eines Wasserkraftwerks eindringt, die Stauabwehr öffnet, was flussabwärts möglicherweise zu beträchtlichen Hochwasserschäden4 führen könnte, die wiederum zu Sachversicherungsfällen führen können.

Bei derartigen Szenarien, die durch Cyberrisiken oder generell durch Technologieausfälle verursacht werden, ist häufig nicht klar, ob konventionelle  Sach- oder Haftpflichtpolicen die potenziellen Schäden abdecken. Denn die Deckung von Cyberrisiken ist in den wenigsten Verträgen explizit vorgesehen.

„Die meisten herkömmlichen Policen wurden in einer Zeit konzipiert, zu der Cyberrisiken noch kein großes Thema waren und dementsprechend gar nicht erwähnt oder in Betracht gezogen wurden“, erklärt Donavan.

Derartige „versteckte“, nicht explizit bezeichnete Cyber-Exponierungen führen dazu, dass Kunden nicht angemessen geschützt sind und allen Beteiligten – den Kunden, dem Makler und dem Versicherer – die nötige Verlässlichkeit und Transparenz fehlt. „Wir brauchen daher einen neuen Versicherungsansatz, um den neuen Cybergefahren wirksam entgegenzuwirken und für Kunden Klarheit zu schaffen, was gedeckt ist“, so Donavan.

Die Allianz hat in einem internationalen Projekt Cyberrisiken in bestehenden Schaden-/Unfalldeckungen der Unternehmens- und Spezialversicherung überprüft und eine neue Zeichnungsstrategie entwickelt. Ziel ist, alle Wordings für Schaden-/Unfallpolicen hinsichtlich der Cyberrisiken klar zu formulieren und, wo notwendig, zu aktualisieren. Die AGCS wird als Cyber-Kompetenzzentrum für die Allianz Gruppe die Umsetzung der neuen Strategie konzernweit begleiten.

„Wir werden klarstellen, wie Cyberrisiken in herkömmlichen Policen abgedeckt werden und für welche Szenarien eine spezielle Cyberversicherung notwendig ist“, erklärt Donavan. Die neue Strategie reagiert auch auf das steigende Unbehagen aufseiten der Regulierungsbehörden und Rating-Agenturen hinsichtlich der Cyberexponierung in den Portfolien von Versicherern.

Für das Neugeschäft hat die AGCS die Strategie bereits umgesetzt und als nächstes sind ab April die Renewals an der Reihe, vorbehaltlich der Erfüllung von regulatorischen Anforderungen und Genehmigungspflichten, die in bestimmten Rechtsordnungen gelten. Andere Schaden-/Unfallversicherer der Allianz Gruppe werden die Strategie spätestens ab 1. Januar 2020 anwenden.

Was die Versicherungsnehmer betrifft, werden sich die neuen Bedingungen je nach spezifischer Sparte, Markt und aufsichtsrechtlichem Umfeld unterscheiden. Wenn noch keine klare Regelung besteht, werden Cyberrisiken im Wortlaut der Policen spezifiziert. Es werden klare Definitionen hinzugefügt, die erklären, wann Cyberrisiken durch die konventionellen Policen abgedeckt sind und für welche Szenarien eine spezielle Cyberversicherung notwendig ist.

„Eine Einheitslösung gibt es nicht“, betont Marek Stanislawski, Deputy Global Head of Cyber bei der AGCS. „Die Underwriting-Teams vor Ort werden die Strategie auf ihre jeweiligen Märkte abstimmen. Die konkreten Veränderungen am Wording werden sich je nach Produkt und Land unterscheiden und hängen auch von den aufsichtsrechtlichen Gegebenheiten ab.“ Gerade in Deutschland wurden zahlreiche Policen bereits in früheren Jahren hinsichtlich Cyber präzisiert und müssen daher nicht angepasst werden.

Den Versicherungsnehmern der AGCS werden mehrere Optionen zur Auswahl stehen, um eine maßgeschneiderte Cyber-Risikodeckung zu erhalten, die ihren jeweiligen Anforderungen und Risikoprofil entspricht. Das beginnt bei  einer – jetzt expliziten –  Deckung in einer konventionellen Schaden-/Unfallversicherung oder einer Ergänzung eines solchen Vertrags durch eine gezielte Erweiterung und reicht bis zum Abschluss einer speziellen Cyberpolice. In vielen Fällen wird man Definitionen für Cybervorfälle in den bestehenden Wortlaut aufnehmen. Für bestimmte Produktgruppen gibt es marktübliche Standardformulierungen für den Umgang mit Cyberrisiken, die auch die AGCS verwendet, wenn sie passend sind. Viele Sparten werden entsprechende Deckungserweiterungen für konventionelle Produkte bereitstellen (zum Beispiel Angebot einer speziellen Erweiterung für Betriebsunterbrechungen durch Cyberschäden in der Sachversicherung).

„Eine umfassende Lösung über alle Versicherungsprodukte hinweg ist im besten Interesse der Kunden und Makler, auch wenn ihre Entwicklung eine riesige Herausforderung darstellt“, erklärt Stanislawski. „Auf diese Weise bleibt das Fachwissen rund um spezifische Cyberrisiken in denjenigen Sparten, in denen sie schon immer gezeichnet wurden. Außerdem gibt dies den Kunden mehr Gewissheit und sie profitieren von den Produkten, die sie bereits kaufen.“

Gemäß den neu formulierten Vertragstexten der Allianz Schaden-/Unfallversicherungen werden Sach- und Personenschäden, die durch Cybervorfälle entstehen, im Allgemeinen weiterhin abgedeckt sein. Die Deckung reiner Vermögensschäden ohne physische Beschädigungen oder Verletzungen werden hingegen eine affirmative Cyber-Versicherungslösung voraussetzen.

Während auch anderer Versicherer beginnen, sich mit Silent Cyber-Exponierungen zu beschäftigen, nimmt die Allianz bereits eine Vorreiterrolle ein, klärt auf und informiert.

„Unsere Underwriter und sonstigen Mitarbeiter sind ständig mit Kunden und Maklern in Kontakt. Sie erklären ihnen, worum es sich bei Silent Cyber-Exponierungen handelt, was wir erreichen wollen und wie sich dies auf die einzelnen Policen auswirken wird. Die meisten verstehen, dass es im Interesse aller Beteiligten ist, eine Regelung für diese ‚versteckten‘ Gefährdungen zu treffen, und sie schätzen die Gewissheit und Klarheit, die ihnen unsere aktualisierten Wordings bieten“, berichtet Donavan.

Die neue Strategie hilft der Allianz, ihre Cyberexponierung besser bemessen zu können und gegenüber den Aufsichtsbehörden und Rating-Agenturen ein effektives Risikomanagement hinsichtlich der Zeichnung von Cyberrisiken vorzuweisen. Sie kann das Cyber-Gesamtrisiko in ihrem Bestand an Schaden-/Unfallversicherungen besser managen können und angemessene Rückstellungen bilden, um auch Cybergrosschadenszenarien, die möglicherweise viele Versicherungsnehmer gleichzeitig treffen, bewältigen zu können.

Zwei Szenarien

  • EXPLIZITE DECKUNG IN TRADITIONELLER P&C-POLICE: Ein Hackerangriff auf eine Industriesoftware führt in einer Fabrik zu einer Explosion; eine herkömmliche Schaden-/Unfallpolice würde den Sachschaden und die resultierende Betriebsunterbrechung abdecken.
  • EXPLIZITE DECKUNG DURCH CYBERVERSICHERUNG ODER SPEZIFISCH ERWEITERUNG: Ein Schadprogramm verursacht bei einem Unternehmen Störungen in der Produktion oder bei Services sowie Umsatzeinbußen, Sachschäden allerdings gibt es nicht zu verzeichnen. Die Deckung derartiger reiner Vermögensschäden setzt möglicherweise den Abschluss einer speziellen Cyberversicherung oder Deckungserweiterung innerhalb einer traditionellen Police  voraus.

Die Finanzaufsichtsbehörden warnen zunehmend vor beträchtlichen Silent Cyber-Risiken in den Beständen von Versicherern. In Deutschland hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) angekündigt, dass sie diesem Thema im Jahr 2019 mehr Aufmerksamkeit widmen wird, und  in Großbritannien hat die Prudential Regulation Authority Versicherer und Makler schon 2017 aufgefordert, das Problem der Cyberrisiken in traditionellen P&C-Policen zu adressieren. Die Regulierungsbehörden bemühen sich also weltweit um eine allgemeine Sensibilisierung. Am Londoner Markt hat man auf den Druck der Regulierer, die Cyberdeckung in konventionellen Policen klarzustellen, reagiert; insbesondere die Vertragstexte von Spezialversicherungen wurden zunehmend um entsprechende Ausschlüsse ergänzt.

Auch bei den Rückversicherern beschäftigt man sich immer häufiger mit dem Thema Silent Cyber. Doris Hoepke, Vorstandsmitglied bei der Munich Re, betont: „Die Versicherer müssen sich mit den Silent Cyber-Risiken in ihren herkömmlichen Policen beschäftigen.“5

Und auch bei Maklern ist das Thema zunehmend auf der Tagesordnung. Bei Aon hat der Bereich Reinsurance eine Silent-Cyber-Facility aufgelegt und AIR Worldwide, ein Unternehmen für Katastrophenmodelle, kooperierte mit dem Makler für Rückversicherungen Capsicum Re, um zu ermitteln, welchen Sparten außerhalb des eigentlichen Cybergeschäfts Verluste durch Cybervorfälle drohen könnten. Der 2018 Silent Cyber Outlook Survey von Willis Towers Watson unterstreicht die zunehmende Besorgnis hinsichtlich der Silent Cyber-Risiken.

„Ich gehe davon aus, dass 2019 definitiv mehr Lärm um diese ‚stillen‘ Cyber-Risiken gemacht wird“, so Donavan. „Die Branche wird diese Herausforderungen auf die eine oder andere Weise bewältigen müssen und es wird von uns als Versicherer erwartet, attraktive Lösungen im Cyberbereich zu bieten – denn dort drohen heute die größten Geschäftsrisiken.“

  • Kunden und Makler profitieren von umfassender Transparenz, Klarheit und Verlässlichkeit hinsichtlich der Deckung für Cyberrisiken
  • Schnellere Schadenregulierung im Falle eines Verlusts, da die Policen eine Deckung für Cyberszenarien garantieren
  • Aktualisierte Policen, bei deren Entwicklung die neue Generation der Cyberrisiken berücksichtigt wurde
  • Flexible und maßgeschneiderte Lösungen zur Deckung von Cyberrisiken: Kunden stehen mehrere Optionen zur Auswahl, von der in konventionellen Schaden-/Unfallversicherungen eingebetteten Deckung bis hin zur separaten Cyberversicherungsverlösung
  • „Unbekannte“ Überschneidungen der Deckungen in verschiedenen Sparten und Deckungslücken werden für die Versicherungsnehmer beseitigt
  • Im Center of Competence gebündeltes Fachwissen, um das Produkt- und Serviceangebot der Allianz entsprechend den sich ständig ändernden Bedrohungen weiterzuentwickeln
  • Klare Portfoliosteuerung und gezieltes Exposure-Management, um Versicherungskapazitäten effizient einzusetzen und das Kapitalmanagement zu optimieren
Das Allianz Risk Barometer 2019 – die achte Ausgabe der jährlich durchgeführten Umfrage unter mehr als 2.400 Kunden, Versicherungsexperten und anderen Teilnehmern aus über 80 Ländern – enthielt auch Fragen zu aktuellen Trends im Bereich Cyberversicherung. Marek Stanislawski, Deputy Global Head of Cyber bei der AGCS, hat die Umfrageergebnisse kommentiert.
Stanislawski: „Während ein Viertel unserer Umfrageteilnehmer letztes Jahr einen Cybervorfall festgestellt hat, geht mehr als die Hälfte davon aus, dass sie verschont geblieben sind. Damit stellt sich die Frage, inwieweit wir Melde- und Präventionssystemen überhaupt trauen können, denn möglicherweise kam es zu hochprofessionellen und ausreichend getarnten Cyberangriffen, die unentdeckt bleiben konnten. Die Unternehmen müssen ihre IT-Sicherheitsmaßnahmen ständig überprüfen, aktualisieren und modernisieren. Leider ist das ein schier endloser und komplizierter Prozess, wie bei allen Bemühungen, dieses Risiko zu kontrollieren.“
Stanislawski: „Die Tatsache, dass mehr als die Hälfte der Umfrageteilnehmer letztes Jahr eine Cyberversicherung gekauft hat, korrespondiert mit ihrer Wahrnehmung von Cyberattacken als ernstzunehmendem Risiko. Die Nachfrage nach diesem Versicherungsprodukt wird auch weiter steigen, denn immer mehr Unternehmen gelangen zu der Überzeugung, dass es sich bei Cyberrisiken um eine ernsthafte und schwere Bedrohung handelt.“
Stanislawski:„61 % der Befragten halten die erhältlichen Deckungskapazitäten nicht für ausreichend – das ist eine Botschaft, die wir sehr ernst nehmen. Während wir in konventionellen Sparten im weltweiten Vergleich Spitzenkapazitäten anbieten, können wir mit unserem Serviceangebot im Bereich alternativer Risikotransfer noch weiter gehen und für große Konzerne eine maßgeschneiderte Risikotransferlösung so strukturieren, dass sogar noch höhere Kapazitäten möglich sind.“
Stanislawski: „Es ist interessant, dass die Zahl der Befragten, die den Preis für Cyberversicherungen für angemessen halten, fast so hoch ist wie der Anteil derer, die dies verneinen. Hier scheint also eine Diskrepanz zu bestehen, die darauf zurückgeführt werden kann, dass die Marktpreise – trotz der vielen Gefährdungen und des ungewissen Kumulrisikos – derzeit nachgeben und dass die Underwriter sich bei der Tarifierung nicht immer am versicherungstechnischen Risiko orientieren können. Cyberpolicen beinhalten häufig auch Deckungen für andere Arten von Schäden, etwa für Umsatzeinbußen oder Lösegeldzahlungen. Wegen des Wettbewerbsdrucks sind sie deshalb tendenziell zu niedrig kalkuliert, um all die verschiedenen versicherten Schadenquellen vollständig abzudecken. Die Preise werden anziehen, wenn mehr Schäden auftreten und die Branche ihre Modelle und Analysen perfektioniert.
Stanislawski:  „Einerseits haben wir gesehen, dass eine überwältigende Mehrheit (über 90 %) es für notwendig hält, eine Cyberversicherung abzuschließen, doch andererseits hat sich bisher kaum mehr als die Hälfte der Befragten mit diesem Produkt ausgestattet. Die möglichen Gründe hierfür reichen von internen Budgetbeschränkungen über Unklarheit hinsichtlich des Versicherungsumfanges bis hin zum Erwerb von Nachträgen für bestehende Policen anstelle von eigenständigen Produkten. Die Allianz sieht sich in der Pflicht, die Kunden entsprechend ihren Bedürfnissen bei der Suche nach der idealen Lösung für den Transfer von Cyberrisiken zu unterstützen.“
Lesen Sie diesen Artikel im Global Risk Dialogue. Der Global Risk Dialogue ist das Magazin der Allianz Global Corporate & Specialty mit Nachrichten und Expertenwissen aus der Welt der Unternehmensrisiken.

[1] Artemis, Merck & silent cyber impacts drove Petya industry loss: PCS, 7. November 2018

[2] Check Point, Achieving fifth generation cyber security: A survey research report of IT and security professionals, March 2018

[3] Willis Towers Watson, Silent cyber outlook: Is silent cyber risk creeping up on insurers?, September 11, 2017

[4] Guidewire, Aon and Guidewire launch cyber scenario for a US dam attack, October 25, 2018

[5] Baden-Badener Rückversicherer Kongress 2018

Sign up to e-update
Allianz operates as an international insurer on almost every continent. Find Allianz in your own country/region.
With the Allianz network AGCS provides services in over 200 countries and territories.